Mientras Cato Networks, especialista en servicios de acceso seguro (SASE), mejora sus credenciales cibernéticas con la adición de múltiples funciones a su plataforma, el director sénior de estrategia de seguridad de la compañía, Etay Maor, ha instado a los usuarios a desafiar algunas de sus ideas preconcebidas sobre la seguridad, utilizando datos extraído de la red global de Cato para contrarrestar algunas “verdades” cibernéticas establecidas.
En junio de 2022, Cato se convirtió en el primer proveedor de SASE en agregar protección contra ransomware basada en la red a su plataforma, combinando algoritmos heurísticos que escanean los flujos de protocolo del bloque de mensajes del servidor (SMB) en busca de atributos como propiedades de archivo y comportamientos de red o de usuario, con los conocimientos profundos ya tiene en su red tráfico de sus operaciones diarias.
Los algoritmos se entrenaron y probaron con el lago de datos existente de la empresa extraído de Cato SASE Cloud, que contiene más de un billón de flujos de los bordes conectados de Cato.
La empresa afirma que esto le permitirá detectar y detener la propagación de ransomware en la red de una organización al bloquear el tráfico SMB hacia y desde el dispositivo de origen para evitar el movimiento lateral y el cifrado de archivos.
En declaraciones a Computer Weekly, Maor, quien se unió a Cato desde IntSights y también es profesor adjunto en el Woods College of Advancing Studies en Boston College, describió un ataque de ransomware Black Basta al que respondió, en el que la víctima, una organización estadounidense no identificada. – podría haberse beneficiado de esto.
Cuando obtuvo acceso a los registros de seguridad de la víctima, Maor descubrió que toda la información de que estaba entrando un ataque de ransomware estaba allí, el centro de operaciones de seguridad (SOC) simplemente no había podido verlo.
“Sé que es genial sentarse frente a seis pantallas, pero lo que los analistas de SOC están tratando de hacer es recopilar tanta información y juntarla, así que entiendo por qué se pierden cosas”, dijo.
“En este caso, fue un escritorio remoto [RDP] a un servidor de Exchange. Sí, dijeron, pero ese servidor de Exchange ya no existe, entonces, ¿por qué atacar un servidor que no está allí? Así que tuve que presentarles el ransomware como servicio. [RaaS].
“Lo que sucedió fue que otra persona que los atacó vendió sus datos de red a otra persona que escribió un script para automatizar el ataque. No estuvieron allí durante semanas, estuvieron allí por un minuto, no sabían que la víctima había cambiado su servidor de Exchange, pero tuvieron suerte en otro lugar.
“Entonces, si puede ver el tráfico de este a oeste, como un intento de conectarse a un servidor que no está allí, eso debería ser una señal de alerta para el SOC”, explicó. “Creamos nuestros algoritmos heurísticos para buscar estas peculiaridades”.
Maor dijo que quería acabar con el mito, favorecido por los presentadores en las conferencias de seguridad, de que los atacantes necesitan tener suerte solo una vez, mientras que los defensores necesitan tener suerte todo el tiempo.
“Cuando miras MITRE ATT&CK y ves cómo operan los atacantes, pronto te das cuenta de que decir es lo contrario de la verdad. Los atacantes deben tener éxito en el phishing, la obtención de un punto final, el movimiento lateral, la escalada de privilegios, la descarga de cargas útiles de malware, etcétera.
“En realidad, te das cuenta de que los atacantes deben tener razón todo el tiempo, pero los defensores deben tener razón solo en un punto para proteger, defender y mitigar”, dijo.
Cato ahora va más allá y agrega un motor de prevención de pérdida de datos (DLP) para proteger los datos en todas las aplicaciones empresariales sin necesidad de implementar reglas de DLP “complejas y engorrosas”. Forma parte de la arquitectura SSE 360 de Cato y está diseñado para resolver lo que la firma describe como las limitaciones que tienen las soluciones DLP tradicionales.
Por ejemplo, la DLP heredada puede tener reglas inexactas que bloquean actividades legítimas o, peor aún, permiten actividades ilegítimas, mientras que un enfoque en aplicaciones de nube pública deja expuestos datos confidenciales en aplicaciones propietarias o no autorizadas.
Sumado a eso, la inversión en soluciones DLP heredadas no ayuda a brindar protección contra otros vectores de amenazas.
Cato cree que ha superado estos problemas al introducir el escaneo a través de la red en busca de archivos y datos confidenciales definidos por el cliente. Es capaz de identificar más de 350 tipos de datos distintos y, una vez identificados, las reglas definidas por el cliente bloquearán, alertarán o permitirán la transacción.
Visibilidad de amenazas
Desde que se unió a Cato, Maor ha estado creando informes trimestrales sobre el panorama de amenazas utilizando datos extraídos de la red global de la empresa, y la última edición de este informe también desafía el pensamiento cibernético establecido de muchas maneras.
Por ejemplo, para pasar unos días inmerso en la comunidad de seguridad, uno podría esperar razonablemente que la mayoría de los ataques cibernéticos se originen en países como China o Rusia, pero los datos de Cato revelan que esto está lejos de ser el caso.
De hecho, durante los primeros tres meses de 2022, la actividad más maliciosa se inició dentro de los EE. UU., seguida de China, Alemania, el Reino Unido y Japón. Tenga en cuenta que estos datos están relacionados con las comunicaciones de comando y control (C2) de malware, por lo tanto, los datos revelan qué países albergan la mayoría de los servidores C2.
Maor dijo que comprender de dónde se originan realmente los ataques debería ser una parte crucial de la visibilidad de un defensor sobre las amenazas y las tendencias. Los atacantes saben muy bien que muchas organizaciones agregarán países como China o Rusia a sus listas de denegación o, al menos, inspeccionarán de cerca el tráfico de esas jurisdicciones; por lo tanto, dijo, tiene mucho sentido que basen su infraestructura C2 en países que organizaciones perciben como más seguras.
El informe de Cato también extrajo datos sobre las aplicaciones en la nube más abusadas (Microsoft, Google, RingCentral, AWS y Facebook en ese orden), con Telegram, TikTok y YouTube también en boga, probablemente como resultado de la guerra entre Rusia y Ucrania.
El informe también mostró las vulnerabilidades y exposiciones comunes (CVE) más específicas: como era de esperar, Log4Shell fue el “ganador” arrollador aquí, con más de 24 millones de intentos de explotación vistos en la telemetría de Cato, pero en segundo lugar quedó CVE-2009-2445, un Vulnerabilidad de 13 años en Oracle iPlanet Web Server (anteriormente Sun Java System Web Server o Sun ONE Web Server) que permite a un atacante leer archivos JSP arbitrarios a través de una sintaxis de flujo de datos alternativa.
“Con vulnerabilidades tan antiguas, la gente las desconoce por completo”, dijo Maor. “[It shows] la forma en que los defensores miran la red es completamente diferente de cómo lo hacen los atacantes: los defensores me enviarán un archivo visual en PDF de sus servidores, DMZ, nube, etcétera, [but] los atacantes dirán: ‘Oye, tienes un servidor de 14 años, eso es interesante'”.
