Darktrace Immune SystemDetección y respuesta basada an autoaprendizaje

NOTAS DEL PRODUCTO

1

Los líderes empresariales de la era digital se enfrentan a factores de riesgo de gran urgencia en esta época de ciberamenazas automatizadas y de rápida repercusión, desde el robo y la manipulación de datos de suma importancia, hasta alarmantes pérdidas causadas por la interrupción del negocio. Estos riesgos han aumentado exponencialmente en los últimos años, a medida que las amenazas se desarrollan y se vuelven más sofisticadas. Además, se aprovechan de que los negocios digitales van creciendo en complejidad, diversidad y tamaño.

En el pasado, cuando los actores maliciosos eran menos avanzados y la actividad digital era más predecible, un enfoque tradicional para la seguridad solía ser suficiente para mantener al margen las amenazas cibernéticas. Mediante la configuración de herramientas de seguridad combinadas con algunas reglas o firmas, los equipos de seguridad han tratado de detectar amenazas definiéndolas con antelación como “inofensivas” o “maliciosas”, basándose en representaciones de ataques que han sido concebidos en forma de regla u observados durante su propagación, y que se han analizado mediante técnicas de ingeniería inversa para poder detectarlos en el futuro.

Sin embargo, el aumento en la frecuencia de nuevos ataques externos y amenazas internas, junto con la creciente complejidad del estado digital, están dejando sin armas a los equipos de seguridad que aún dependen de controles tradicionales. Estas rígidas defensas no detectan las nuevas tácticas y técnicas de los ciberdelincuentes sofisticados, que ahora pueden mezclarse en la inmensidad de la red y atravesar grandes y complejas infraestructuras en cuestión de segundos.

Además de la red de TI corporativa, los equipos de seguridad también deben proteger un conjunto diverso y fragmentado de aplicaciones SaaS, cargas de trabajo en la nube, maquinaria industrial y plataformas de correo electrónico;

cada uno viene con sus propios controles, los cuales tienen cierto grado de complejidad e incompatibilidad. La interrelación de los comportamientos de la fuerza laboral en estos entornos tan distintos conlleva que las solu-ciones puntuales sean ineficaces, ya que carecen del alcance unificado necesario para detectar aquellas amenazas que puedan desplegarse por toda la organización.

El hecho es que las nuevas amenazas logran inevitablemente su propósito, por lo que la atención de la industria se orienta hacía cómo equipar a los responsables de ciberdefensa para que puedan detectar y dar respuesta a las amenazas emergentes que ya han logrado acceder a la empresa pero que aún pueden controlarse antes de que provoquen una crisis. Y, al igual que en muchas otras áreas afectadas por la complejidad digital, los líderes empresariales y los equipos de seguridad finalmente han recurrido a la inteligencia artificial para no quedarse atrás.

El ambiente actual de las amenazas

Contents

El ambiente actual de las amenazas 1

Darktrace Immune System 2

Un enfoque basado autoaprendizaje 2

Respuesta Autónoma 3

Cyber AI Analyst 4

Protección para toda la empresa 5

Cyber AI para la nube y SaaS 6

Cyber AI para correo electrónico 10

Cyber AI para el Internet de las Cosas 12

Cyber AI para redes industriales 14

Cyber AI para la red 16

NOTAS DEL PRODUCTO

2

Un enfoque basado autoaprendizaje

Mientras que las defensas tradicionales continúan definiendo las amenazas de antemano, Darktrace se enfoca en aprender el “patrón de vida” normal de las empresas y en detectar sutiles desviaciones que pudieran ser indicativas de una amenaza. Al igual que el sistema inmunitario humano, esta tecnología aprende “en curso” a partir de los datos que recaba y la actividad que observa in situ. Esto significa realizar miles de millones de cálculos probabilísticos a partir de nuevas evidencias y aplicar políticas de aprendizaje continuo a medida que la empresa evoluciona.

Por lo general, las amenazas que logren infiltrarse en su empresa no serán del tipo de ataque del que ya disponga de información en su histórico, sino que serán amenazas que han logrado eludir las herra-mientas de defensa existentes o son consecuencia de comporta-mientos inapropiados de empleados o terceros. Al aprender el sentido de “ser” de su empresa como conjunto, el “sistema inmunológico” de Darktrace detecta patrones sutiles anteriormente inadvertidos y amenazas emergentes que, de otra forma, pasarían desapercibidas.

Darktrace Immune System

Threat Visualizer El Threat Visualizer de Darktrace proporciona visibilidad en tiempo real de toda su infraestructura digital, sacando a la luz información útil concerniente a la nube, el correo electrónico y la red corporativa en un único panel unificado cuya interfaz gráfica intuitiva y fácil de usar simplifica la visualización e investigación de ciberamenazas. El

Threat Visualizer permite al usuario “retroceder en el tiempo” hasta el momento en que ocurrió un incidente y presenciar cada evento en tiempo real. Solo se muestran las amenazas más relevantes, permi-tiendo así la priorización de incidentes, con la opción de profundizar en cualquier evento individual con mayor detalle.

El motor de detección central de Darktrace utiliza aprendizaje de máquina sin supervisión para construir una comprensión dinámica de lo que es “normal” para cada organización bajo su protección. En lugar de confiar en reglas, firmas, puntos de referencia fijos o datos históricos, el sistema inmunológico aprende de su entorno digital en constante evolución y se forma un conocimiento personalizado y multidimensional de cada usuario, dispositivo y de todas las rela-ciones complejas entre ellos.

Este enfoque único basado en el autoaprendizaje le permite a Darktrace detectar ataques avanzados en una etapa temprana y mucho antes de que se pueda generar una crisis: desde una nueva cepa de ranso-mware o un ataque interno, hasta una campaña de spear phishing coordinada, o errores de configuración críticos de la nube.

