Los sistemas antimalware y los firewalls eran los métodos tradicionales para proteger un sistema de TI. Estas dos categorías de sistemas de seguridad siguen siendo necesarias, pero no son suficientes. Los piratas informáticos tienen nuevas técnicas para dañar un sistema y, a menudo, facilitan el acceso manual regular del pirata informático a la red y sus puntos finales.
Los principales grupos de hackers del mundo tienen salas de calderas llenas de trabajadores que intentan engañar a los empleados de la empresa para que revelen sus credenciales de acceso al sistema. También mantienen equipos de programadores y analistas para diseñar nuevos paquetes de software que puedan acceder a los sistemas de registro y eliminar los indicadores de su presencia.
La piratería es ahora una empresa de gran presupuesto, y los equipos exitosos que prosperan necesitan recuperar los costes iniciales del proyecto aprovechando al máximo el acceso al sistema. Estos equipos pueden obtener acceso regular a redes privadas durante años, inspeccionando regularmente los archivos de datos en busca de cualquier cosa que pueda resultar rentable e incluso adquiriendo recursos del sistema para su uso.
Los piratas informáticos pueden trasladarse a un sistema de TI corporativo y familiarizarse y sentirse cómodos con todas las instalaciones como cualquier usuario habitual. Es posible que tengas piratas informáticos en tu sistema que hayan estado allí durante más tiempo que muchos de tus empleados. No conoces estas intrusiones porque están enmascaradas. Estos invitados no deseados se denominan «Amenazas persistentes avanzadas» (APT). Debes adoptar nuevas estrategias de seguridad ahora para detectar y bloquear a esos piratas informáticos.
Aquí tienes el mejor software para detectar piratas informáticos. Pero comencemos hablando de las amenazas persistentes avanzadas.
Indice
Amenazas persistentes avanzadas
Una APT es difícil de detectar porque los piratas informáticos usan cuentas de usuario válidas o implementan rutinas de persistencia y encubrimiento para cubrir sus huellas y mantener su puerta trasera abierta. Las actividades del hacker también incluyen procesos de malware. Esto se debe a que los intrusos APT desarrollan conjuntos de herramientas para facilitar las actividades.
Es posible que la actividad de los piratas informáticos no se relacione directamente con la empresa. Esos objetivos no se dividen por el valor de tus datos, sino por la utilidad de tus equipos y servicios. Ejemplos de secuestro de estas instalaciones incluyen la minería de criptomonedas y la construcción de VPN del inframundo.
Aunque todos los principales proveedores de VPN dicen que no registran las actividades de los usuarios y garantizan el anonimato total, esto no siempre es cierto. Los piratas informáticos se aseguran doblemente de que no puedan ser rastreados si no se preocupan por los servicios comerciales de VPN, sino que configuran los suyos propios. Las herramientas de encubrimiento de piratas informáticos eliminan los registros de actividad relacionados con las conexiones a través de un host APT, lo que permite a los piratas informáticos enmascarar sus ubicaciones reales mientras atacan otras redes.
Del mismo modo, los mineros de criptomonedas eliminan todos los indicadores de sus actividades, dejando a los administradores del sistema desconcertados sobre por qué su factura de electricidad se ha disparado.
Sistemas de detección de piratas informáticos
Se diseñaron dos tipos de software para detectar la actividad de los piratas informáticos. En verdad, estos dos tipos son una categoría pero usan dos nombres diferentes. Estos son los paquetes de sistemas de detección de intrusiones (IDS) e información de seguridad y gestión de eventos (SIEM).
SIEM combina dos estrategias y hay dos tipos de IDS. Las dos metodologías encapsuladas por SIEM son Security Information Management (SIM) y Security Event Management (SEM).
SIM rastrea todos los registros en busca de actividad anormal y SEM lee los paquetes a medida que pasan por la red, en busca de indicadores sospechosos.
