EDR: Detección y Respuesta desde el Computador.

Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.

Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.

Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.

Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.

La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.

Las características principales de un EDR son:

1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.

2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización. 

4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue.  Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.

5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas.  En el caso de los EDR cuya plataforma está basada en la nube,  se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.


La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo. 

El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.

En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.

Tomado de:  https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS

5 TECNOLOGÍAS EN SINERGIA CONTRA EL RANSOMWARE

El Ransomware es un negocio multimillonario que afecta a las organizaciones a nivel mundial a través de sus usuarios. La clave para estar protegido contra el ransomware es poner especial cuidado a la protección de cada usuario con soluciones que incorporen tecnologías que trabajen en conjunto para detectarlo de manera confiable.

1. Detección basada en firmas.

Todos los objetos en el mundo digital contienen atributos específicos que pueden ser utilizados para identificarlos, a esto se denomina firma digital. Cada variante de ransomware no escapa de tener asociada una firma específica que lo identifica. Incorporar estas firmas de forma regular a la base de datos de su solución antiransomware, permitirá identificar archivos que contengan la firma maliciosa, para identificarlos como una amenaza y así poder bloquearlos.

2. Detección basada en Comportamiento.

La detección basada en firmas es una forma eficiente de detener el ransomware conocido, sin embargo, es incapaz de detectar nuevas variantes de ransomware que aún no hayan sido estudiadas para obtener su firma digital. Por este motivo la detección basada en comportamiento es fundamental.

La detección basada en comportamiento trabaja mediante la detección de patrones de conducta que son inusuales, para detener todo programa malicioso antes que pueda hacer cambios en su sistema.

Patrones como creación automática de archivos, intentos de cifrado de archivos, intentos de eliminación de archivos, podrían indicar la presencia de un ransomware que debe ser bloqueado.

La detección basada en comportamiento puede detectar de forma confiable casi todo tipo de malware, aún cuando su sistema de detección basado en firmas se encuentre desactualizado.

3. Prevenir la explotación de vulnerabilidades.

El inicio de un ataque de ransomware, usualmente comienza con la explotación de alguna vulnerabilidad del sistema operativo del computador o de alguno de los programas que utiliza. Por esta razón es que es tan importante mantener actualizados nuestros programas como estrategia de prevención.

Típicamente lo que ocurre al explotar una vulnerabilidad, es que el cyberdelincuente logra una forma para comprometer su sistema, permitiéndole reconocer el equipo o su entorno de red, hurtar sus credenciales, propagarse a otros equipos aprovechando la misma vulnerabilidad u otra presente en los otros equipos. Sólo al final, el ransomware secuestra su información. Al entender todo el proceso del ataque, se puede entender que es un proceso elaborado que toma su tiempo y que ocurre por descuido o falta de atención del usuario.

La idea es detener el ataque en sus fases tempranas, antes que culmine el ataque de ransomware. Al detener cualquier inyección de código a través de programas comúnmente utilizados, por ejemplo, prevenir la ejecución de scripts desde las aplicaciones de Microsoft Office, se previene la ejecución de código malicioso y se reduce la capacidad de maniobra del ataque.

La prevención de la explotación de vulnerabilidades asegura la detección y bloqueo del ransomware en las fases tempranas del ataque, independientemente del método de infección, sea por email, por escritorio remoto, navegación ocasional o vulnerabilidades no parcheadas.

4. Protección con Password.

El Ransomware no se despliega de forma instantánea. Es una ataque que típicamente demora algunos días, semanas y hasta meses. Los cyberdelincuentes se toman su tiempo en reconocer su objetivo para maximizar el impacto del ataque. Parte de este proceso involucra deshabilitar cualquier proceso de seguridad existente en el sistema objetivo, lo cual asegura que este malware no sea detectado e impedido su despliegue.

La protección con password es una forma eficiente para evitar que puedan deshabilitar la solución de seguridad que se tenga implementada en los sistemas de los usuarios. Mejor aún, si la protección por password es establecida de forma centralizada desde un servidor de administración que se encuentre fuera de la red corporativa, preferiblemente en la nube. Al no existir un mecanismo local para el ingreso de la contraseña, se hace mucho más complicado que el cyberdelincuente pueda obtener acceso o interceptar estas contraseñas.