Figura 1: La bandeja de amenazas en la parte inferior del Threat Visualizer muestra las amenazas digitales identificadas a través del negocio digital

NOTAS DEL PRODUCTO

3

Respuesta AutónomaDarktrace también ha creado la primera tecnología de Respuesta Autónoma probada en el mercado: Darktrace Antigena.

Con esta innovación, Darktrace ha evolucionado no solo para detectar, sino también para contraatacar de manera inteligente ante los ataques en curso antes de que puedan tener un impacto. Utilizando el amplio conocimiento del Enterprise Immune System sobre todo el negocio digital, Darktrace Antigena toma medidas rápidas y específicas para interrumpir los ataques con precisión, incluso si la amenaza es diri-gida o completamente desconocida.

En lugar de imponer cuarentenas generalistas que solo provocarían más interrupciones, Antigena aplica quirúrgicamente el “patrón de vida” normal de un dispositivo infectado o empleado comprometido, neutralizando así la amenaza en cuestión de segundos y permitiendo el desarrollo normal de las operaciones. Estas acciones autodirigidas no solo son granulares, sino que también se adaptan dinámicamente a la gravedad de la amenaza a medida que la misma se desarrolla.

Figura 2: Darktrace Immune System

Más allá de esta protección táctica, Darktrace Antigena también puede generar respuestas estratégicas actuando como el “cerebro de inteligencia artificial” de todo el portafolio de seguridad, aprove-chando detecciones de alta confianza para delegar e integrarse con las defensas en línea como mecanismo de respuesta. Mediante inte-graciones activas, Antigena puede conectarse y mejorar el ecosistema existente sin interrupciones, informando a los firewalls y dispositivos de la red sobre los ataques que se han producido.

Con Respuesta Autónoma trabajando en conjunto con el “sistema inmunológico” central de Darktrace, la Cyber AI devuelve el control a los defensores, transformando a la organización más compleja y vulnerable en una empresa digital resistente con capacidades de autodefensa.

NOTAS DEL PRODUCTO

4

Cyber AI AnalystMientras que el Darktrace Immune System y Antigena aceleran el “tiempo de detección y respuesta”, el Cyber AI Analyst de Darktrace reduce drásticamente el “tiempo de interpretación” al automatizar completamente la investigación de las amenazas que acontecen por primera vez.

Los analistas de seguridad humanos suelen investigar las amenazas siguiendo pistas, formulando hipótesis, llegando a conclusiones y compartiendo sus hallazgos con sus colegas. Estos son pasos que requieren mucha mano de obra, tiempo y experiencia, a menudo en el contexto de amenazas que funcionan a la velocidad de las máquinas y superan el alcance inherentemente limitado de las respuestas humanas. Al combinar la intuición de analistas expertos con la velocidad y la escalabilidad de la IA, el Cyber AI Analyst trasciende estas limitaciones con investigaciones basadas en IA que reducen el tiempo de triaje en hasta un 92 %.

Cuando el Darktrace Immune System detecta un patrón de compor-tamiento sospechoso, el Cyber AI Analyst inicia una investigación en toda la empresa, relacionando anomalías dispares antes de llegar a una conclusión de alto nivel sobre la naturaleza y el origen del inci-dente de seguridad. Debido a que la IA puede operar en todas partes a la vez, puede generar miles de consultas y seguir cientos de subpro-cesos paralelos simultáneamente, esclareciendo rápidamente todo el alcance de los incidentes en tiempo real.

Fundamentalmente, el Cyber AI Analyst no solo automatiza los flujos de trabajo de análisis en velocidad y escala, sino que también preserva la flexibilidad inherente de la experiencia humana. Esto significa que el sistema puede interpretar e informar rápidamente sobre incidentes de seguridad caracterizados por técnicas de ataque innovadoras que serían imposibles de capturar mediante reglas predefinidas.

Cyber AI Analyst de Darktrace detiene un ataque de vulnerabilidad de día cero (Zero-Day)El Cyber AI Analyst demostró ser crucial recientemente al identificar cuando varios clientes de Darktrace se vieron afectados por un ataque dirigido a la vulnerabilidad de día cero de Zoho ManageEngine CVE-2020-10189. Más adelante, las intrusiones se atribuyeron al actor de amenazas chino APT41 y fueron parte de una campaña más amplia que tuvo por objetivo obtener acceso inicial a tantas empresas como fuera posible durante la oportunidad presentada por la vulnerabilidad.

Darktrace detectó e investigó automáticamente el ataque en sus primeras etapas, lo que permitió a los clientes contener la amenaza antes de que pudiera tener un impacto. Los informes generados por Cyber AI Analyst destacaron y delinearon cada aspecto del incidente en forma de una narrativa de seguridad significativa. Incluso un analista junior podría haber revisado este resultado y actuado durante este ataque APT de día cero en menos de 5 minutos.

Figura 3: Una sinopsis del incidente generada por Cyber AI Analyst, incluyendo las etapas del ataque

Al investigar continuamente el 100 % de los eventos de seguridad que detecta el Dakrtrace Immune System, el Cyber AI Analyst crea un panel dinámico de la situación e informes escritos que proporcionan a los equipos de seguridad con recursos limitados datos y prioridades sobre las que actuar.

NOTAS DEL PRODUCTO

5

Cada vez más, quienes llevan a cabo las amenazas no limitan sus ataques a una sola tecnología y, como defensores, resulta esencial que las protecciones estén unificadas en toda la empresa digital. Algo tan simple como una contraseña comprometida puede dar lugar a un ataque simultáneo contra múltiples instalaciones. El Darktrace Immune System ha sido específicamente diseñado para atravesar múltiples conductos y permitir una detección y respuesta unificada, abarcando el correo electrónico, la nube y la red corporativa.

