El aumento de la conciencia de las empresas sobre la perspectiva actual de las ciberamenazas ha supuesto también el desarrollo de la creatividad de los atacantes y hasta el usuario más previsor y astuto puede ser víctima de ellos.
En antecedentes… ¿sabías qué?
- 286 días se tarda en detectar una intrusión.
- Más del 63% de las intrusiones de red se deben a credenciales comprometidas.
- 3,8M de dólares es el coste medio de una brecha en la seguridad de los datos para una compañía.
Aunque tengamos protegida la identidad de nuestros usuarios y datos alojados en la nube, las posibles vulnerabilidades en VPN’s e infraestrutura de servidores (especialmente los controladores de dominio – con su directorio activo local), junto a que los usuarios cometan errores (por ejemplo caer en un ataque de phishing o reutilizar contraseñas en sitios web inseguros), proporcionan vías alternativas para que los ciberdelincuentes puedan entrar hasta la «cocina».
Los atacantes, en esos casos, se mueven rápido.. y una vez obtienen las credenciales de cualquier usuario, logran asignarse privilegios de administrador (con la ayuda de archivos de log, datos residentes en memoria, archivos no encriptados y otros mecanismos), y … ya los tenemos dentro, sin poder hacer nada (por un tiempo superior a 140 días de media hasta ser descubiertos). Es más, debido a que muchas empresas todavía tienen datos en su infraestructura local, desafortunadamente, cuando se trata de ataques on-premise, «la barrera de red» que habitualmente tienen las empresas para mantenerse teóricamente a salvo, evita en realidad que la inteligencia basa en la nube de otros productos Microsoft (como AAD Identity Protection, Acceso Condicional de Azure AD y Cloud App Security) puedan ayudarlas a mantener seguros los datos alojados físicamente en su organización.
La solución: Microsoft Defender for Identity
Microsoft Defender for Identity (anteriormente denominado Azure Advanced Threat Protection) está diseñado para ayudar a las empresas a detectar y analizar ataques avanzados en infraestructura local o híbrida.
Esta tecnología permite entender de forma rápida y sencilla qué ocurre en su red, identificando rápidamente actividades sospechosas y proporcionando información clara sobre las amenazas.
En líneas generales con Defender for Identity puedes:
- Detectar actividad sospechosa de usuarios y dispositivos a través de análisis basado ​​en el aprendizaje automático y la inteligencia de amenazas de Microsoft.
- Proteger tu Directorio Activo (y por tanto a tus usuarios), a través del análisis continuo de los protocolos de autenticación.
- Obtener información clara y en tiempo real de la escala de tiempo de los ataques para responder con rapidez.
- Monitorizar múltiples puntos de entrada a través de la integración con Microsoft Defender for Endpoint.
Defender for Identity actúa siguiendo 4 pasos:
1-Análisis
Analiza la información recogida de varios orígenes de datos, como registros, eventos de la red, protocolo de autenticación de Directorio Activo y tráfico de los controladores de dominio.
2-Aprendizaje
Una vez analizada la red, Defender for Identity comienza a aprender y generar perfiles de los comportamientos de usuarios, dispositivos y recursos utilizando la tecnología de autoaprendizaje (Machine learning) de Microsoft.
Ficha de perfil de usuario generada
3-Detección
Gracias a la tecnología de autoaprendizaje y la inteligencia de amenazas de Microsoft Intelligent Security Graph (tecnología que analiza miles de millones de datos de centros globales de la compañía para acceder a información actualizada sobre tendencias de ataques) Defender for Identity es capaz de detectar 3 grupos de ataques o amenazas:
1- Ataques malintencionados
Detecta técnicas maliciosas conocidas como:
- Pass-the-Ticket
- Pass-the-Hash
- Overpass-the-Hash
- Y muchas más orientadas al robo de credenciales.
2- Comportamiento anormal
El aprendizaje automático revela actividades sospechosas y comportamientos irregulares como:
- Inicios de sesión anómalos
- Amenazas desconocidas
- Uso compartido de contraseña
3- Problemas y riesgos relacionados con la seguridad
Gracias a la inteligencia de amenazas integrada de Microsoft es capaz de identificar problemas de seguridad conocidos:
- Protocolos débiles
- Vulnerabilidades de protocolo conocidas
- Ruta de desplazamiento lateral a cuentas confidenciales (se produce cuando se compromete una cuenta de un usuario no confidencial para obtener acceso a cuentas con mayores privilegios, por ejemplo, la cuenta administrador)
Vista del portal de Microsoft Defender for Identity que muestra rutas de desplazamientos laterales
A través de esta vista, Microsoft Defender for Identity muestra las cuentas confidenciales de la red que son vulnerables debido a su conexión con cuentas no confidenciales o recursos.
4-Alerta
Después de la detección, alerta y presenta la información en el portal del área de trabajo de Defender for Identity, incluida una vista clara de quién, qué, cuándo y cómo, recomendando además acciones para la remediación.
A menudo las herramientas de seguridad de TI tradicionales no están preparadas para controlar cantidades de datos cada vez mayores y emiten alertas innecesarias que distraen de las amenazas reales. Con Defender for Identity, las alertas se producen una vez que la actividad sospechosa es contrastada con los perfiles de comportamiento en contexto, reduciendo de esta manera los falsos positivos.
En esta imagen se muestra la alerta que notifica la sospecha de que se intentó acceder desde un servidor no reconocido o admitido por la red de la empresa.
En esta imagen se muestra el panel de aviso de Microsoft Defender for Identity en el que se notifica la sospecha de que se intentó perpetrar un ataque denominado «Pass-the-ticket» (Robo de identidad) en los equipos cliente 1 y 2 de la red.
Integración con Microsoft Defender for Endpoint
Defender for Identity se integra con Microsoft Defender for Endpoint para obtener una solución contra amenazas mucho más completa. Mientras que Defender for Identity supervisa el tráfico en los controladores de dominio, Defender for Endpoint supervisa los puntos de conexión (los dispositivos reales que se utilizan) recopilando información sobre señales de comportamiento del sistema operativo.
Seguridad para ataques y amenazas avanzadas de Microsoft
Microsoft cuenta con una gran cantidad de servicios y productos que protegen a las empresas. No obstante, en este caso queremos destacar dos de los productos que protegen a las organizaciones de las amenazas y ataques más avanzados y forman parte de la familia Defender:
- Microsoft Defender for Office 365: Funciona para proteger su correo electrónico, archivos y aplicaciones de Office 365 contra posibles ataques. Funciona asegurando tu bandeja de entrada contra amenazas avanzadas, protegiendo contra archivos adjuntos no seguros y protegiendo tu entorno cuando un usuario hace clic en un enlace malicioso.
- Microsoft Defender for Endpoint: Generalmente se combina con Microsoft Defender for Identity para detectar y prevenir toda actividad maliciosa. Sin embargo, su atención se centra en la detección y protección de los puntos finales: los dispositivos reales que se utilizan en las empresas.
Puedes adquirir Microsoft Defender for Identity dentro de la suite Enterprise Mobility + Security 5 (EMS E5), con Microsoft 365 E5 o como producto independiente.
¿Quieres saber más? Contacta con nosotros.