200 días es el tiempo promedio que un hacker puede residir en la red sin ser detectado. Durante este tiempo, mientras espera por el momento de atacar, mucha información y datos sensibles pueden ser capturados y están en riesgo.
En este nuevo paradigma de seguridad que vivimos en la mayoría de los ataques están logrados con credenciales legítimas (robadas) y realizados con herramientas consideradas como benignas (es decir, Powershell), a menudo desde dentro de la propia organización. El antivirus y firewall clásicos proporcionan una protección limitada para este tipo de ataques que para identificarse requieren una profundidad específica de conocimiento del funcionamiento de la infraestructura de cada empresa.
Sensible a esta cuestión, Microsoft adquirió en 2014 la empresa de seguridad israelí Aorato y con esta tecnología lanzó en el año 2015 el Microsoft Advanced Threat Analytics (ATA).
El ATA es un producto que se basa en un reconocimiento de patrónes y base de analítica. Un producto con tecnología "machine learning" que se adapta a cualquier entorno y detecta ataques mediante el análisis de comportamientos y confrontar con una base de datos de ataques conocidos y problemas de seguridad. Con el ATA de Microsoft, es posible identificar amenazas antes de que causen daños en la empresa.
Recientemente liberada la versión 1.6, esto es una solución para ejecutar en la infraestructura local o en máquinas virtuales en la nube y tiene un diseño técnico muy sencillo: colectar todo el tráfico producido por los DCs y la almacena en una base de datos donde realiza todo el procesamiento utilizando el DPI (Deep Packet Inspection) de origen israelí.
Para recoger la información necesitamos del ATA Gateway que puede ser una máquina dedicada o un software que este instalado en el controlador de dominio. En el primer caso, es necesario reflejar el tráfico del controlador de dominio al Gateway (Port mirroring), en el segundo caso se desestima esta configuración adicional. Conforme la demanda puede existir múltiples gateways que entreguen información al ATA Center, el centro neurológico de toda la solución y donde reside la base de datos.
En este nuevo paradigma de seguridad que vivimos en la mayoría de los ataques están logrados con credenciales legítimas (robadas) y realizados con herramientas consideradas como benignas (es decir, Powershell), a menudo desde dentro de la propia organización. El antivirus y firewall clásicos proporcionan una protección limitada para este tipo de ataques que para identificarse requieren una profundidad específica de conocimiento del funcionamiento de la infraestructura de cada empresa.
Sensible a esta cuestión, Microsoft adquirió en 2014 la empresa de seguridad israelí Aorato y con esta tecnología lanzó en el año 2015 el Microsoft Advanced Threat Analytics (ATA).
El ATA es un producto que se basa en un reconocimiento de patrónes y base de analítica. Un producto con tecnología "machine learning" que se adapta a cualquier entorno y detecta ataques mediante el análisis de comportamientos y confrontar con una base de datos de ataques conocidos y problemas de seguridad. Con el ATA de Microsoft, es posible identificar amenazas antes de que causen daños en la empresa.
Recientemente liberada la versión 1.6, esto es una solución para ejecutar en la infraestructura local o en máquinas virtuales en la nube y tiene un diseño técnico muy sencillo: colectar todo el tráfico producido por los DCs y la almacena en una base de datos donde realiza todo el procesamiento utilizando el DPI (Deep Packet Inspection) de origen israelí.
Para recoger la información necesitamos del ATA Gateway que puede ser una máquina dedicada o un software que este instalado en el controlador de dominio. En el primer caso, es necesario reflejar el tráfico del controlador de dominio al Gateway (Port mirroring), en el segundo caso se desestima esta configuración adicional. Conforme la demanda puede existir múltiples gateways que entreguen información al ATA Center, el centro neurológico de toda la solución y donde reside la base de datos.
Este es un producto de seguridad, se podría imaginar una serie de configuraciones y ajustes posibles, pero no hay mucho que hacer después de la instalación de los Gateways y ATA Center. Solo tenemos que esperar 30 días para que el sistema pueda «aprender» el entorno de la empresa y comenzamos a extraer información valiosa de la consola web que nos presenta con una intuitiva "Attack time line" por default donde está todas las actividades sospechosas y su severidad.
A la derecha de la pantalla hay una barra de notificaciones que se abre automáticamente cuando hay nuevas actividades sospechosas
También hay un panel de filtros y una barra de búsqueda donde podemos buscar por usuario, grupo o equipo específico
Para cada usuario y computadora se construye un perfil que se traduce en un panel con información General, grupo cual pertenece y actividad reciente
Para cada actividad sospechosa podemos cambiar el estado a "Resolved" o "dismissed", conforme la situación este resuelta o se considera normal
Con mis compañeros Chritian Ibiri y Leonardo Rosso quedamos muy impresionados con esta solución que, a pesar de no haber tenido debida prominencia por el fabricante, creemos que en entornos Microsoft es una gran ventaja, especialmente para el control de amenazas internas.
El ATA está licensiado en uno de los siguientes suites de licencias:
Si ya tienes una de estas suites, la buena noticia es que el ATA ya lo tienes licenciado, sólo necesitará instalarlo.
El ATA está licensiado en uno de los siguientes suites de licencias:
- Enterprise Client Access License (CAL) Suite
- Enterprise Mobility Suite (EMS)
- Enterprise Cloud Suite (ECS)
No hay comentarios.:
Publicar un comentario