A pesar de estos entornos tan diversos, los datos no solo se muestran en la misma vista unificada, sino que también se fusionan y se corre-lacionan mediante un único motor de IA que actúa en segundo plano. Este pilar de diseño toma seriamente la idea de que el alcance total de un dispositivo o los patrones normales del usuario se manifiestan en diferentes partes de una organización, y que un único incidente de seguridad generalmente incluye eventos e indicadores relacio-nados que ocurren en otras partes del entorno digital. Ser capaz de ver esto en tiempo real es esencial para una gestión exhaustiva de incidentes: ya no tiene sentido gestionar la seguridad sobre la base de la tecnología.

Además de unificar la detección y la respuesta, Darktrace cree firme-mente en ofrecer visibilidad completa. Para los equipos de seguridad actuales, las herramientas deben facilitar la capacidad de explorar y revelar múltiples entornos cuando lo deseen, en lugar de simple-mente generar alertas de seguridad.

En los casos de estudio que presentamos a continuación, el Darktrace Immune System identificó ataques en base a su comprensión unifi-cada de lo “normal” en la nube, SaaS, correo electrónico, y redes industriales y corporativas.

Figura 4: Visión global de Darktrace en el negocio digital en su conjunto

VM VM

Protección para toda la empresa

Sede corporativa

Oficinas satélite

Trabajo remoto

Red industrial

Centro de datos virtualizado

NOTAS DEL PRODUCTO

6

La migración a gran escala hacia la nube ha redefinido completamente la infraes-tructura digital y el paradigma tradicional del perímetro de la red. La infraestruc-tura híbrida y los trabajadores dispersos son ahora parte del mobiliario de un patrimonio digital cada vez más diverso, con prácticas de múltiples nubes que introducen una nueva capa de complejidad que la mayoría de las organizaciones no están bien equipadas para abordar.

En la nube, los equipos de seguridad no solo luchan contra la falta de visibilidad y control, sino también con defensas diversas e incompatibles que a menudo conducen a permisos excesivamente relajados y a errores básicos. Este enfoque tradicional de seguridad aislado rara vez es lo suficientemente sólido y unificado como para proporcionar una cobertura suficiente y se basa en métodos estáticos y en silos que no detectan credenciales comprometidas, amenazas internas ni errores de configuración críticos.

El Darktrace Immune System cubre estos vacíos con IA de autoaprendizaje, la cual que comprende lo que es “normal” en cada capa, analizando dinámi-camente los comportamientos dispersos e impredecibles que aparecen en el correo electrónico, la nube y la red corporativa. Este ámbito unificado permite al sistema detectar desviaciones sutiles indicativas de una amenaza: desde la creación de un recurso inusual, un bucket S3 abierto en AWS o el movimiento de datos sospechosos en Salesforce, hasta una nueva regla para la bandeja de entrada o una ubicación de inicio de sesión rara en Microsoft 365.

A diferencia de los controles basados en políticas, el “sistema inmunológico” comprende a la persona que hay detrás de cada cuenta de confianza en la nube, proporcionando un motor de detección unificado que puede correlacionar las señales débiles y sutiles de un ataque avanzado.

Cyber AI para la nube y SaaS

Figura 5: La consola SaaS dedicada de Darktrace ofrece una visión global de los comportamientos anómalos en las aplicaciones SaaS y muestra las ubicaciones geográficas de tales actividades.

Menos de un tercio de las empresas supervisan los

comportamientos anormales en la nube en la que operan.

Fuente: Cybersecurity Insiders

NOTAS DEL PRODUCTO

7

Una empresa de manufactura líder de Europa utilizaba un servidor de Microsoft Azure para almacenar archivos con información deta-llada de sus productos y proyecciones de ventas. A pesar de que los archivos que había en el servidor y la IP raíz estaban protegidos mediante nombre de usuario y contraseña, estos datos confiden-ciales se habían dejado sin encriptar. Por lo tanto, se detectó una actividad anómala cuando un dispositivo descargó un archivo en formato ZIP desde una dirección IP externa inusual que Darktrace clasificó como muy anómala.

Posteriormente, se descubrió que la dirección IP externa pertenecía a un servidor de Microsoft Azure recientemente configurado y que el archivo en formato ZIP era accesible para cualquier persona que conociera la URL, algo que podría haberse obtenido con solo inter-ceptar el tráfico de la red, interna o externamente. Unos atacantes más dedicados podrían incluso haber obtenido el parámetro “clave” de la URL del archivo mediante un ataque de fuerza bruta.

La pérdida o filtración de estos archivos confidenciales podría haber puesto en riesgo toda la línea de productos, pero al informar sobre este incidente tan pronto como fue detectado, Darktrace contribuyó a impedir la pérdida de una valiosa propiedad intelectual y ayudó al equipo de seguridad a revisar sus prácticas de almacenamiento de datos en la nube con el objetivo de mejorar la protección de la información de sus productos en el futuro.

En una aseguradora de Estados Unidos, la comprensión personali-zada de lo que era “normal” de acuerdo con la Cyber AI de Darktrace y gracias a disponer de visibilidad en todas las plataformas de SaaS, se logró detener un ataque que comenzó con una cuenta de Microsoft 365 comprometida.

Cuando el agente responsable de la amenaza inició sesión correc-tamente en una de las cuentas de Microsoft 365 del cliente, desde una dirección IP ubicada en los Emiratos Árabes Unidos, la Cyber AI identificó el comportamiento como anómalo, ya que no se había observado que ninguna otra cuenta de M365 iniciara sesión desde dicha dirección IP. Cuatro días después, se detectó otra IP rara ubicada en los EAU accediendo a la misma cuenta comprometida. Esta vez, el agente responsable de la amenaza configuró una nueva regla de correo electrónico y utilizó su acceso ilegítimo para leer y escribir en archivos de la cuenta personal de SharePoint del usuario.

