Advanced Threat Analytics (ATA): Protégete de los ciberataques

Advanced Threat Analytics (ATA) es una plataforma local (on-premises) de protección contra ciberataques avanzados y amenazas de intrusión de diferentes tipos.

Antecedentes

En los últimos tiempos hemos sido testigos de numerosos ciberataques avanzados contra la seguridad de diferentes organizaciones (Sony, Yahoo, Dropbox, JP Morgan, Ashley Madison, etc) e incluso gobiernos (elecciones presidenciales EE.UU. 2016)

La realidad es que la frecuencia y la sofisticación de los ciberataques  están creciendo exponencialmente.

Las estadísticas son contundentes:

• 146 días es el tiempo medio durante el cual un atacante se mueve dentro de la red de una víctima, antes de ser detectado.
• +63% de todas las intrusiones de red se deben a credenciales comprometidas. Las credenciales de usuario siguen siendo el principal punto débil de la ciberseguridad.
• 4 millones de dólares es el coste promedio de las brechas de seguridad para las organizaciones.

(fuentes: Verizon Data Breach Investigation Report, CSIS-McAfee Report, Ponemon Institute Cost of Data Breach Report)

La conclusión es que, en este preciso momento, millones de organizaciones están sufriendo un ciberataque a su seguridad… o bien su seguridad ya ha sido vulnerada.

Ataques

Los ciber-ataques de seguridad incluyen:

1. Reconocimiento inicial: identificar usuarios, máquinas y grupos del bosque de Directorio Activo.
2. Escalar privilegios: comprometer las credenciales de un Administrador Local.
3. Comprometer credenciales: utilizar herramientas sofisticadas para detectar credenciales, hash, contraseñas en el ordenador comprometido.
4. Reconocimiento Admin: encontrar máquinas de Administrador.
5. Movimiento lateral: utilizar las credenciales comprometidas y la ejecución remota de código para “saltar” (tomar el control) de otra máquina.
6. Objetivo final: llegar al Controlador de Dominio. Robar/Crear credenciales de administrador. Robar datos. Etcétera.

Advanced Threat Analytics  – ATA

ATA es capaz de detectar todos esos tipos de ataques antes de que provoquen daños. No hace falta crear reglas, configurar ni monitorizar reportes de seguridad.

¿Cómo funciona?

ATA utiliza port-mirroring para copiar todo el tráfico a/desde el Controlador de Dominio, y recoge información de múltiples orígenes de datos (eventos, logs) en la red para aprender del comportamiento de usuarios y entidades de la organización y crear un perfil de comportamiento.

Además, ATA utiliza un motor propio de rastreo de red, para capturar todo el tráfico de red de múltiples protocolos, en relación a autenticación, autorización, y recogida de información.

Arquitectura

Para cada Controlador de Dominio, ATA requiere una puerta de enlace que capture el tráfico de red y lo reenvíe al ATA Center para su procesamiento.

La puerta de enlace puede ser un servidor dedicado (GW) o una puerta de enlace ligera (LWGW) que se instala en el propio Controlador de Dominio.

El ATA Center es un servidor dedicado, no unido al dominio, que recibe y procesa los datos capturados por las puertas de enlace.

Analítica de comportamiento

ATA aprende constantemente del comportamiento de las entidades (usuarios, dispositivos, recursos) y se adapta para reflejar los últimos cambios.

ATA utiliza esta Analítica de comportamiento junto con Machine Learning para detectar cualquier comportamiento anormal, y reflejarlo en el Cuadro de Mando de la consola ATA.

Beneficios de Advanced Threat Analytics  – ATA

• Detección rápida de las amenazas con Analítica de comportamiento.
• Rápida adaptación a los cambios del entorno y de los ataques.
• Focalizar la atención en lo realmente importante, gracias a la presentación de las alertas en la consola, en formato “Línea de tiempo”.
• Reducción de la fatiga de “falsos positivos”.
• Priorizar y planificar fácilmente los próximos pasos-

Ejemplos

En los siguientes vídeos, os presentamos varios ejemplos de ataques de seguridad y la respuesta que Advanced Threat Analytics da a acada uno de ellos.

1) Identificación de usuarios y máquinas. Obtención de hash. Respuesta de la consola ATA.

2) Compromiso de credenciales, salto lateral, Pass-The-Ticket, y acceso al DC.

3) Recorrido por la consola ATA, alertas, entidades, configuración, acciones.

Esperamos que con este post os hayáis concienciado de la importancia de la ciberseguridad en este mundo cada vez más digital. En próximas entregas profundizaremos en las diferentes soluciones del ecosistema de seguridad de Microsoft.