La investigación expone 10 amenazas comunes que molestan a los clientes de la nube

 La investigación de Vectra AI revela las principales amenazas a las que se enfrentan las redes corporativas

Una nueva investigación realizada por una empresa de detección y respuesta de amenazas muestra que las amenazas más comunes a las redes corporativas permanecen constantes en todas las empresas, sin importar su tamaño.

Vectra AI publicó el miércoles su Informe destacado del segundo trimestre de 2021, "Visión y visibilidad: las 10 principales detecciones de amenazas para Microsoft Azure AD y Office 365". Estas principales detecciones de amenazas encontradas en Microsoft Azure AD y Office 365 permiten a los equipos de seguridad detectar comportamientos poco frecuentes que son anormales o inseguros en sus entornos.

Los investigadores calcularon la frecuencia relativa de detecciones de amenazas que se activaron durante un período de tres meses basándose en tamaño del cliente (pequeño, mediano y grande). Los resultados detallan las 10 principales detecciones de amenazas que los clientes reciben por frecuencia relativa.

Independientemente del tamaño de la empresa, la detección de operaciones de intercambio de riesgo de Office 365 estaba en la parte superior o cerca de la lista de detecciones vistas por todos los clientes de Vectra. Los usuarios de seguridad en la nube de Vectra reciben alertas sobre comportamientos anormales en sus entornos de nube para ayudar a ratificar los ataques.

"La implementación de inteligencia artificial (IA) significativa como un pilar central al extraer datos informativos de su red, tanto en las instalaciones como fuera de ellas, es fundamental para obtener una ventaja contra adversarios malintencionados ", dijo Matt Pieklik, analista consultor senior de Vectra. "Los equipos de seguridad deben contar con una visibilidad completa para detectar actividades potencialmente peligrosas en las aplicaciones, en tiempo real, desde el punto final hasta la red y la nube".

Microsoft Office 365 también ha despertado el interés de los ciberdelincuentes que se avecinan debido a la gran audiencia. De hecho, durante una encuesta global reciente de 1,112 profesionales de la seguridad, Vectra descubrió cómo los delincuentes eluden regularmente los controles de seguridad, incluida la autenticación multifactor (MFA), lo que demuestra que determinados atacantes aún pueden obtener acceso.

Detalles del informe

El informe de Vectra asigna estos comportamientos a un ataque reciente a la cadena de suministro para demostrar cómo los actores pueden evadir controles preventivos como entornos de prueba de red, puntos finales y autenticación multifactor (MFA). Esta información puede ser vital para salvaguardar el almacenamiento de datos en la nube.

La nube continúa cambiando todo lo relacionado con la seguridad, dejando obsoleto el enfoque heredado para proteger los activos. Sin embargo, recopilar los datos correctos y tener una inteligencia artificial significativa puede ayudar a identificar los pormenores de los ataques.

Ese conocimiento permite a los equipos de seguridad concentrarse en las amenazas que realmente requieren atención. Es una mejor respuesta que gastar ciclos valiosos en alertas benignas, según Vectra.

La detección y respuesta de amenazas es más fácil cuando los adversarios toman acciones que obviamente son maliciosas. Pero la realidad actual es que los adversarios encuentran cada vez más que tal acción abierta es innecesaria cuando los servicios existentes y el acceso utilizado en toda una organización pueden simplemente ser cooptados, mal utilizados y abusados.

Es fundamental que los defensores de las redes modernas aborden dos preocupaciones en sus esfuerzos. para detectar y protegerse contra estos ataques, señaló el informe. Primero, deben comprender la intersección que puede existir entre los tipos de acciones que un adversario debería tomar para avanzar hacia sus objetivos. Dos, deben reconocer los comportamientos que adoptan habitualmente los usuarios autorizados en toda la empresa.

Cuando estos comportamientos se cruzan, los factores clave para distinguir al adversario y la amenaza interna de un usuario benigno es la intención, el contexto y la autorización. La inteligencia artificial significativa puede proporcionar mediante un análisis constante de cómo los usuarios acceden, usan y configuran sus aplicaciones en la nube.

Saber cómo se accede a sus hosts, cuentas y cargas de trabajo puede marcar la diferencia.

Para proteger completamente la nube y SaaS datos, los equipos de seguridad deben tener una visibilidad continua de los usuarios internos y externos que tienen acceso a los datos, incluidas las aplicaciones de terceros que están conectadas a sus entornos de nube y SaaS, señaló Tim Bach, vicepresidente de ingeniería en AppOmni .

"En resumen, las organizaciones deben aumentar sus agentes de seguridad de acceso a la nube (CASB) con una herramienta o proceso que pueda descubrir y monitorear el acceso a datos fuera de la red", dijo a TechNewsWorld.

Los resultados difieren de la actividad de detección anterior

Las revelaciones más significativas observadas en la investigación de este año es cuántas oportunidades tienen los atacantes de entrar, sin embargo, o salir de Office 365 hacia sus objetivos finales, según Tim Wade, director técnico del equipo de CTO en Vectra AI. Office 365 puede ser una cabeza de playa que se utiliza para convertirse en un activo tradicional en la red o albergar datos valiosos destinados al robo.

"A medida que más organizaciones cambian cada vez más del Active Directory local tradicional a Azure AD, los comportamientos sospechosos en Azure AD se vuelve cada vez más importante para que los profesionales de la seguridad mantengan la visibilidad ", dijo a TechNewsWorld.

Las intrusiones están en más titulares este año. Algo de esto se debe a una mayor conciencia pública. Parte de esto es el impacto de intrusiones exitosas, y parte de esto es el subproducto de los atacantes que encuentran cada vez más formas novedosas de monetizar sus ataques, agregó.

Las 10 principales detecciones de amenazas

1. Operación de cambio arriesgada. Estas acciones pueden indicar que un atacante está manipulando Exchange para obtener acceso a datos específicos o una mayor progresión del ataque.

2. Operación sospechosa de Azure AD. Estas acciones pueden indicar que los atacantes están aumentando los privilegios y realizando operaciones de nivel de administrador después de la toma de control regular de la cuenta.

3. Actividad de descarga sospechosa. Se observó que una cuenta descargaba una cantidad inusual de objetos, lo que puede indicar que un atacante está utilizando funciones de descarga de SharePoint o OneDrive para filtrar datos.

4. Actividad sospechosa para compartir. Se vio una cuenta compartiendo archivos y / o carpetas en un volumen superior al normal, lo que puede indicar que un atacante está utilizando SharePoint para exfiltrar datos o mantener el acceso después de que se haya corregido el acceso inicial.

5. Creación de acceso redundante de Azure AD. Se han asignado privilegios administrativos a una entidad que puede indicar que el atacante está creando un acceso redundante para protegerse contra la reparación.

6. Acceso a equipos externos. Se ha agregado una cuenta externa a un equipo en Teams, lo que puede indicar que un adversario ha agregado una cuenta bajo su control.

7. Creación de flujo de automatización de energía sospechosa. Se ha observado una creación anormal de Power Automate Flow que puede indicar que un atacante está configurando un mecanismo de persistencia.

8. Reenvío de correo sospechoso. Reenvío de correo que puede utilizarse como canal de recogida o exfiltración sin necesidad de mantener la persistencia.

9. Búsqueda inusual de eDiscovery. Un usuario está creando o actualizando una búsqueda de eDiscovery que puede indicar que un atacante ha obtenido acceso a las capacidades de eDiscovery y ahora está realizando un reconocimiento.

10. Operación sospechosa de SharePoint. Operaciones administrativas anormales de SharePoint que pueden estar asociadas con actividades maliciosas.

Pasos de mitigación

Resolver los desafíos que las organizaciones continúan viendo de los ciberdelincuentes implica comprender los comportamientos que los adversarios están motivados a tomar. Esto significa tener la capacidad de recopilar y agregar los datos que descubren estos comportamientos de una manera que el personal de seguridad pueda poner en práctica, señaló Pietlik.

Vectra dice que Cognito Detect para Office 365 y Azure AD detectan y responden automáticamente a un ciberataque oculto comportamientos. Esta solución acelera las investigaciones de incidentes y permite la búsqueda de amenazas proactiva. La aplicación ofrece visibilidad de Power Automate, Teams, eDiscovery, Compliance Search, backend de Azure AD, Exchange, SharePoint y proveedores de SaaS de terceros.

La gestión de la postura de seguridad en la nube (CSPM) es un elemento de acción importante, sugirió Vishal Jain, cofundador y CTO en Valtix . Una vez que las empresas conocen sus brechas de seguridad, deben configurar puntos de control y políticas de seguridad automáticamente y en los lugares apropiados para mejorar aún más su postura de seguridad en la nube.

"Es muy deseable que este proceso de dos pasos se automatice en un solo flujo de trabajo ", dijo a TechNewsWorld.


Leave a Reply

Your email address will not be published. Required fields are marked *