La Cyber AI de Darktrace no había visto anteriormente ninguna otra cuenta de usuario comunicándose con direcciones IP basadas en los EAU desde dicha red, lo que indicaba que el comportamiento observado era muy inusual para el cliente y que podría compro-meter la seguridad.

Aunque las herramientas tradicionales del cliente solo permitieron detectar la amenaza después de que se realizaran cambios en la cuenta comprometida, la Cyber AI detectó el comportamiento anómalo tan pronto como se produjo y señaló con claridad el movi-miento del atacante entre los servicios de SaaS. Darktrace pudo alertar inmediatamente al equipo de seguridad en las primeras etapas del ataque, resaltando cada detalle y garantizando la neutralización de la amenaza antes de que los daños fueran graves.

Figura 6: Archivos confidenciales en Azure

Configuración errónea de la nubeM365 comprometido e infiltración de SharePoint

NOTAS DEL PRODUCTO

8

Descarga sospechosa de archivo Box

En un proveedor global de productos agrícolas, varias solicitudes sospechosas dentro de la plataforma Box de la empresa, sugerían que una cuenta de usuario se había visto comprometida.

El agente responsable de la cuenta inició sesión correctamente en Box y, a continuación, procedió a descargar informes de gastos, facturas y otros documentos financieros. El posible responsable de la amenaza también procedió al desbloqueo de un archivo que contenía una lista de contraseñas confidenciales.

Gracias a la comprensión personalizada del “ser” que la Cyber AI había elaborado para cada miembro de la fuerza laboral de la orga-nización, la tecnología pudo identificar la amenaza inmediatamente. El Darktrace Immune System detectó que la actividad se produjo a una hora muy inusual para el usuario legítimo y que la ubicación de la dirección IP del responsable también era anómala en comparación con las ubicaciones de acceso anteriores del empleado para este servicio de SaaS en concreto.

Aunque el acceso a estos documentos puede resultar normal para el empleado en otro contexto, el conocimiento profundo que posee la Cyber AI de Darktrace sobre el comportamiento del usuario sumado a la visibilidad granular dentro de Box, le permitió detectar señales sutiles indicativas de que la cuenta estaba comprometida. Cuando el Cyber AI Analyst de investigó de forma autónoma, pudo dar contexto sobre la narrativa más amplia y comprendió que cada exposición de archivos no autorizados formaba parte de un incidente conectado, por lo que alertó al equipo de seguridad de que esta violación era una preocupación crucial.

Figura 7: Darktrace mostrando la ubicación de la dirección IP inusual

Ataque elude la regla de “viaje imposible” en Microsoft 365

En un organización internacional sin ánimo de lucro, Darktrace detectó el robo de una cuenta en Microsoft 365 que eludía la regla estática de ”viaje imposible” de Azure AD. Aunque la organización tenía oficinas en todos los rincones del mundo, la IA de autoaprendi-zaje de Darktrace identificó un inicio de sesión desde una dirección IP que era históricamente inusual para dicho usuario y su grupo de compañeros, y alertó inmediatamente al equipo de seguridad.

Darktrace también alertó el hecho de que en la cuenta se había configurado una nueva regla de procesamiento de correo electró-nico que borraba los mensajes de correo electrónico entrantes y salientes. Esto era una clara señal de que la cuenta estaba compro-metida y el equipo de seguridad pudo bloquear la cuenta antes de que el delincuente pudiera infringir daños.

Con esta nueva regla de procesamiento de correo electrónico acti-vada, el delincuente podría haber iniciado numerosos intercambios con otros empleados de su empresa, sin que lo supiera el usuario legítimo. Se trata de es una estrategia común utilizada por los ciber-delincuentes que intentan obtener un acceso continuo y aprovechar múltiples apoyos dentro de una organización para, posiblemente, preparar un ataque a gran escala.

Mediante el análisis de la dirección IP inusual junto con el comporta-miento fuera de lugar del usuario, Darktrace identificó con seguridad este caso como un robo de cuenta, impidiendo que se produjeran serios daños en la empresa.

Darktrace detectó el robo de una cuenta en Microsoft 365 que eludía la regla estática de “viaje imposible” de Azure AD.

NOTAS DEL PRODUCTO

9

Recientemente, una cuenta de Microsoft 365 se vio comprometida en una empresa de contabilidad pública con sede en Estados Unidos. Darktrace detectó inicialmente varias anomalías, incluyendo un aumento repentino del tráfico de correo electrónico saliente, así como una ubica-ción inusual de inicio de sesión —mientras que la empresa y casi todos sus usuarios estaban ubicados en Wisconsin, se utilizó una dirección IP ubicada en Kansas para iniciar sesión en la cuenta de Microsoft 365. Además del inicio de sesión inusual, se detectó un inicio de sesión en Microsoft Teams desde la misma dirección IP de Kansas.

Microsoft 365 y Microsoft Teams comprometidos

Las reglas de “viaje imposible” por sí solas habrían pasado por alto estas anomalías, pero la comprensión de la actividad y el comporta-miento de las diferentes aplicaciones de SaaS permitió que la IA de Darktrace reconociera estos eventos como un caso sistemático de robo de credenciales. Cuando posteriormente el agente responsable de la amenaza creó una nueva regla de correo electrónico, Darktrace pudo relacionar este evento con los otros comportamientos anómalos y comprender su rasgos potencialmente malicioso.

Figura 8: Justo después de crearse la nueva regla de correo electrónico, se produjo un inicio de sesión en Microsoft Teams desde una IP 100% extraña

Figura 9: Figura 9: El módulo de SaaS de Darktrace detectó una IP 100% inusual en la cuenta de Microsoft 365 de un usuario, así como la creación de nuevas reglas para el buzón de correo electrónico. Todos los factores indicaban una actividad de SaaS 100 % inusual

Figura 10: Antigena Email detectó un aumento en los destinatarios, lo que indicaba una violación seria en el comportamiento normal de este usuario

Cinco minutos después, Antigena Email alertó sobre un gran número de mensajes de correo electrónico salientes que contenían una línea de asunto genérica y un archivo PDF adjunto. La tecnología también detectó un aumento claro en el número de mensajes de correo electró-nico salientes de este usuario y marcó cada uno ellos con la etiqueta “Out of Character” (Fuera de carácter) que, en este caso, indicaba un cambio en el comportamiento normal con el aumento de destinatarios, así como un posible problema de seguridad interno.

El inusual comportamiento de inicio de sesión detectado por el módulo de SaaS de Darktrace podría estar relacionado con el comportamiento anómalo de los mensajes de correo electrónico salientes marcados por Antigena Email, lo que permitió al equipo de seguridad conocer el alcance del ataque y neutralizarlo a medida que se desarrollaba. Quedaba claro que la cuenta se estaba utilizando para llevar a cabo actividades maliciosas, ya que cada uno de los 220 mensajes de correo electrónico salientes utilizaba una línea de asunto genérica y contenía un archivo adjunto sospechoso. Por lo tanto, el equipo de seguridad inhabilitó inmediatamente la cuenta comprometida.

Figura 11: Una recreación del mensaje enviado por el atacante que contiene el archivo adjunto malicioso

NOTAS DEL PRODUCTO

10

Cyber AI para correo electrónico

El 94 % de las amenazas cibernéticas acceden a una organización a través de la

bandeja de entrada

Fuente: Informe de investigación de filtración de datos

Mediante la falsificación de un correo electrónico o el secuestro de una cuenta de confianza, los ciberdelicuentes engañan a los usuarios para realizar trans-ferencias de millones fuera de la empresa o activar un ataque de ransomware con un solo clic. Independientemente de que sean nativos o de terceros, los controles tradicionales del correo electrónico funcionan analizando mensajes de forma aislada y correlacionándolos con listas negras, firmas o pre-defini-ciones de lo que es “malo”. Si bien este enfoque a menudo puede detectar spam básico y campañas “drive-by” igualmente indiscriminadas, en ocasiones falla en detectar indicadores débiles de un ataque de ingeniería social avanzado o una campaña sigilosa de spear phishing.

Sin embargo, al analizar el “patrón de vida” normal de cada usuario y corres-ponsal, Darktrace Antigena Email puede desarrollar paulatinamente una comprensión de lo “humano” de las comunicaciones por correo electrónico. Al usar Cyber AI, es la única solución que puede preguntar de forma fiable si sería inusual que un destinatario interactuara con un mensaje de correo electrónico específico en el contexto de su “patrón de vida” normal, así como si lo sería para sus compañeros y la organización en general. Esta compren-sión multidimensional permite al sistema tomar decisiones muy precisas y neutralizar la gama completa de ataques avanzados de correo electrónico, desde correos electrónicos de spoofing “limpios” hasta la toma de control de cuentas de la cadena de suministro.

Antigena Email estudia los patrones dinámicos de cada usuario interno y externo, analizando tanto los correos electrónicos entrantes como los salientes junto con las comunicaciones laterales e internas. Al tratar a los destinatarios como individuos y compañeros dinámicos, Antigena Email puede identificar desviaciones sutiles de la “norma” que revelan que mensajes aparentemente benignos son inequívocamente maliciosos.

Figura 12: La interfaz de Antigena Email muestra una vista global de las alertas

NOTAS DEL PRODUCTO

11

Figura 13: Uno de los 30 mensajes obtuvo una puntuación de anomalía del 98%

Figura 14: Darktrace detectó la toma de control de la cuenta y retuvo los correos electrónicos

Ataque de spoofing coordinado Ataque por correo electrónico de toma de control de la cadena de suministro

Darktrace detectó un ataque de ingeniería social muy focalizado que se hacía pasar por ejecutivos C-level en una empresa de tecnología de EE. UU., cuando un actor de amenazas aparentemente envió una serie de correos electrónicos “limpios” con el fin de ganar confianza y establecer comunicaciones fuera de línea, previo a una solicitud de pago. Aunque las defensas de correo electrónico tradicionales exis-tentes no pudieron detectar el ataque debido a su análisis estático y alcance limitado, Darktrace retuvo todos los correos electrónicos de los destinatarios previstos en función de las siguientes observaciones.

1. Asunto y remitente anormales. Los correos electrónicos presen-taban el primer nombre del empleado como línea de asunto y, además, se enviaron desde una dirección de Gmail aparentemente no relacionada.

En una corporación multinacional de energía, Darktrace identificó un ataque a la cadena de suministro, reconociendo que el remitente era muy conocido por la empresa, y que varios usuarios internos habían mantenido correspondencia previamente con ellos. Menos de dos horas después de un cambio de rutina, se enviaron mensajes rápidamente a 39 usuarios, cada uno con un enlace de phishing. Las variaciones en las líneas de asunto y los enlaces sugerían correos electrónicos dirigidos de un atacante muy preparado, pero Antigena retuvo los 39 correos electrónicos y bloqueó dos veces las cargas útiles, en función de las siguientes anomalías:

1. Ubicación de inicio de sesión inusual. Al obtener la dirección IP geolocalizable se reveló que el atacante inició su sesión desde una IP en los EE. UU., a diferencia de su ubicación habitual en el Reino Unido.

2. Incoherencia de enlaces. Todos los enlaces estaban alojados en la plataforma para desarrolladores de Microsoft Azure, lo que proba-blemente evitaba las comprobaciones de reputación en el dominio del host, pero era muy inconsistente con el historial de correspondencia anterior del remitente, así como con el tráfico de red de la organización. Debido a que otras herramientas de seguridad para correo electrónico no aprovechan las ventajas que ofrece esta inteligencia contextual, no les habría sido posible llegar a esta conclusión.

3. Destinatarios inusuales. La puntuación de “anomalía de asociación” de un destinatario se asigna para estimar la probabilidad de que este grupo específico de destinatarios recibiera un correo electrónico de la misma fuente. Al agregar contexto a su investigación con el paso del tiempo, Darktrace dedujo, tan solo en el tercer mensaje, que este grupo de destinatarios era 100% anómalo.

4. Anomalía del asunto. Las líneas de asunto de estos mensajes sugieren un intento de parecer profesional y discreto, por lo tanto, cual-quier intento basado en firmas para buscar palabras clave asociadas con el phishing habría fallado. Sin embargo, Darktrace reconoció que estos destinatarios no suelen recibir mensajes de correo electrónico sobre propuestas de negocio utilizando este estilo de redacción.

2. Sin asociación. Gracias a la comprensión global de Darktrace del entorno de red y correo electrónico de la empresa, Antigena detectó evidencias de que no había una relación entre este remitente y la organización.

3. El ataque Whale Spoof expuesto. Darktrace no solo identificó a los tres ejecutivos C-level cuya identidad estaba siendo suplantada, sino que también detectó que el delincuente estaba utilizando una falsificación de la dirección personal externa legítima de su CEO. Además, la puntuación de exposición de los usuarios cuya identidad fue suplantada era alta, indicando que eran objetivos de alto perfil sujetos a un ataque “Whale Spoof”.

Mediante la correlación de múltiples indicadores débiles, Antigena reconoció estos mensajes como componentes de un ataque coor-dinado y los retuvo en un búfer para que los revisara el equipo de seguridad de la organización, evitando así que los destinatarios se involucraran con el contenido del correo electrónico y establecieran comunicación vía medios no digitales.

NOTAS DEL PRODUCTO

12

Cyber AI para el Internet de las Cosas

Desde cafeteras inteligentes hasta cámaras CCTV conectadas a Internet, la llegada del Internet de las Cosas (IoT) ha introducido un vector de amenazas completamente nuevo en las empresas. A pesar de su conveniencia y atrac-tivo, la mayoría de los dispositivos IoT no se crearon teniendo en cuenta la seguridad, lo que a menudo proporciona una entrada fácil o una vía subrep-ticia de infiltración.

Para los dispositivos que la admiten, la seguridad “endpoint” tradicional es útil para detener amenazas conocidas, pero las empresas necesitan una estrategia mucho más amplia para lidiar con la imprevisibilidad de la IoT. En la mayoría de los casos, los equipos de seguridad no pueden ejecutar software antivirus estándar en dispositivos inteligentes debido a la falta de espacio de disco, una CPU o un sistema operativo tradicional. Peor aún, para instalar una solución de endpoint en un dispositivo inteligente, en primer lugar se necesitaría saber que ese dispositivo existe. Sin embargo, la mayoría de las organizaciones carecen de la visibilidad de red necesaria para proporcionar una cantidad exacta de sus estaciones de trabajo y servidores, y mucho menos de sus dispositivos IoT basados en IP.

Para abordar la seguridad de IoT, debemos tener una visión más amplia, no solo considerar las vulnerabilidades o los dispositivos administrados, sino también los comportamientos complejos que aparecen en todo el negocio digital. Con Cyber AI, las organizaciones pueden monitorear el 100% de sus dispositivos, donde sea que estén en la red. Al aprender un “patrón de vida” normal para cada dispositivo, Darktrace puede detectar todos los ataques dirigidos a dispositivos IoT, desde peceras inteligentes hasta vehículos autó-nomos. Darktrace Antigena responde en tiempo real, conteniendo la amenaza y mitigando el riesgo en cada rincón de su organización.

Figura 15: Una impresora inteligente comprometida y conexiones anómalas representadas con líneas amarillas

14,1 20,8 25

Cantidad de dispositivos IoT conectados (miles de millones)

202120202019Fuente: Gartner

NOTAS DEL PRODUCTO

13

En una consultoría de inversiones japonesa, Darktrace descubrió que un sistema de CCTV conectado a Internet había sido infiltrado por atacantes desconocidos. Los malhechores habían usado el dispositivo para acceder a la red y podían ver todas las grabaciones de vídeo de la cámara desde allí. La cámara, que se había instalado para vigilar todo el espacio de oficina, desde la oficina del CEO hasta la sala de juntas, se convirtió en un riesgo de seguridad.

La IA de Darktrace detectó rápidamente que había un problema. Se observó que se movían volúmenes masivos de datos hacia y desde un servidor de CCTV sin encriptación ya que el atacante recopiló datos para preparar la extracción de información confidencial. En el momento en el que el atacante intentó extraer los datos, Antigena emprendió una acción defensiva rápida y precisa

Un parque de atracciones en Norteamérica fue atacado cuando un ciberdelincuente intentó robar datos confidenciales de los clientes a través de un locker inteligente vulnerable conectado a Internet.

Como parte de su configuración predeterminada, el casillero inteli-gente establecía contacto regularmente con la plataforma en línea del proveedor. El agente responsable de la amenaza identificó el origen de este proceso automatizado y lo secuestró para compro-meter el dispositivo.

La IA de Darktrace detectó el ataque poco después de que el locker comenzara a enviar una cantidad inusual de datos sin encriptar a un sitio externo ajeno. Las conexiones se sincronizaron de acuerdo a las comunicaciones regulares del dispositivo con la plataforma del proveedor, sugiriendo que se trataba de un ataque “low and slow” diseñado específicamente para eludir las defensas de seguridad basadas en reglas.

Espionaje corporativo a través de un hack de CCTV

Datos confidenciales filtrados mediante un locker inteligente

Mediante un análisis continuo de las comunicaciones en relación al comportamiento anterior del locker y de lockers compañeros, la IA de Darktrace determinó que se requería una respuesta de Cyber AI. En cuestión de segundos, Darktrace Antigena emprendió acciones, bloqueando de manera inteligente todas las conexiones salientes desde el dispositivo afectado, dando así tiempo al equipo de seguridad a solucionar la amenaza e impedir la extracción de datos.