5. Alerta de Ataque al servicio RDP.

RDP es el protocolo de Escritorio Remoto, que suele ser utilizado para tener acceso a servidores. Este protocolo es uno de los vectores de ataque más ampliamente utilizados en los últimos tiempos, motivado a la necesidad de implementar mecanismos de Teletrabajo.

En estos casos, el cyberdelincuente inicia el despliegue del ransomware mediante la ubicación de servidores que tengan el protocolo de RDP expuesto hacia el Internet. Al detectar que el puerto de la aplicación responde al intento de conexión, inicia un ataque de fuerza bruta para obtener las credenciales de dicho servidor. Una vez que ubican una cuenta que posea privilegios administrativos, el atacante podría hacer de todo en la red comprometida.

Disponer de un mecanismo que alerte de los intentos de acceso fallidos a nuestros servidores por RDP, nos permite tomar decisiones como: el bloqueo de las direcciones IP de los atacantes, deshabilitar el servicio RDP en demanda para que sólo permanezca activo durante el período de tiempo que lo necesitamos, utilizar mecanismos de endurecimiento y rotación de contraseñas o en el mejor de los casos utilizar mecanismos de autenticación de múltiple factor que impida el éxito en el secuestro de una cuenta que posea privilegios administrativos.

Conclusión

La protección contra el ransomware requiere poner mucha atención a los equipos y sistemas de nuestros usuarios (eslabón débil de la cadena) y utilizar estas cinco tecnologías de protección de forma simultánea, lo cual se entiende como una estrategia multicapa.

El escenario ideal apunta a que estas tecnologías puedan estar incorporadas en un sólo producto que facilite su implementación y abarate su adopción en los equipos de los usuarios. Sin embargo, también puede adoptarse cada tecnología de forma independiente, con soluciones más especializadas y costosas. Incluso puede adoptarse la estrategia multicapa en distintas zonas de seguridad de la red corporativa.

No puede, ni debe descartarse, el uso de un buen mecanismo de respaldo de los datos, que se encuentre preferiblemente fuera del alcance de los atacantes de la red. Hasta hace poco tiempo se solía decir que la única forma de asegurar la continuidad del negocio era mantener los mejores backups posibles. Sin embargo, los cyberdelincuentes saben esto y no sólo secuestran los datos operativos, también sustraen los respaldos existentes.

Estadísticas del Ransomware: 2do Trimestre del 2020.

Según el BLOG de #EMSISOFT, quienes han analizado muestras de ransomware recibidas a través de ID Ransomware y el propio website de Emsisoft, entre el 01 de Abril y el 30 de Junio de 2020, las cepas de ransomware más reportadas fueron las siguientes:

1. STOP (Djvu): 71,70%
2. Phobos: 8.90%
3. Dharma (.cezar): 6.90%
4. REvil / Sodinokibi: 3.20%
5. Globeimposter 2.0: 2.00%
6. Makop: 1.80%
7. Paymen45: 1.60%
8. LockBit: 1.40%
9. GoGoogle: 1.30%
10. Magniber: 1.10%

Cepas de Ransomware más reportadas en Q2 / 2020

STOP/Djvu, fue la familia ransomware más reportada durante el primer trimestre de 2020: 70,2% y ha continuado su legado en este segundo trimestre: 71,7%. Esta prolífica cepa, normalmente se propaga a través del uso de software que ha sido crackeado, generadores de claves (keygen) y activadores.

En segundo y tercer lugar se muestran Phobos y Dharma, que utilizan como vector de ataque el protocolo de Escritorio Remoto (RDP). Resulta evidente que muchas organizaciones no implementaron de forma segura el RDP en su prisa por desplegar el Teletrabajo dejando estas conexiones vulnerables a los compromisos.

Países desde donde se han recibido más cepas de Ransomware:

1. India: 28,40%
2. Estados Unidos: 16,10%
3. Egipto: 11,50%
4. Indonesia: 10,60%
5. Pakistán: 8,40%
6. Brasil: 8,40%
7. Corea del Sur: 5,50%
8. Turquía: 4,00%
9. Filipinas: 3,60%
10. Argelia: 3,60%

Países desde donde se han recibido más muestras de Ransomware. Q2 / 2020.

Puede ampliar información acerca del reporte en: https://blog.emsisoft.com/en/36769/ransomware-statistics-for-2020-q2-report/#