Cómo CASB y EDR protegen a las agencias federales en la period del trabajo desde casa


Los actores malintencionados se aprovechan cada vez más de la creciente fuerza laboral en el hogar y amplían el uso de los servicios en la nube para distribuir malware y obtener acceso a datos confidenciales. De acuerdo a un informe de análisis (AR20-268A) de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), este nuevo entorno de trabajo ordinary ha puesto a las agencias federales en riesgo de ser víctimas de ciberataques que explotan su uso de Microsoft Business office 365 (O365) y hacen un mal uso de sus servicios de acceso remoto VPN.

La purple world wide de McAfee de más de mil millones de sensores de amenazas ofrece a sus investigadores de amenazas la ventaja única de poder analizar a fondo docenas de ciberataques de este tipo. Según este análisis, McAfee admite Recomendaciones de CISA para ayudar a evitar que los adversarios establezcan con éxito la persistencia en las redes de las agencias, ejecuten program malicioso y extraigan datos. Sin embargo, McAfee también afirma que la naturaleza de este entorno exige que se implementen contramedidas adicionales para detectar, bloquear y responder rápidamente a las vulnerabilidades que se originan en los servicios autorizados en la nube.

Siga leyendo para aprender del análisis de McAfee de estos ataques y comprender cómo las agencias federales pueden usar el agente de seguridad de acceso a la nube (CASB) y las soluciones de detección y respuesta de amenazas de punto closing (EDR) para detectar y mitigar dichos ataques antes de que tengan la oportunidad de infligir daños graves a sus organizaciones.

La anatomía de un ataque a servicios en la nube

El análisis de McAfee admite Los hallazgos de CISA que los adversarios con frecuencia intentan obtener acceso a las redes de las organizaciones mediante la obtención de credenciales de acceso válidas para las cuentas de O365 de múltiples usuarios y las cuentas de administrador de dominio, a menudo a través de vulnerabilidades en servidores VPN sin parches. El actor de amenazas utilizará las credenciales para iniciar sesión en la cuenta de O365 de un usuario desde una dirección IP anómala, navegar por las páginas de los sitios de SharePoint y luego intentar descargar contenido. A continuación, el actor de ciberamenazas se conectaría varias veces desde una dirección IP diferente al servidor de pink privada digital (VPN) de la agencia y, finalmente, se conectaría correctamente.

Una vez dentro de la crimson, el atacante podría:

  • Comience a realizar el descubrimiento y enumerar la red
  • Establecer persistencia en la crimson
  • Ejecute procesos de línea de comandos locales y malware de varias etapas en un servidor de archivos
  • Extraer datos

Mejores prácticas básicas de SOC

El análisis integral de McAfee de estos ataques respalda Las mejores prácticas propuestas por CISA para prevenir o mitigar estos ciberataques. Estas recomendaciones incluyen:

  • Fortalecimiento de las credenciales de la cuenta con autenticación multifactor,
  • Implementar el principio de «privilegios mínimos» para el acceso a los datos,
  • Monitorear el tráfico de la purple para detectar actividad inusual,
  • Parchear temprano y con frecuencia.

Si bien estas recomendaciones brindan una foundation sólida para un programa de ciberseguridad sólido, estos controles por sí mismos pueden no llegar lo suficientemente lejos como para evitar que adversarios más sofisticados exploten y utilicen los servicios en la nube para establecerse dentro de una empresa.

Por qué las mejores prácticas deberían incluir CASB y EDR

Las organizaciones comenzarán a identificar y frustrar los ataques en cuestión mediante la implementación de un CASB con todas las funciones, como McAfee MVISION Cloud, y una solución avanzada de EDR, como McAfee MVISION Endpoint Danger Detection and Response.

La implementación de MVISION Cloud para Office environment 365 permite a los analistas de SOC de las agencias afirmar un mayor management sobre sus datos y la actividad de los usuarios en Workplace 365, handle que puede acelerar la identificación de cuentas comprometidas y la resolución de amenazas. MVISION Cloud toma nota de toda la actividad administrativa y del usuario que ocurre dentro de los servicios en la nube y la compara con un umbral basado en el comportamiento específico del usuario o en la norma de toda la organización. Si una actividad supera el umbral, genera una notificación de anomalía. Por ejemplo, al utilizar análisis de ubicación geográfica para visualizar patrones de acceso world-wide, MVISION Cloud puede alertar inmediatamente a los analistas de la agencia sobre anomalías, como instancias de acceso a Business 365 que se originan en direcciones IP ubicadas en áreas geográficas atípicas.

Cuando aparecen anomalías específicas al mismo tiempo, por ejemplo, una anomalía de fuerza bruta y un evento de acceso a datos inusual, MVISION Cloud genera automáticamente una amenaza. En los ataques analizados por McAfee, las amenazas se habrían generado desde el principio, ya que el análisis del comportamiento de los usuarios de CASB habría identificado las diversas actividades del ciberactor como sospechosas. Usando el panel de monitoreo de actividad de MVISION Cloud y la pista de auditoría incorporada de todas las actividades de usuarios y administradores, los analistas de SOC pueden detectar y analizar comportamientos anómalos en múltiples dimensiones para comprender más rápidamente qué está ocurriendo exactamente, cuándo y a qué sistemas, y si un incidente se refiere a un cuenta comprometida, amenaza interna, amenaza de usuario privilegiado y / o malware, para reducir la brecha hacia la reparación.

Además, con MVISION Cloud, un analista de seguridad de la agencia puede ver claramente cómo cada incidente de seguridad en la nube se relaciona con las tácticas y técnicas de MITRE ATT & CK, lo que no solo acelera todo el proceso forense, sino que también permite a los gerentes de seguridad defenderse contra ataques similares con mayor precisión en el futuro.

Figura 1. Vista de amenazas ejecutadas dentro de McAfee MVISION Cloud

Figura 2. Investigaciones y análisis de brechas: recomendaciones de políticas de nube de McAfee MVISION

Además, al utilizar MVISION Cloud para Business office 365, las agencias pueden crear y hacer cumplir políticas que eviten la carga de datos confidenciales a Office environment 365 o la descarga de datos confidenciales a dispositivos no administrados. Con tales políticas implementadas, se mitigará el intento de un atacante de exfiltrar datos confidenciales.

Además de implementar un CASB, implementar una solución EDR como McAfee MVISION EDR para monitorear terminales de manera centralizada y continua, incluidos los dispositivos remotos, ayuda a las organizaciones a defenderse de tales ataques. Con MVISION EDR, los analistas de SOC de las agencias tienen a su alcance análisis y visualizaciones avanzadas que amplían la detección de comportamientos inusuales y anomalías en el endpoint. También son capaces de captar las implicaciones de las alertas más rápidamente, ya que la información se presenta en un formato que cut down el ruido y simplifica la investigación, tanto que incluso los analistas novatos pueden analizar a un nivel top-quality. Las investigaciones guiadas por IA dentro de la solución también pueden proporcionar más información sobre los ataques.

Figura 3. Alineación de MITRE ATT y CK para la detección dentro de McAfee MVISION EDR

Con un panorama de amenazas que evoluciona constantemente y superficies de ataque que continúan expandiéndose con un mayor uso de la nube, ahora es más importante que nunca adoptar las soluciones CASB y EDR. Se han convertido en herramientas fundamentales para defender activamente a las agencias gubernamentales actuales y otras grandes empresas.

Obtenga más información sobre la familia de productos McAfee MVISION unificada y nativa de la nube. Obtenga respuestas a sus preguntas tuiteando @McAfee





Enlace a la noticia initial