Al aprender “en curso” y revisar continuamente su comprensión a raíz de nuevas evidencias, el Darktrace Immune System detecta amenazas sutiles que otras herramientas pasan por alto y genera acciones autónomas que se adaptan a la amenaza a medida que la misma se desarrolla.

Figura 16: Conexiones internas y externas hacia y desde el dispositivo de IoT

Figura 17: La cantidad anómala de conexiones al locker inteligente.

El sistema decidió bloquear quirúrgicamente el movimiento de datos desde el dispositivo a un servidor externo, sin interrumpir el funcionamiento normal del CCTV. La IA contraatacó a la velo-cidad de una máquina, evitando una brecha grave de información sensible al mercado.

Al emprender una acción proporcionada para contener el ataque en una etapa temprana, Antigena ganó tiempo vital para que el equipo de seguridad pudiera investigar y remediar la amenaza antes de que se ocasionara algún daño.

NOTAS DEL PRODUCTO

14

Cyber AI para redes industriales

Tradicionalmente aislados de Internet, los Sistemas de Control Industrial (ICS) han ido convergiendo cada vez más con la red de TI corporativa con el objetivo de cumplir con las nuevas metas comerciales y las medidas de eficiencia. Lamentablemente, desde una perspectiva de seguridad, esto introduce una serie de nuevos desafíos en la seguridad de la tecnología operativa.

Los dispositivos de hace décadas, diseñados sin tener en cuenta la segu-ridad, ahora están expuestos a los ciberdelincuentes que escanean el perímetro de una organización en busca de alguna vulnerabilidad. Las máquinas expuestas se utilizan a menudo como entrada para un ataque más pernicioso en la red, y los ataques que comienzan en la red de TI pueden conllevar daños colaterales en las operaciones físicas, causando pérdidas catastróficas en la producción.

Con los entornos industriales creciendo en tamaño y alcance, las organiza-ciones están recurriendo a la IA para lograr una respuesta más profunda y efectiva a estos ataques ciberfísicos. La información y el análisis unificados de Darktrace en OT y TI permiten que la tecnología detecte una amenaza tan pronto como penetra en la organización, donde sea que ingrese. Tanto en este caso como en otros, los clientes también hallan que los conoci-mientos de Cyber AI Analyst son muy valiosos a la hora de traducirlos a su operativa técnica, así como aprecian los resúmenes de alto nivel de incidentes, generados a la velocidad de máquina.

Figura 18: Cyber AI Analyst muestra todos los “saltos” de desktop remotos en un ataque estilo Triton dirigido a TI y OT

El 90% de los equipos de seguridad de OT sufrieron al

menos un ciberataque dañino en los últimos dos años

Fuente: Ponemon

NOTAS DEL PRODUCTO

15

Los sistemas ICS a menudo introducen puntos ciegos en las defensas de seguridad cibernética tradicionales de una organiza-ción. Darktrace demostró esto mientras se probaba en una organi-zación de servicios públicos, cuando se observó que un sistema de control de aire acondicionado recibía una gran cantidad de cone-xiones a través de un canal de comunicación inusual desde múlti-ples dispositivos fuera de la red y, de hecho, fuera del país donde se encontraba esta red.

Al investigar más detalladamente, Darktrace detectó solicitudes de conexión específicamente relacionadas con un escaneo de vulnerabi-lidades mediante una herramienta de reconocimiento, lo que sugiere un intento de obtener acceso ilícito al dispositivo. Además, el dispo-sitivo externo había solicitado leer datos de la unidad de control, lo que indica el acceso a información ICS potencialmente confidencial por parte de un agente externo. Este incidente demuestra la capa-cidad de Darktrace no solo para una visibilidad global de las redes de TI y OT, sino también para la investigación detallada de intentos de conexión anómalos a dispositivos internos desde fuera de la red.

Herramientas de escaneo dirigidas a ICS

Figura 19: Observe una clara meseta en el aumento de las conexiones internas. Cada punto de color en la parte superior representa una detección de fuerza bruta RDP

Figura 20: Las conexiones anómalas del dispositivo SCADA son claramente visibles

El malware Shamoon borra los discos duros comprometidos y sobres-cribe los procesos clave del sistema con la intención de inutilizar las máquinas infectadas. Darktrace detectó este conocido ciberataque dirigido directamente a los sistemas de control industrial durante un período de prueba en una compañía de energía con presencia en todo el mundo.

Darktrace presenció un ciberataque impulsado por Shamoon cuando varias empresas de Medio Oriente se vieron afectadas por una nueva variante del malware.

La Cyber AI de Darktrace detectó exploraciones de red inusuales en el puerto remoto 445, realizadas simultáneamente por docenas de dispositivos infectados, así como un uso inusual de Remote Powershell. Con frecuencia, Remote PowerShell es vulnerado en intru-siones durante el movimiento lateral. Los dispositivos involucrados no estaban clasificados como dispositivos administrativos tradicio-nales, lo que hizo que su uso de WinRM fuera aún más sospechoso.

Virus Shamoon detectado

Más tarde, Darktrace identificó otro conjunto de actividades que probablemente representaría un uso inusual de credenciales. La correlación de estos conocimientos junto con el uso anormal de ciertos protocolos permitió a Darktrace identificar una serie de anomalías relacionadas que eran muy inusuales para el entorno de la organización en su conjunto, e identificarlas como atacantes que se movían lateralmente en la red.

