¿Cómo descubrir y defender un ataque en una única visualización?

Trend Micro comparte ideas clave que las organizaciones deben adoptar para garantizar la máxima protección de sus sistemas.

241

A medida que las organizaciones comienzan a entender las vulnerabilidades que se presentarán durante este año, se da el momento oportuno para hacer un balance de cómo pueden fortalecer su postura de seguridad y reforzar sus defensas. Si bien, estas pueden tener el poder de las soluciones de su lado, los ciberdelincuentes trabajan diligentemente para refinar sus métodos y aprovechar las vulnerabilidades cada vez que tienen la oportunidad. 

Un ejemplo de ello está detrás de la solución Trend Micro™ Managed XDR (MDR), donde el equipo abordó recientemente un incidente encontrado por uno de sus clientes, en el que mostró cómo un actor malicioso lanzó un ataque sigiloso de varias capas. El primer evento explotó una vulnerabilidad de punto final, que sirvió como camino para desarrollar el movimiento lateral desde la instalación de un web shell en el servidor en la nube comprometido. Esta afectación persistente avanzó hasta el uso de herramientas legítimas de acceso remoto, incluido el Protocolo de escritorio remoto (RDP) como su medio final de intrusión.

Este suceso demuestra cuán crucial es que los equipos de seguridad adopten un enfoque integrado para la detección, el monitoreo y la respuesta de amenazas para manejarlas con rapidez, especialmente ahora que las prácticas de trabajo remoto se han vuelto más habituales para las empresas.

La perspectiva de manejo de amenazas

Incidentes como este brindan a los equipos de seguridad digital, oportunidades para ver los ataques desde diferentes ángulos y de manera general. A continuación, se presentan algunas ideas clave que las organizaciones pueden considerar al adoptar un enfoque proactivo de ciberseguridad para garantizar la máxima protección de sus sistemas.

  1. Sobre la detección y respuesta al web shell

El equipo MDR descubrió varias detecciones de web shell, e identificaron que los nombres de los archivos eran aleatorios y se ubicaron en el directorio donde normalmente se encuentran los scripts del servidor en las instancias de Internet Information Services (IIS). Esto lo hizo interesante de inmediato porque, en primer lugar, no parecía una prueba y, en segundo lugar, los numerosos archivos detectados con nombres aleatorios podrían significar que había un atacante que intentaba colocar varios web shells en el servidor.

  1. En TightVNC y Ngrok

TightVNC y Ngrok son aplicaciones legítimas que han sido abusadas por actores maliciosos para sus fines nefastos. Desde el punto de vista del atacante, el servidor vulnerable orientado hacia el exterior les puede proporcionar un camino hacia el entorno. Por lo que, para solidificar su punto de apoyo y llevar a cabo su objetivo, los atacantes pueden utilizar TightVNC y Ngrok como medios para controlar los puntos finales de forma remota. En esta etapa, ya pueden tener el servidor web shell infestado, con una herramienta remota normal (que el EPP no podría detectar) y una aplicación de tunelización (que el EPP tampoco podría detectar).

Confiar únicamente en la detección de EPP (equipos de protección personal) puede afectar la capacidad de un equipo de seguridad al percibir la presencia de tales herramientas abusadas para ataques graves. MDR recopila y correlaciona automáticamente los datos en múltiples capas de seguridad, lo que mejora significativamente la velocidad de detección, investigación y respuesta de amenazas. 

Las organizaciones pueden aprender muchas lecciones de este tipo de incidentes. Una de ellas es que no pueden depender únicamente de los EPP para frustrar las amenazas persistentes porque estos equipos son incapaces de proporcionar una visión holística necesaria para la detección, investigación y respuesta tempranas. Otro punto clave, que ha cobrado más relevancia ahora que la pandemia ha empujado a las empresas a adoptar configuraciones de trabajo remoto, es que incluso las herramientas más benignas, como RDP, pueden ser un vector de amenazas, ya que los actores malintencionados siempre se esfuerzan por burlar los sistemas a través de trucos creativos.

La respuesta adecuada, y no solo el tiempo, es esencial para contener el impacto y minimizar el alcance y la gravedad de un ataque.

  1. Trend Micro Vision One™ con Managed XDR

Trend Micro Vision OneTM con Managed XDR es una plataforma especialmente diseñada que va más allá de las soluciones XDR tradicionales. Los datos recopilados y analizados en silos perjudican la visibilidad, ya que las amenazas graves pueden evadir la detección. Vision One permite a los equipos de seguridad ver más, responder más rápido y lograr una mayor seguridad al proporcionar una visión contextual más clara de las amenazas en diferentes vectores. La plataforma permite que los equipos de seguridad y los analistas de amenazas conecten más puntos en una vista holística, simplificando los pasos para lograr una vista centrada en el ataque de una cadena completa de eventos, para que las organizaciones puedan tomar medidas desde un solo lugar.