Los dos tipos de IDS son los sistemas de detección de intrusos basados en host (HIDS), que revisan los registros, y los sistemas de detección de intrusiones basados en la red (NIDS), que observan el tráfico de la red en vivo en busca de señales de problemas.
Por lo tanto, cuando busques un software de detección de piratas informáticos, debes concentrarte en un IDS o un SIEM. Tanto IDS como SIEM han evolucionado paso a paso. Los sistemas de prevención de intrusiones (IPS) pueden interactuar con otros sistemas de seguridad, como administradores de derechos de acceso o firewalls, para cerrar automáticamente el acceso de los piratas informáticos. Los SIEM han adquirido la misma capacidad.
El mecanismo de colaboración para cerrar cuentas de piratas informáticos en un sistema SIEM se llama SOAR, abreviatura de «Security Orchestration, Automation, and Response». Los paquetes SIEM que incluyen esta capacidad se denominan «SIEM de próxima generación».
¿Qué debes buscar en un sistema de detección de piratas informáticos?
Revisamos el mercado de software de detección de piratas informáticos y analizamos las opciones en función de los siguientes criterios:
- Una plataforma que combina la detección de piratas informáticos con la prevención de malware
- Un sistema que incluye procesos automatizados para detener la actividad de los piratas informáticos.
- Un feed de inteligencia que actualiza los métodos de detección automáticamente
- Análisis de comportamiento de entidades y usuarios (UEBA) basado en IA para ajustar los métodos de detección
- Un servicio escalable que pueden utilizar tanto organizaciones pequeñas como grandes
- Un período de evaluación gratuito ofrecido por una prueba, una demostración o una garantía de devolución de dinero
- Relación calidad-precio representada por un precio razonable en comparación con las funciones ofrecidas.
El mejor software de detección de piratas informáticos
Los mejores sistemas de detección de piratas informáticos ofrecen servicios adicionales. Por ejemplo, los proveedores combinan sistemas SIEM con servicios de gestión de registros. Son útiles para el cumplimiento de la privacidad de los datos porque estándares como PCI DSS , HIPAA y RGPD requieren que los registros se almacenen y organicen para una auditoría de verificación al azar. Otros proveedores han ensamblado plataformas que combinan antimalware y firewalls con sistemas IDS.
Con estos criterios en mente, analizamos el mercado de software de seguridad e identificamos algunos paquetes muy atractivos que deberías considerar para la protección contra intrusos.
SolarWinds Security Event Manager
Es un SIEM basado en un administrador de registros competente que admite PCI DSS , SOX , HIPAA , GLBA y NERC CIP. Una característica interesante del administrador de registros en esta herramienta es su monitor de integridad de archivos que protege todos los archivos de registro recopilados de la manipulación por intrusos.
SolarWinds administra su servicio de recopilación de inteligencia sobre amenazas, que comparte información sobre ataques entre sus clientes SIEM. Esto alimenta cada implementación a través de Internet, actualizando los procedimientos de búsqueda de amenazas con nuevas firmas de actividad sospechosa a tener en cuenta.
A medida que el SIEM detecta actividades de piratas informáticos, implementa procedimientos de mitigación, lo que se denomina Respuesta activa. También establece un seguimiento de análisis de la causa raíz, que actúa como un administrador de vulnerabilidades, lo que permite a los administradores de sistemas fortalecer el sistema para evitar que el mismo punto de entrada sea explotado nuevamente.
SolarWinds Security Event Manager se instala sobre la virtualización, que puede ser Hyper-V o VMWare vSphere. También se puede alojar en una cuenta de AWS o Azure. El sistema está disponible para una prueba gratuita de 30 días.
Exabeam NextGen SIEM
Es una plataforma en la nube que une una colección de herramientas de seguridad. El sistema incluye un programa de agentes en el sitio que recopila datos e implementa soluciones. La conexión entre el agente y el servidor Exabeam está protegida por cifrado. Una parte importante de esos datos de origen proviene de los mensajes de registro.
