Red de información TI para profesionales ITMedia NetWork

Búsqueda avanzada

Publicidad

Publicidad

Noticias

La herramienta gratuita GeoLogonalyzer de FireEye analiza logs y detecta autenticaciones remotas maliciosas

20 Junio 2018por Redacción

Ante el alto volumen de conexiones de acceso remoto que soportan los sistemas empresariales y con el fin de facilitar el distinguir inicios de sesión legítimos y maliciosos, FireEye lanza GeoLogonalyzer. Una herramienta gratuita y de código abierto que analiza registros (logs) e identifica inicios de sesión maliciosas basándose en la viabilidad geográfica

El fenómeno de la movilidad propicia el uso de redes privadas virtuales (VPN), aplicaciones web y servidores de correo en cualquier momento y parte del mundo. De hecho, el acceder a recursos desde cualquier lugar es imprescindible para empleados y empresas, lo que es utilizado a menudo por ciberdeincuentes para robar credenciales y acceder a sistemas y datos.

Debido al gran volumen de conexiones de acceso remoto, puede ser difícil distinguir entre un inicio de sesión legítimo y uno malicioso y, con el fin de facilitar esa detección, FireEye ofrece GeoLogonalyzer, una herramienta open source que permite gestionar los logs y detectar irregularidades.

Así, en la actividad de autenticación GeoLogonalyzer se se toma como punto de referencia en un entorno y el análisis pueden empezar a identificar actividad de autenticación que se desvía de los requerimientos empresariales y patrones normalizados, como por ejemplo cuando:

  • Las cuentas de usuario que se autentican desde dos localizaciones distantes y en horarios entre los que el usuario probablemente no haya podido viajar en persona.
  • Cuentas que normalmente inician sesión desde direcciones IP registradas en una localización física, como por ejemplo una ciudad, estado o país, pero también tienen accesos desde lugares donde no es probable que el usuario esté ubicado físicamente.
  • Usuarios que acceden desde una ubicación en el extranjero en la que no residen empleados o a la que no se espera que viajen y la organización no desarrolla negocios en ese lugar.
  • Cuentas dque normalmente inician sesión desde una fuente de dirección IP, subred o ASN, pero tienen un pequeño número de accesos desde una fuente diferente de direcciones IP, subredes o ASN.
  • Usuarios que normalmente inician sesión desde el domicilio o redes de trabajo, pero también tienen inicios de sesión desde una dirección IP registrada en un proveedor de servicios cloud.
  • Cuentas que inician sesión desde múltiples fuentes hostname o con varios clientes VPN.

GeoLogonalyzer puede ayudar a abordar estas situaciones y otras similares al procesar los registros (logs) de autenticación que contienen marcas horarias, nombres de usuario y direcciones IP de origen.

Principales características de GeoLogonalyzer

Entre las principales características y prestaciones de la nueva solución hay que señalar:

Análisis de viabilidad de direcciones IP

En cada autenticación remota que registre la dirección IP de origen es posible estimar la ubicación desde la que se originó cada inicio de sesión usando datos como la base de datos de gratuita GeoIP de MaxMind.

Con información adicional, como la marca horaria y el nombre de usuario, los analistas pueden identificar un cambio en la procedencia de la localización a lo largo del tiempo para determinar si es factible que ese usuario haya podido viajar entre dos ubicaciones físicas para llevar a cabo el inicio de sesión de forma legítima.

Análisis de proveedores de alojamiento cloud

Los atacantes saben que las organizaciones podrían estar bloqueando o buscando conexiones desde localizaciones inesperadas. Para contrarrestar esa detección, suelen establecer un proxy en un servidor comprometido en otro país e, incluso, en servidores alquilados alojados en proveedores como AWS, DigitalOcean o Choopa.

Afortunadamente, el usuario de Githug “client9” rastrea muchos proveedores de alojamiento cloud en un formato de uso fácil con esta información, detecta a los atacantes que usen ese tipo de proxy para evitar el análisis de viabilidad geográfica.

Prevenir los abusos de acceso remoto

Dado que ningún método de análisis es perfecto, FireEye hace algunas recomendaciones que pueden ayudar a los equipos de seguridad a prevenir el abuso de las plataformas de acceso remoto e investigar sospechas de que se haya comprometido la seguridad.

  1. Identificar y limitar las plataformas de acceso remoto que permiten acceder a información sensible desde Internet, como servidores VPN, sistemas con RDP o SSH expuesto, aplicaciones de terceras partes (por ejemplo, Citrix), intranet e infraestructuras de correo electrónico.
  2. Implementar una solución de autenticación multifactor que use tokens de un único uso generados dinámicamente para todas las plataformas de acceso remoto.
  3. Asegurarse de que los logs de autenticación de acceso remoto se registren, que sean reenviados a una herramienta de agregación de registros y guardados por al menos durante un año.
  4. Hacer listas blancas de rangos de direcciones IP que está confirmado que son legítimos para los usuarios de acceso remoto basados en los registros de localización física o de punto de referencia. Si esto no es posible, optar por la creación de listas negras de rangos de direcciones IP para localizaciones físicas o proveedores de alojamiento en la nube que nunca deberían autenticarse de forma legítima en el portal de acceso remoto de la organización.
  5. Utilizar o las funcionalidades del SIEM de GeoLogonalyzer para hacer un análisis de viabilidad geográfica de todos los accesos remotos con una frecuencia habitual para establecer un punto de referencia de las cuentas que realizan de forma legítima actividades de inicio de sesión inesperadas e identificar nuevas anomalías: FireEye Helix analiza los datos de registro en tiempo real para todas las técnicas usadas por GeoLogonalyzer.


Más información en https://www.fireeye.com/blog/threat-research/2018/05/remote-authentication-geofeasibility-tool-geologonalyzer.html y acceso a Geologonalyzer en https://github.com/fireeye/GeoLogonalyzer 

ShareThis

Publicidad

Destacamos

  • ¿Están nuestras empresas seguras ante un ciberataque?

    Ninguna empresa, independientemente de su tamaño o sector, está exenta de ser el objetivo de un ataque informático. Vivimos en la era de la información y de la globalización en la que los más de 10.000 millones de dispositivos conectados pueden ser puerta de entrada para ciberdelincuentes. Unas puertas que “no sólo han de estar aseguradas con llave, sino blindadas a cualquier amenaza”, recomienda Ángel Trevejo, socio-director de Altim

Envío de artículos por email de IT SEGURIDAD.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de IT SEGURIDAD.es

Procesando envíos...

Envío de artículos por email de IT SEGURIDAD.es

Email enviado. Cerrar

Envío de artículos por email de IT SEGURIDAD.es

Error en el envio. Pulse aqui para cerrar.Cerrar