Microsoft Advanced Threat Analytics

200 días es el tiempo promedio que un hacker puede residir en la red sin ser detectado. Durante este tiempo, mientras espera por el momento de atacar, mucha información y datos sensibles pueden ser capturados y están en riesgo.
En este nuevo paradigma de seguridad que vivimos en la mayoría de los ataques están logrados con credenciales legítimas (robadas) y realizados con herramientas consideradas como benignas (es decir, Powershell), a menudo desde dentro de la propia organización. El antivirus y firewall clásicos proporcionan una protección limitada para este tipo de ataques que para identificarse requieren una profundidad específica de conocimiento del funcionamiento de la infraestructura de cada empresa.

Sensible a esta cuestión, Microsoft adquirió en 2014 la empresa de seguridad israelí Aorato y con esta tecnología lanzó en el año 2015 el Microsoft Advanced Threat Analytics (ATA).
El ATA es un producto que se basa en un reconocimiento de patrónes y base de analítica. Un producto con tecnología "machine learning" que se adapta a cualquier entorno y detecta ataques mediante el análisis de comportamientos y confrontar con una base de datos de ataques conocidos y problemas de seguridad. Con el ATA de Microsoft, es posible identificar amenazas antes de que causen daños en la empresa.
Recientemente liberada la versión 1.6, esto es una solución para ejecutar en la infraestructura local o en máquinas virtuales en la nube y tiene un diseño técnico muy sencillo: colectar todo el tráfico producido por los DCs y la almacena en una base de datos donde realiza todo el procesamiento utilizando el DPI (Deep Packet Inspection) de origen israelí.
Para recoger la información necesitamos del ATA Gateway que puede ser una máquina dedicada o un software que este instalado en el controlador de dominio. En el primer caso, es necesario reflejar el tráfico del controlador de dominio al Gateway (Port mirroring), en el segundo caso se desestima esta configuración adicional. Conforme la demanda puede existir múltiples gateways que entreguen información al ATA Center, el centro neurológico de toda la solución  y donde reside la base de datos.

Este es un producto de seguridad, se podría imaginar una serie de configuraciones y ajustes posibles, pero no hay mucho que hacer después de la instalación de los Gateways y ATA Center. Solo tenemos que esperar 30 días para que el sistema pueda «aprender» el entorno de la empresa y comenzamos a extraer información valiosa de la consola web que nos presenta con una intuitiva "Attack time line" por default  donde está todas las actividades sospechosas y su severidad.

A la derecha de la pantalla hay una barra de notificaciones que se abre automáticamente cuando hay nuevas actividades sospechosas

También hay un panel de filtros y una barra de búsqueda donde podemos buscar por usuario, grupo o equipo específico

Para cada usuario y computadora se construye un perfil que se traduce en un panel con información General, grupo cual pertenece y actividad reciente

Para cada actividad sospechosa podemos cambiar el estado a "Resolved" o "dismissed", conforme la situación este resuelta o se considera normal

Con mis compañeros Chritian Ibiri y Leonardo Rosso  quedamos muy impresionados con esta solución que, a pesar de no haber tenido debida prominencia por el fabricante, creemos que en entornos Microsoft es una gran ventaja, especialmente para el control de amenazas internas.

El ATA está licensiado en uno de los siguientes suites de licencias:

• Enterprise Client Access License (CAL) Suite

• Enterprise Mobility Suite (EMS)

• Enterprise Cloud Suite (ECS)

Si ya tienes una de estas suites, la buena noticia es que el ATA ya lo tienes licenciado, sólo necesitará instalarlo.

Software Defined Perimeter (SDP), o tambien conocida como la "Black Cloud,"

Quien actúa ya hace algunos años con IT o Seguridad debe recordar del famoso y tan nombrado perímetro de seguridad y de las herramientas de protección perimetral. Básicamente, el perímetro era responsable de aislar nuestro entorno, creando una barrera que sólo los usuarios autorizados y confiables pudieran acceder a las aplicaciones, información, sistemas, etc..  Estaba claro el límite entre el entorno externo e interno, acceso público y restringido, red interna y dmz, etc…

Históricamente, cada vez que hablamos de proteger nuestro entorno e infraestructura, pensamos establecer un perímetro de seguridad, fortalecer las soluciones de seguridad de frontera y segregar la infraestructura, buscando proteger el entorno de las amenazas externas que puedan comprometer nuestros sistemas. Sin embargo, el perímetro de la forma que conocemos se ha vuelto obsoleto rápidamente por un número de razones, entre ellas:

• Internet tiene muchas falencias cuando hablamos de seguridad, pero eso es parte de su mismo ADN. Y si las cosas se quedan como son, esas falencias sólo empeoraran.