La plataforma en la nube incluye un servidor de registros y un consolidador. Esto también almacena esos mensajes de registro para que se pueda acceder a ellos para la auditoría de cumplimiento de estándares. La plataforma consta de una función de análisis de datos que busca mensajes en busca de señales de intrusión.
Dos procesos informan la detección de intrusiones. Uno es el servicio de análisis de comportamiento de entidades y usuarios (UEBA). Esto establece una línea de base para las búsquedas de anomalías al establecer una línea de base de comportamiento normal en el sistema. Este paso puede ayudar a resaltar la actividad sospechosa de los piratas informáticos porque el comportamiento inusual de una cuenta de usuario se destacará de la norma.
La detección de amenazas se ve reforzada por un suministro de inteligencia de amenazas de SkyFormation, una división de Exabeam. Este es un conjunto de experiencias de ataque que se obtienen regularmente de más de 30 plataformas en la nube. Por lo tanto, si ocurre un ataque en uno de esos sistemas, tu SIEM se actualizará instantáneamente con firmas a las que debes prestar atención.
Exabeam incluye un SOAR llamado Incident Responder. Esto puede interactuar con Active Directory, servidores de correo electrónico y firewalls para bloquear cuentas sospechosas. Puedes solicitar una demostración de este SIEM de próxima generación para ver cómo detecta la actividad de los piratas informáticos.
ManageEngine Log360
Es un sistema de administración de registros que incluye capacidades SIEM. El sistema también obtiene fuentes externas de datos para detectar actividades de piratas informáticos. Estos feeds enumeran las direcciones IP que están asociadas con los ataques de piratas informáticos realizados en otras ubicaciones.
El Log360 accede a todo tipo de registros: eventos de Windows, Syslog y mensajes generados por aplicaciones. La herramienta puede monitorizar los servicios en la nube porque puede recopilar registros de AWS, Azure y Exchange Online.
Los servicios SOAR en Log360 se integran con Active Directory. Esto no solo monitoriza el administrador de derechos de acceso, sino que también envía instrucciones de cierre para suspender las cuentas de usuario sospechosas. El sistema también puede interactuar con los servidores web IIS y Apache, y puede monitorizar la actividad en las bases de datos de Oracle. Log360 puede consultar firewalls, enrutadores y conmutadores, y también bloquea el tráfico en función de la dirección IP al interactuar con esos dispositivos.
Puedes instalar el software Log360 en Windows y Windows Server. Hay una edición gratuita del paquete, que se limita a monitorizar 25 dispositivos y cinco fuentes de registro. Puedes obtener una prueba gratuita de 30 días de la versión de pago, que se llama edición Premium.
LogRhythm
Es un IPS completo compuesto por un SIEM NextGen más un NIDS llamado detección y respuesta de red (NDR). El sistema incluye capacidades SOAR para detener la actividad de los piratas informáticos una vez que se ha detectado.
Hay dos partes del sistema LogRhythm que residen en el sitio monitorizado. Estos son SysMon, un recopilador de datos de registro y NetMon, un monitor de tráfico de red. Estos elementos alimentan los datos de origen al motor analítico del SIEM.
La plataforma basada en la nube de LogRhythm para la detección de piratas informáticos se llama XDR Stack. Las capas de la pila son AnalytiX, que consolida los mensajes de registro cargados y luego los busca en busca de signos de intrusión, DetectX, que aplica inteligencia sobre amenazas, y RespondX, que es SOAR. La parte de mitigación de amenazas de RespondX se llama SmartResponse Automation. Suspende las cuentas de usuario en Active Directory y actualiza las tablas de firewall para bloquear la comunicación con direcciones IP específicas.
El sistema se puede profundizar con módulos adicionales. Estos son User XDR, un módulo UEBA, y MistNet, un sistema de detección de intrusos basado en red.
Aunque LogRhythm es una plataforma SaaS basada en la nube, es posible obtener el sistema como un paquete de software para Windows Server o como un dispositivo. Puedes solicitar una demostración en vivo del servicio en la nube.