NOTAS DEL PRODUCTO

16

Cyber AI para la red

La IA de autoaprendizaje de Darktrace está diseñada para proteger los sistemas dinámicos y a los trabajadores de su organización, sin importar dónde operen o la naturaleza de sus aplicaciones. A diferencia de las defensas locales tradi-cionales, la comprensión de Darktrace del comportamiento normal en la red es también reforzada por comportamientos en la nube, SaaS y servicios de correo electrónico. Este contexto adicional permite a Darktrace detectar la gama completa de amenazas cibernéticas en la red, desde el robo de datos “low and slow” y credenciales comprometidas, hasta ransomware, a una velocidad que solo las máquinas pueden ofrecer.

A su vez, Darktrace Antigena interrumpe quirúrgicamente las amenazas emer-gentes en la red a la velocidad de máquina, lo que brinda a los equipos de segu-ridad tiempo para ponerse al día antes de que que datos vitales se pierdan o sean encriptados. Esta protección dinámica no solo es inteligente y quirúrgica sino también de gran alcance, y neutraliza automáticamente el ransomware, las operaciones de criptominería y las amenazas internas a través de acciones autodirigidas e integraciones activas con defensas en línea.

Del mismo modo, la información en tiempo real de la red corporativa también informa la toma de decisiones del sistema inmunológico sobre puntos de datos en otras áreas del negocio. Si, por ejemplo, un dispositivo se infecta después de que un empleado hace clic en un link malicioso de un correo electrónico, Darktrace puede interrumpir la infección en la red e identificar y neutralizar automática-mente cualquier otro correo electrónico que forme parte de la misma campaña.

En todos los casos, las detecciones en la red sirven como puntos de lanzamiento para que Darktrace Cyber AI Analyst investigue el alcance completo del incidente rápidamente y de forma escalable. Al generar automáticamente un informe deta-llado de incidentes que se puede usar y ejecutar en minutos, Darktrace aprovecha todo el poder de la inteligencia artificial no solo para detener las amenazas en segundos, sino también para permitir que los equipos humanos se concentren en un trabajo más estratégico.

Figura 21: Darktrace detecta una laptop que realiza un escaneo de la red

El 69% de las organizaciones piensa que la IA es

necesaria para responder a ciberataques

Fuente: Capgemini Research Institute

NOTAS DEL PRODUCTO

El ransomware Sodinokibi infecta a una empresa de servicios financieros

Darktrace detectó un ataque del ransomware Sodinokibi dirigido a una empresa estadounidense mediana de servicios. Esta “doble amenaza” lleva a cabo ataques dirigidos utilizando ransomware y su vez intenta extraer datos de sus víctimas, lo que permite a los atacantes amenazar con poner dichos datos a disposición del público en general si no se paga el rescate.

Darktrace identificó la amenaza inicial cuando un servidor RDP hacia el exterior comenzó a realizar conexiones anómalas con una direc-ción IP externa poco común en Ucrania. Luego, la IA detectó una descarga de datos de 300 MB desde la plataforma de intercambio de archivos Megaupload, reconociendo que nadie en la organiza-ción usaba este servicio con regularidad y, por lo tanto, lo marcó instantáneamente como inusual.

Tres minutos más tarde, Darktrace detectó un escaneo de la red y a continuación un tráfico de comando y control persistente, ya que el servidor RDP infectado comenzó a hacer conexiones altamente anómalas con destinos externos. Finalmente, la IA detectó una carga de alrededor de 40 GB de datos, y a continuación el acceso de archivos inusuales en recursos compartidos internos de SMB, que parecían ser notas de rescate.

Más de veinte modelos de Darktrace se activaron solo en la etapa final del ataque. Si Darktrace Antigena hubiera estado activo, habría respondido para neutralizar la amenaza en segundos.

Minería de Bitcoin encubierta

Un aclamada firma de abogados de 500 personas tenía controles de seguridad tradicionales que buscaban amenazas conocidas y, sin embargo, desconocía el hecho de que durante un período de 5 meses se había llevado a cabo minería de bitcoins dentro de su red.

Tras instalar Darktrace, se supo que un pasante de verano había instalado malware de minería de bitcoins en la infraestructura de la empresa, apropiándose de más de 75 computadoras. Además de ralentizar la red y, por lo tanto, afectar negativamente a la produc-tividad de la empresa, esta operación de criptominería expuso a la empresa a un riesgo significativo para su reputación.

Si la IA no hubiera detectado este comportamiento anómalo, la operación podría haber continuado durante muchos meses, incluso mucho después de que el causante terminara la pasantía.

Figura 22: Conexiones al del domain controller

Acerca de Darktrace

Darktrace es la empresa líder mundial en Cyber AI y creadora de la tecnología de Autonomous Response (Respuesta Autónoma). La IA de auto-aprendizaje se ha modelado en el sistema inmunológico y es utilizado por más de 4.000 organizaciones para proteger contra las amenazas dirigidas hacia la nube, correo electrónico, IoT (Internet de las cosas), redes y sistemas industriales.La empresa tiene más de 1.300 empleados con sedes en San Francisco y Cambridge, Reino Unido. Cada 3 segundos, la IA de Darktrace defiende contra una amenaza cibernética, evitando que causen daños.

Figura 23: Representación gráfica del aumento repentino de conexiones externas e infracciones de modelos relacionadas

Descubra Antigena Email en su propio entorno.

Haga clic aquí para registrarse para una prueba gratuita.

Contacto

Europa: +34 919 17 18 14

Norteamérica: +1 (415) 229 9100

Asia-Pacífico: +65 6804 5010

Latinoamérica: +55 11 97242 2011

info@darktrace.com | darktrace.com

@darktrace

Darktrace © Copyright 2021 Darktrace Limited. Todos los derechos reservados. Darktrace es una marca registrada de Darktrace Limited. Enterprise Immune System y Threat Visualizer son marcas no registradas de Darktrace Limited. El resto de marcas incluidas en el presente documento son propiedad de sus respectivos propietarios.