Get best of the week

Cinco riesgos de seguridad al trabajar de forma remota



Los profesionales de ciberseguridad en las empresas de repente tuvieron que adaptarse al hecho de que casi el 100% de los usuarios trabajan de forma remota. Hoy, ante la incertidumbre, las empresas están tratando de preservar los procesos comerciales y la seguridad se está desvaneciendo. Los profesionales que anteriormente daban servicio principalmente a computadoras locales pueden no estar preparados para enfrentar nuevas amenazas de acceso remoto.

Nuestro equipo de respuesta a incidentes ayuda a nuestros clientes a resolver los problemas de seguridad a diario. Pero en los últimos meses, la naturaleza de los ataques al conectar una VPN y usar aplicaciones y datos en la nube ha cambiado. Hemos compilado una lista de cinco amenazas para el trabajo remoto para decirle a qué se enfrentan nuestros expertos durante la pandemia de COVID-19.

1. Ataques de fuerza bruta VPN


Dado que muchas personas ahora trabajan desde casa, los atacantes tienen más oportunidades para ataques de fuerza bruta a través de VPN. ZDNet informa que recientemente el número de conexiones VPN ha crecido en un 33%. Esto significa que desde principios de 2020, los atacantes tienen más de un millón de nuevos objetivos.

En aproximadamente el 45% de los casos, el equipo de respuesta de Varonis tiene que investigar los ataques de fuerza bruta. La mayoría de estos ataques tienen como objetivo obtener acceso a una VPN o Active Directory. Sucedió que las organizaciones desactivaron las cerraduras integradas y otras restricciones para conectarse a una VPN para no dejar de funcionar o reducir los costos de TI. Esto hace que el sistema sea vulnerable a tales ataques.

Los atacantes llevan a cabo un ataque de fuerza bruta. Seleccionan un portal VPN e intentan autenticarse repetidamente utilizando listas de credenciales precompiladas. Este ataque se llama relleno de credenciales. Si al menos un nombre de usuario o contraseña se selecciona correctamente, un atacante puede piratear el sistema.

Además, si el sistema usa inicio de sesión único (SSO), un atacante también puede obtener el inicio de sesión de dominio correcto. Un atacante penetra en la red muy rápidamente. Puede comenzar el reconocimiento iniciando sesión en el dominio e intentar aumentar los privilegios.

Cómo puede ayudar Varonis


Las soluciones Varonis tienen más de cien modelos de amenazas incorporados para detectar autenticación sospechosa (credenciales, falsificación de contraseñas, fuerza bruta) en una VPN o Active Directory. Notará que nuestros modelos de amenazas tienen en cuenta varias fuentes: los datos de actividad de VPN se complementan con información de Active Directory, servidores proxy web y almacenes de datos como SharePoint o OneDrive.



También puede ver rápidamente la actividad VPN contextual (registros procesados) en la biblioteca de búsquedas guardadas, que puede usar para crear informes o buscar amenazas:



Varios cientos de intentos fallidos de inicio de sesión desde la misma dirección IP o dispositivo pueden servir como evidencia de un ataque de fuerza bruta. Pero, incluso si los atacantes actúan silenciosa y lentamente, Varonis puede detectar pequeñas desviaciones analizando la telemetría perimetral, la actividad de Active Directory y el acceso a datos, y luego comparando esta información con el modelo básico de comportamiento del usuario o dispositivo.



2. Gestión y control mediante phishing


Otra amenaza bien conocida adaptada a las condiciones pandémicas es el phishing. Los atacantes aprovechan los temores de las personas durante una pandemia, engañando a los usuarios para que hagan clic en enlaces maliciosos y descarguen malware. El phishing es un mal real.
Los delincuentes desarrollaron mapas de los centros de distribución de COVID-19 y crearon sitios web que venden suministros médicos u ofrecen medios milagrosos, después de lo cual instalas malware en tu computadora. Algunos estafadores están actuando descaradamente, por ejemplo, pidiendo $ 500 por una máscara N-95. Otros ataques tienen como objetivo obtener acceso a su computadora y a todos los datos que contiene. Tan pronto como haga clic en el enlace malicioso, se descargará un programa en su computadora con la ayuda del cual el atacante establecerá una conexión con el servidor de comandos. Luego comenzará el reconocimiento y elevará los privilegios para encontrar y robar sus datos confidenciales.

Cómo puede ayudar Varonis


Varonis detecta actividades de red que se asemejan a la administración y la captura de control (no solo se conecta a dominios o direcciones IP maliciosas conocidas). La solución realiza un escaneo profundo del tráfico DNS y detecta programas maliciosos que enmascaran la transmisión de datos en el tráfico HTTP o DNS.

Además de detectar malware y sus conexiones con el servidor de comandos, los modelos de amenazas Varonis a menudo detectan un usuario comprometido al registrar intentos inusuales de acceder a archivos o correo electrónico. Varonis monitorea la actividad de los archivos y la telemetría perimetral y crea perfiles básicos de comportamiento del usuario. Luego, la solución compara la actividad actual con estos perfiles básicos y un catálogo cada vez mayor de modelos de amenazas.