Plataforma Insight de Rapid 7
Es una plataforma basada en la nube de herramientas de detección de piratas informáticos basada en un SIEM de próxima generación. Los módulos de la plataforma se pueden suscribir individualmente. La herramienta SIEM se llama InsightIDR – IDR significa Intrusion Detection and Response. Incluye UEBA para la eliminación de informes de falsos positivos y una detección de anomalías más precisa. Las reglas de detección de piratas informáticos se actualizan constantemente mediante una fuente de inteligencia de amenazas.
Si bien todo el procesamiento de datos de InsightIDR se lleva a cabo en la nube, es necesario que haya un programa de agente instalado en su sitio para interactuar con ese servicio remoto. El canal de comunicación entre estas dos partes del servicio está encriptado. La fuente de datos principal de InsightIDR proviene de los registros. Todos los mensajes de registro de su red y puntos finales se cargan en un servidor de registro, colocándolos en un formato estándar. Luego, el IDR busca en estos mensajes indicios de actividad de piratas informáticos.
InsightIDR incluye un módulo de tecnología de engaño. Esto establece caminos falsos y honeypots para atrapar a los piratas informáticos. Esto protege los almacenes de datos confidenciales al desviar a los piratas informáticos y también hace que los piratas informáticos sean más fáciles de encontrar.
Puedes echar un vistazo a la plataforma Rapid7 Insight en una prueba gratuita de 30 días.
Splunk
Es una herramienta gratuita de análisis de datos de red ampliamente utilizada. Puede ampliarse mediante un sistema SIEM, que se cobra. Ese sistema se llama Splunk Enterprise Security. Los datos que ingresan a este servicio son inspecciones de tráfico de red en vivo y mensajes de registro del sistema.
El panel de Splunk Enterprise Security muestra las estadísticas del sistema en vivo recopiladas por el motor analítico a medida que se procesan las nuevas fuentes de datos. El sistema generará una alerta si detecta una actividad inusual que podría indicar la presencia de un pirata informático. El sistema de detección, llamado Asset Investigator, se ubica en ubicaciones específicas del sistema. Esto te brinda una variedad de opciones sobre lo que deseas hacer para hacer frente a la presunta intrusión.
El paquete Splunk Enterprise Security incluye un módulo de respuesta automatizado llamado Adaptive Operations Framework. Esto interactúa con otros sistemas para ocultar automáticamente la actividad de los piratas informáticos cuando se detecta.
Splunk Enterprise Security se instala en Windows o Linux, y puedes obtenerlo en una prueba gratuita de 60 días. También existe una versión SaaS llamada Splunk Cloud. Ese servicio se puede evaluar en una prueba gratuita de 15 días.
FireEye Helix
Es una plataforma de detección de amenazas entregada desde la nube. Este es el servicio SIEM de próxima generación. Incluye un módulo de análisis de comportamiento de usuarios y entidades que rastrea la actividad sospechosa de piratas informáticos llamada detección de movimiento lateral. Esto vincula eventos que están ocurriendo en diferentes partes del sistema que solo parecen sospechosos una vez que se examinan en combinación.
El sistema también se basa en una fuente de inteligencia de amenazas que adapta los procedimientos de búsqueda de amenazas con información sobre ataques que se han descubierto recientemente en las técnicas de otras empresas. La detección de amenazas y las respuestas de mitigación vinculadas están conectadas en una cadena que se presenta en un «libro de jugadas». Esto dicta cómo funciona el sistema SIEM y es posible crear sus libros de jugadas.
Los libros de jugadas también se pueden adaptar mediante integraciones, que permiten a Helix interactuar con otras herramientas en tu sistema, tanto para la recopilación de datos como para las respuestas. Este servicio es adecuado para aquellas empresas que necesitan seguir un estándar de privacidad de datos específico porque todos los libros de jugadas se pueden ajustar automáticamente de acuerdo con una configuración de estándares en el panel del servicio.
FireEye ha construido una visita autoguiada de la plataforma Helix.