Nueva herramienta para detectar autenticaciones remotas maliciosas

Los usuarios han necesitado desde hace mucho tiempo acceder a recursos importantes como redes privadas virtuales (VPN), aplicaciones web y servidores de correo en cualquier momento y parte del mundo. La capacidad de acceder a recursos desde cualquier lugar es necesaria para los empleados, lo que es utilizado a menudo por los actores de amenazas para aprovechar credenciales robadas para acceder a sistemas y datos.  Debido al gran volumen de conexiones de acceso remoto, puede ser difícil distinguir entre un inicio de sesión legítimo y uno malicioso.

Fireeye lanza GeoLogonalyzer para ayudar a las organizaciones a analizar registros (logs) para identificar inicios de sesión maliciosas basadas en la viabilidad geográfica, por ejemplo, es improbable que un usuario que se conecta a una VPN desde Nueva York a las 13:00 se conecte legítimamente a la VPN desde Australia cinco minutos más tarde.

Una vez que la actividad de autenticación se toma como punto de referencia en un entorno, los analistas pueden empezar a identificar actividad de autenticación que se desvía de los requerimientos empresariales y patrones normalizados, como por ejemplo:

  1. Las cuentas de usuario que se autentican desde dos localizaciones distantes y en horarios entre los que el usuario probablemente no haya podido viajar  en persona.
  2. Cuentas de usuarios que normalmente inician sesión desde direcciones IP registradas en una localización física, como por ejemplo una ciudad, estado o país, pero también tienen accesos desde lugares donde no es probable que el usuario esté ubicado físicamente.
  3. Cuentas de usuario que acceden desde una ubicación en el extranjero en la que no residen empleados o a la que no se espera que viajen y la organización no desarrolla negocios en ese lugar.
  4. Cuentas de usuario que normalmente inician sesión desde una fuente de dirección IP, subred o ASN, pero tienen un pequeño número de accesos desde una fuente diferente de direcciones IP, subredes o ASN.
  5. Cuentas de usuario que normalmente inician sesión desde el domicilio o redes de trabajo, pero también tienen inicios de sesión desde una dirección IP registrada a un proveedor de servicios de alojamiento en la nube.
  6. Cuentas de usuario que inician sesión desde múltiples fuentes hostname o con varios clientes VPN.

GeoLogonalyzer puede ayudar a abordar estas situaciones y otras similares al procesar los registros (logs) de autenticación que contienen marcas horarias, nombres de usuario y direcciones IP de origen.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *