En mun mundo conectado en el que cada vez existen más conexiones a veces puede ser difícil distinguir entre un inicio de sesión legítimo y uno malicioso. Por ello Fireeye ha lanzado GeoLogonalyzer, una herramienta que ayuda a las organizaciones a analizar registros para identificar inicios de sesión maliciosos basados en la viabilidad geográfica.

Por ejemplo, es improbable que un usuario que se conecta a una VPN desde Nueva York a la 13:00 se conecte desde Australia cinco minutos más tarde.

Siguiendo esta lógica, una vez que la actividad de autenticación toma como punto de referencia un entorno, empieza a identificar la actividad y analiza toda desviación de patrones lógicos. Así, GeoLogonalyzer puede ayudar a abordar estas situaciones y otras similares al procesar los registros de autenticación que contienen marcas horarias, nombres de usuario y direcciones IP de origen.

Análisis de viabilidad de direcciones IP

En cada autenticación remota que registre la dirección IP de origen es posible estimar la ubicación desde la que se originó cada inicio de sesión usando datos como la base de datos de gratuita GeoIP de MaxMind. Con información adicional, como la marca horaria y el nombre de usuario, los analistas pueden identificar un cambio en la procedencia de la localización a lo largo del tiempo para determinar si es factible que ese usuario haya podido viajar entre dos ubicaciones físicas para llevar a cabo el inicio de sesión de forma legítima.

Análisis de proveedores de alojamiento de datos en la nube

Los atacantes saben que las organizacines podrían estar bloqueando o buscando conexiones desde localizaciones inesperadas. Una solución para los atacantes es establecer un proxy o en un servidor comprometido en otro país o incluso a través de servidores alquilados alojados en otro país por empresascomo AWS, DigitalOcean o Choopa.

Afortunadamente, el usuario de Githug “client9” rastrea muchos proveedores de alojamiento de datacenter en un formato de uso fácil con esta información, podemos intentar detectar atacantes que usen los proxy de los datacenter para evitar el análisis de viabilidad geográfica.

Prevenir los abusos de acceso remoto

Teniendo en cuenta que ningún método de análisis es perfecto, las siguientes recomendaciones pueden ayudar a los equipos de seguridad a prevenir el abuso de las plataformas de acceso remote e investigar sospechas de que se haya comprometido la seguridad.

  1. Identificar y limitar las plataformas de acceso remoto que permiten acceder a información sensible desde Internet, como servidores VPN, sistemas con RDP o SSH expuesto, aplicaciones de terceras partes (por ejemplo, Citrix), intranet e infraestructuras de correo electrónico.
  2. Implementar una solución de autenticación multifactor que use tokens de un único uso generados dinámicamente para todas las plataformas de acceso remoto.
  3. Asegurarse de que los registros de autenticación de acceso remoto se registren, que sean reenviados a una herramienta de agregación de registros y guardados por al menos un año.
  4. Hacer listas blancas de rangos de direcciones IP que está confirmado que son legítimos para los usuarios de acceso remoto basados en los registros de localización física o de punto de referencia. Si esto no es posible, hacer listas negras de rangos de direcciones IP para localizaciones físicas o proveedores de alojamiento en la nube que nunca deberían autenticarse de forma legítima en el portal de acceso remoto de la organización.
  5. Utilizar o las funcionalidades del SIEM o GeoLogonalyzer para hacer un análisis de viabilidad geográfica de todos los accesos remotes con una frecuencia habitual para establecer un punto de referencia de las cuentas que realizan de forma legítima actividades de inicio de sesión inesperadas e identificar nuevas anomalías. Investigar las anomalías puede requerir contactar al propietario de la cuenta de usuario en cuestión. FireEye Helix analiza los datos de registro en tiempo real para todas las técnicas usadas por GeoLogonalyzer y algunas más.

GeoLogonalyzer es una herramienta gratuita de código abierto por lo que puede ser descargado desde el GitHub de FireEye

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario