¡Bienvenido! Trust Network Blog te da acceso a los temas de tu interés sobre tecnología y seguridad informática, donde puedes aprender y estar alerta.

23 Jan 2017

Los principales 8 indicadores de que tu red tiene una amenaza latente.

Persona

Por Trust Network

Es importante que estemos alerta de cualquier amenaza que ataque nuestra red, a continuación hablaremos de algunos indicadores que te pueden ayudar a identificar un problema existente:

1. La reputación de la IPs y dominios de destino
La manera más fácil de detectar tráfico no deseado es identificar su destino. Cualquier dominio o dirección IP que este es las listas negras y con reputación maliciosa se califica como principal candidato.
Para automatizar el proceso de validación de reputación de cada destino IP o dominio, pueden enviarse a su SIEM (Información de Seguridad y Gestión de eventos). De esta forma podrás tener más segura tu red.

2. Protocolos no reconocidos
Por lo general, cada puerto que se utiliza en comunicaciones de red tiene identificada que aplicación es la responsable del tráfico. En muchos casos el malware se comunica utilizando dichas aplicaciones o servicios propietarios, el tráfico puede ser enviado a través de un puerto completamente desconocido y es así como se puede identificar el problema. Este análisis es bastante simple, debido a que solo se requiere la observación del tráfico que se origina y determinar los puertos permitidos haciendo referencia a sus reglas de firewall.
Es importante que nos demos el tiempo de analizar el tráfico fuera de lo que el firewall permite, porque si bien es cierto con el firewall protege automáticamente, se debe estar pendiente cuando un problema sea identificado, además que viendo los intentos de comunicación desde puntos finales puede ayudar a identificar los sistemas comprometidos, incluso cuando no tienen éxito.

3. Consultas de tráfico DNS de sus usuarios
Un método que los atacantes externos usan para comprometer un sistema, es reemplazar la configuración de DNS para apuntar las consultas hacia otros servidores, controlando así con que servidores se comunica un equipo vulnerable. Esta técnica permite al atacante el poder de enviar datos a servidores erróneos, redirigiendo al usuario hacia sitios infectados con malware. Este método es una forma poderosa, pero simple de prevenir. Solamente se establece un punto de apoyo permanente en una estación de usuario final.
Al revisar el tráfico de DNS saliente, siempre debe verse el tráfico dirigido a una IP de servidor DNS interno, los usuarios no suelen enviar consultas DNS directamente a un servidor externo. Cualquier consulta DNS que provenga directamente de un punto final hacia internet es un indicador potencial de que la configuración DNS del punto final ha sido secuestrada.

4. Patrones de tráfico sospechoso
Para detectar el tráfico de amenazas, puede aprovecharse de la dependencia del malware para comunicarse con sus servidores de control (command&Control) para obtener instrucciones o de cuando el malware fue diseñado para filtrar los datos con el objetivo de obtener credenciales o información privilegiada; estos patrones generan comunicaciones anormales a puertos altos como el TCP 6667 o también es notable cuando hay cantidades inusuales de tráfico, de esta forma se puede identificar el problema.

5. Encapsulamiento de protocolos Una de las formas menos comunes en las que el malware intenta pasar desapercibido, es secuestrando el puerto de un protocolo conocido. Piense en el siguiente ejemplo, suponga que el puerto 53 está asociado con DNS y normalmente tiene control de firewall; sin embargo no hay garantía que los datos que se envían a través de este puerto sean en realidad trafico DNS, El malware puede comunicarse con el servidor C2 a través de dicho puerto 53 ya que el firewall permite que cualquier punto final se comunique con hosts externos sobre el puerto 53, entonces el malware se filtrara con éxito en la comunicación.
Identificar este tipo de amenazas requiere conocer bien la función del puerto DNS y es necesario determinar si coincide o no con la estructura del tráfico esperado con la combinación dada de protocolo, puerto y aplicación. Siempre considere esta combinación, porque no siempre podemos asumir que un protocolo se ejecutara en un puerto determinado, ya que muchos proveedores de sesión remota se comunican a través de ciertos puertos para evitar situaciones como el uso de reglas en el firewall para funcionar.

6. Firmas conocidas
El malware por lo general deja un rastro de patrones de tráfico, esto permite el uso de bases de datos con firmas conocidas, así la inspección profunda de paquetes puede comparar el tráfico con dicha base de datos y de esta forma identificar las amenazas. Sin embargo la detección basada en firmas tiende a ser menos efectiva ya que muchas veces se olvida actualizar constantemente la base de datos o también porque hay miles de nuevas variantes de malware que salen a la luz diariamente.

7. Protocolos no permitidos En la red siempre se utilizan varios protocolos, pero están prohibidos para uso general de usuarios internos. Protocolos con SMTP, SSH, VPN, RCP e IRC son utilizados solamente en casos especiales por el departamento de TI. Analizar el uso de protocolos prohibidos puede ayudar a detener el tráfico de amenazas en la red.
Para identificar correctamente el tráfico de amenazas a través del protocolo, debes abordar lo siguiente:

  • Identificar los usuarios que se comunican normalmente con un protocolo específico, por ejemplo, no se debería generar tráfico externo de POP3 o SMTP al menos que alguien en su red está utilizando un cliente de correo electrónico para comunicarse directamente con el servidor.
  • Medir cual es el tráfico normal que tiene un protocolo determinad, establecer el uso de ancho de banda y configurar alertas cuando las cantidades de trafico sobrepasan los usos normales.

8. Indicadores de fugas de información.
Las soluciones de prevención de perdida de datos (DLP) concentran sus esfuerzos en clasificar patrones de datos, bloquear la copia de archivos, envió de archivos adjuntos, etc. Incluso si ya se cuenta con solución DLP, se puede habilitar otra capa de defensa revisando el tráfico para los patrones, buscando el tráfico normal de la red de expresiones y palabras clave que son relevantes para la organización e identificar cuando una actividad extraña está ocurriendo. Se puede usar soluciones para descifrar tráfico como SSL o Proxy SSL.


MÁS ARTÍCULOS

19 Sep

Los requerimientos actuales de las áreas de Tecnologías de Información se concentran en integrar sus soluciones de seguridad, buscan acelerar tareas de procesamiento para mantener segura sus redes corporativas y, por otra parte, necesitan el respaldo de un esquema riguroso de investigación y soporte que les permita cumplir sus objetivos ante un ambiente global de amenazas.
  Leer más

25 Jul

El 6 de Julio la compañía de desarrollo de software estadounidense Niantic, Inc., lanzó por primera vez en Australia y Nueva Zelanda el videojuego de aventura en realidad aumentada Pokémon Go, disponible para dispositivos iOS y Android, el cual consiste en que el jugador recorra el mundo para descubrir toda clase de Pokémon, cuyas distintas especies aparecen dependiendo de la zona visitada.   Leer más

25 Jul

La tecnología día con día avanza a pasos agigantados, y con ello también incrementa el riesgo de ser víctima de un secuestro de datos, esto debido a que estamos expuestos a personas con conocimientos tan amplios en el área informática que utilizan dichos conocimientos para crear un modelo de negocio con el robo de información.  Leer más