Los profesionales de seguridad están siendo constantemente advertidos sobre las amenazas internas. Nos han dicho que nuestras empresas necesitan el software de última generación, la inteligencia de amenazas integrada, y la capacidad de correlacionar cantidades masivas de registros de sucesos y contexto para armarnos contra estas amenazas.

Nos han dicho que estas herramientas son necesarias para bloquear ataques y recuperarse de ellos, si es que se tiene éxito. Desafortunadamente, cuando las compañías, eventualmente, se dan cuenta de que han sido comprometidas, también descubren que sus sistemas han sido comprometidos por un largo periodo de tiempo.

“Las amenazas internas pueden incluir una combinación de infiltrados maliciosos, comprometidos y descuidados”, señaló Wade Williamson, director de Marketing de Productos en Vectra Networks. “Necesitará una clara visibilidad para identificar todas estas amenazas, pero se diferencian en el comportamiento y en la manera en la que la seguridad será capaz de detectarlos”.

Para ayudar a las empresas a detectar a los infiltrados lo más pronto posible hemos recolectado consejos de expertos de seguridad con el objetivo de ayudar a las compañías a encontrar ataques de infiltrados más temprano que tarde.

Consejo 1: Esté atento a los patrones extraños en el tráfico de DNS
“DNS es, a menudo, una capa olvidada”, comentó Arno Meulenkamp, ingeniero de Sistemas en Infoblox. “Se puede utilizar como una manera de remover datos. Los patrones extraños en el tráfico DNS, tales como los hashes, pueden ser señal de que algo está pasando”.

Consejo 2: Comprobar los registros de autenticaciones host-to-host
“Cuando ve a alguien autenticarse a un host desde otro diferente mientras que al host de destino solo se puede autenticar a través del controlador de dominio, podría tener un problema”, comentó Yonathan Klijnsma, analista senior de Threat Intelligence en Fox-IT. “En este contexto, es importante saber qué herramientas utilizan los atacantes -tales como PSExec (y sus variantes) o Mimikatz- y buscar el tráfico asociado con esas herramientas. Es común que herramientas como estas sean usadas para movimientos laterales, para moverse entre las ventanas de una computadora en una red, usando comunicaciones host-to-host.

Consejo 3: Verifique las credenciales de los empleados expuestas en la Web
“Los sitios web monitor paste tales como Pastebin para exponer las credenciales de los empleados”, señaló Nagraj Seshadri, vicepresidente de Marketing en Recorded Future. “Si se han explotado las credenciales filtradas en la Web, podría tener infiltrados y el empleado, dueño de las credenciales, no lo sabría. Tome medidas cambiando las contraseñas y considere el hecho de implementar una autenticación de dos factores”.

Consejo 4: Observe el flujo de datos alrededor de los activos más importantes
“Los infiltrados maliciosos, a menudo, robarán grandes volúmenes de datos en un corto periodo de tiempo. Si recogen grandes volúmenes de datos serán identificados fácilmente mediante el monitoreo de los activos internos”, comentó Williamson de Vectra Networks. “Al observar el tráfico interno, los equipos pueden ver rápidamente si los datos están siendo llevados fuera de la red o están rebotando entre múltiples dispositivos para ser removidos”.

Consejo 5: Asigne múltiples inicios de sesión a servicios de almacenamiento basados en la nube
“Busque a usuarios que estén iniciando sesión en diferentes máquinas desde la misma cuenta, accediendo a grandes almacenes de datos en estos sistemas y sincronizando sus datos a servicios de almacenamiento basados en la nube como Dropbox”, comentó Itsik Mantin, director de Investigación de Seguridad en Imperva. “Un infiltrado podría aprovechar las credenciales comprometidas de los usuarios para acceder a sus cuentas de Dropbox -esta carga de datos podría, de lo contrario, parecer un uso comercial normal de los servicios”.

Consejo 6: Utilice credenciales y archivos falsos como carnada
“Un infiltrado se moverá por toda la red buscando nuevas credenciales y usando sus recién descubiertos privilegios para acceder a los datos”, señaló Haroon Meer, investigador en Thinkst. Con la creación de archivos de credenciales falsos para utilizarlos como carnada, podrá ver cuándo es que esas credenciales, que nunca deberían ser usadas, lo son”.

Consejo 7: Busque ‘cosas’ que ya no existen
“Los infiltrados, a menudo, tratarán de cubrir sus huellas y el malware intentará seguir siendo persistente eliminando cosas”, anota Fabien Perigaud, experto en seguridad de Airbus Defence and Space – Cybersecurity. “Busque claves de registro, servicios y objetos de ayuda a los que se haya accedido, que se hayan usado o ejecutados de alguna otra manera en el pasado, pero ya no existen en la máquina. Estos podrían ser signos reveladores de que un infiltrado estuvo ahí”.

Consejo 8: Correlacione los registros de autenticación de los extremos con los registros de Active Directory
“Si algún usuario antes solo utilizó tres o cuatro activos en la red, pero ahora está accediendo a un número significativamente mayor que el anterior en un corto periodo de tiempo, es muy posible que exista un infiltrado”, indicó Mark Schloesser, investigador de Seguridad en Rpid7. “También los registros de Active Directory (AD) deberían ser correlacionados y aumentados con aquellos de los extremos, ya que éstos incluyen los eventos locales de autenticación de cuentas que no serían visibles de ninguna otra manera para el AD”.

Consejo 9: Ubique la primera instancia de un evento
“Busque la primera vez que se realiza una actividad”, señaló Johan den Hartog, ingeniero de Ventas en Tenable Network Security. “Si nunca antes ha visto esa actividad, esto podría señalar el comienzo de un ataque interno que necesita ser perfilado. HSBC y Sabre son dos ejemplos de esto, donde fueron creados empleados fantasmas utilizando alias y nuevas actividades fueron desarrolladas bajo esos nombres falsos”.

Consejo 10: Identifique las herramientas shadow de TI que están siendo usadas
“En nuestro reciente reporte Application Usage and Threat, notamos que más de 4.400 organizaciones tenían cinco o más aplicaciones únicas de acceso remoto en uso simultáneamente -lo más común es que se tenga una o dos, pero no tantas como cinco”, indicó Greg Day, vicepresidente y CSO, EMEA en Palo Alto Networks. “El uso intencionado de estas herramientas puede conducir a consecuencias no intencionales”.

Consejo 11: Antes de eliminar el malware, analícelo
“Debido a que mantener las cosas en funcionamiento es una prioridad, las empresas han caído en el hábito de identificar el malware e inmediatamente reinventar los sistemas que han sido afectados para que puedan ser llevados online de vuelta”, señaló Ralph Pisani, vicepresidente ejecutivo de Operaciones de Campo en Exabeam. “El malware es una señal de que algo malo está pasando -las empresas no deberían eliminar tan rápido esta pista importante, que podría ayudarlos a reconstruir la cadena de cyber matanzas. El malware no es el final; sino que, por lo general, es solo el comienzo. Es sumamente importante saber qué es lo que los usuarios hicieron antes de que el malware fuera detectado y a dónde se fueron después de la infección”.

-Sean Martin*, Network World