3. Aplicaciones maliciosas en Azure


Este vector de ataque es relativamente nuevo; el mes pasado se discutió por primera vez en nuestro blog . Recomendamos leer la versión completa del artículo, ya que aquí solo proporcionamos una breve descripción del mismo.
Microsoft dijo que durante el mes pasado, el número de inquilinos de Azure aumentó en un 775%. Esto significa que algunos de ustedes ahora están creando entornos Azure para sus empleados remotos, y muchos están dedicando todos sus esfuerzos para mantener el negocio a flote e introducir rápidamente nuevas características. Quizás esto se aplica a ti.

Debe saber qué aplicaciones los usuarios permiten el acceso a los datos y planificar comprobaciones periódicas de las aplicaciones aprobadas para poder bloquear todo lo que conlleva un riesgo.

Los delincuentes se dieron cuenta de que podían usar aplicaciones maliciosas para Azure en campañas de phishing, y cuando el usuario instala la aplicación, los atacantes obtendrán acceso a la red.



Cómo puede ayudar Varonis


Varonis puede realizar un seguimiento de las solicitudes de instalación de una aplicación de Azure y detectar signos de este ataque desde el principio. Varonis recopila, analiza y perfila todos los eventos en Office 365 para cada componente, por lo tanto, tan pronto como una aplicación maliciosa comienza a suplantar a un usuario (envía correos electrónicos y sube archivos), nuestros modelos de amenazas de comportamiento funcionan.

4. Evita la autenticación multifactor


Otra amenaza para los empleados remotos es un ataque de hombre en el medio. Es posible que sus empleados no hayan trabajado remotamente antes y que no estén muy familiarizados con Office 365, por lo que pueden ser engañados por ventanas de inicio de sesión falsas en Office 365 . Los atacantes usan estas ventanas de inicio de sesión para robar credenciales y tokens de autenticación, que son suficientes para simular un usuario e iniciar sesión. Además, los empleados remotos pueden usar un enrutador Wi-Fi inseguro que puede ser pirateado fácilmente.

En resumen, un atacante intercepta un token de autenticación que el servidor le envía y luego lo usa para ingresar al sistema desde su computadora. Después de obtener acceso, un atacante toma el control de su computadora. Intenta infectar las computadoras de otros usuarios o inmediatamente busca datos confidenciales.

Cómo puede ayudar Varonis


Varonis puede detectar el inicio de sesión simultáneo desde diferentes lugares, así como los intentos de inicio de sesión que no coinciden con el comportamiento del usuario anterior y sirven como evidencia de fraude. Varonis monitorea sus datos en busca de intentos de acceso anormales que los ciberdelincuentes pueden hacer simplemente estando dentro de su red.



5. Amenazas internas


Ahora es un momento de gran incertidumbre para todos. La gente hace todo lo posible para superar la crisis, y el miedo y la incertidumbre hacen que se comporten de manera inusual.

Los usuarios descargan archivos de trabajo a una computadora desprotegida. Esto se debe al miedo a perder un trabajo oa la incapacidad de hacerlo de manera efectiva. Ambas opciones tienen un lugar para estar. Esto complica el trabajo de los servicios de TI y seguridad de la información que deben garantizar la seguridad de los datos.

Las amenazas internas pueden ser difíciles de detectar, especialmente cuando un empleado usa un dispositivo personal para acceder a datos confidenciales . No tiene controles de seguridad corporativos, como DLP, que puedan detectar al usuario que transmite estos datos.

Cómo puede ayudar Varonis


Detectamos amenazas internas identificando dónde se encuentran los datos confidenciales de la compañía y luego examinamos cómo los usuarios suelen trabajar con estos datos. Varonis durante mucho tiempo monitorea las acciones de los usuarios con datos y archivos, y luego los complementa con VPN, DNS y datos proxy. Por lo tanto, Varonis le notifica cuando un usuario descarga una gran cantidad de datos a través de la red o accede a datos confidenciales a los que anteriormente no tenía acceso, y puede proporcionar una lista completa de archivos a los que ha accedido.



Muy a menudo, los empleados no tienen intenciones maliciosas. Sin embargo, es importante que la empresa comprenda cómo almacenar datos confidenciales, ya que las amenazas internas son frecuentes. La capacidad de responder directamente al comportamiento de los empleados no es solo una forma de reducir los riesgos, sino también discutir los problemas con el equipo.

Pensamientos finales


Varonis puede ayudarlo a investigar cualquier cosa que parezca sospechosa y proporcionar recomendaciones sobre cómo recuperarse de un ataque. Si es necesario, proporcionamos licencias de prueba gratuitas.
Como comprenderá, no confiamos en un tipo de protección. Representamos varios niveles de protección que cubren todos los sistemas, como una web. Nuestro equipo de respuesta a incidentes ayudará a integrar Varonis en su estrategia actual de seguridad cibernética y le proporcionará recomendaciones sobre otros sistemas de seguridad en los que tal vez quiera invertir.

More articles:


All Articles