• los atacantes pueden fácilmente acceder a los dispositivos dentro del perímetro y atacar la infraestructura de un punto interno

• Conceptos como BYOD aumentan las posibilidades de tener un dispositivo comprometido dentro del perímetro de seguridad establecido

• la infraestructura tradicional (interno y centros de datos) se migran a la nube, haciendo que los sistemas y aplicaciones a migrar estén fuera del perímetro

• El gran movimiento de aparatos, dentro y fuera del perímetro y la migración de sistemas y aplicaciones fuera del ambiente controlado, convierten el perímetro cada vez menos eficiente.

• Si estamos cambiando la forma en que consumimos tecnología, también hay que cambiar cómo la protegemos. 

Software define perímetro

SDP (Software define perímetro) es un nuevo concepto de perímetro definido de software, que permite al propietario de la aplicación proteger su infraestructura, independiente del entorno.

Mientras que el perímetro de seguridad tradicional busca establece un perímetro alrededor de las aplicaciones y sistemas, el enfoque SDP es establecer un perímetro alrededor del usuario. De esta manera, tenemos un perímetro dinámico, que refleja el tipo de entorno cambiante utilizado actualmente y capaz de proteger a los usuarios y aplicaciones mientras se mueven.

El concepto de SDP, entre otros:

• autenticación y validación de dispositivos

• acceso basado en identidad

• aprovisionamiento dinámico de conexiones para ocultar aplicaciones de usuarios no autorizados

Introducción al SDP

Ahora que somos conscientes del cambio de perímetro (y los principales motivadores del cambio), podemos entender por qué las herramientas y los enfoques tradicionales a la seguridad de la red no son eficientes para la protección de este nuevo entorno. Las herramientas ampliamente conocidas y usadas para la protección del perímetro tradicional, dejan las aplicaciones y la infraestructura expuesta en internet, garantizando acceso excesivo a usuario no autorizados, o poco fiables. Generando así brechas de seguridad graves y exponen nuestra infraestructura a una serie de ataques de red.

SDP (Software define perímetro) es un nuevo concepto de perímetro definido de software, que permite al propietario de la aplicación proteger su infraestructura, independiente del entorno. La iniciativa de investigar el concepto de perímetro definido de Software fue lanzada en 2013, por CSA Cloud Security Alliance, con el objetivo de encontrar una manera eficaz bloquear los ataques de red a la infraestructura de aplicaciones. El modelo SDP utiliza como base el concepto originario en la Defense Information Systems Agency (DISA), donde se hacen las conexiones de red y acceso usando el principio de “need-to-know”, La CSA define el SDP como “on-demand, dynamically-provisioned, air gapped networks”.

Los componentes utilizados en el SDP son viejos conocidos, la gran innovación es como se han integrado y desplegado. Hasta hoy, el acceso a un medio entorno fue: conectar -> identificar -> autorizar. Con la implementación de la SDP es ahora: identificar >> autorizar >> conectar. El modelo SDP esconde la infraestructura, dejando las aplicaciones invisibles para todos los usuarios. Después de que el usuario está autenticado, o dispositivo validado, y ambos autorizados se crea un túnel dinámico entre el usuario y la aplicación.

A lo largo de la investigación y el desarrollo de un prototipo para validar el concepto, el modelo SDP demostró ser eficaz para detener todas las formas de ataque de red, incluyendo DDoS, Man in the Middle, Sever Query y Advanced Persistent Threat (APT).

El concepto de SDP está tomando una envergadura cada vez mayor y llamando mucho la atención en los últimos meses, siendo citado por Gartner:

"Hasta el final de 2017, por lo menos el 10% de organizaciones empresariales (hasta de menos de 1% hoy) aprovechará la tecnología del perímetro definido por software (SDP) para aislar ambientes sensibles."

También podemos el mismo en la última presentación de Kirk House: Global Director, Enterprise Architecture - The Coca Cola Company llamada “Re-Think Security”

La transformación de Ford desde metal hacia el digital

La Ford no guarda secreto que se está transformando en una empresa digital. Varias iniciativas de innovación alrededor del mundo ha demostrado esa estrategia, conocida como Ford Smart Mobility. Su centro de innovación, investigación y desarrollo en el Silicon Valley contrato 80% de empleados nuevos para impulsar la innovación

Acá en américa del sur un concurso eligió un proyecto de movilidad urbana de una pareja de diseñadores Argentinos 

            

Existen Otras iniciativas importantes como colecta de datos de coches y mapeamiento de rutas en Gambia en África, en sociedad con la organización de salud. Encuentre otras iniciativas (CLIC ACÁ)