Proactivos en la gestión de seguridad

Ser proactivos es una de las principales características de nuestro servicio de Administración de Infraestructura, y cuando se trata de seguridad, esto se vuelve vital.

Te invitamos conocer un caso real donde la innovación y uso de herramientas de vanguardia, permitieron advertir intrusiones y tomar acciones inmediatas para proteger servicios críticos en la nube.

Como parte de nuestro compromiso de mejora continua en la gestión de los Servicios IT de nuestros clientes, y la evolución en el uso de herramientas para optimizar los mismos, implementamos dos soluciones de Microsoft para el monitoreo de Seguridad de activos y servicios en la nube:

Azure Security Center como ATP (advanced threat protection) para el manejo de manera centralizada de la seguridad; y Azure Sentinel, para los entendidos un “SIEM” (Security Information and Event Management), que tiene como objetivo centralizar la información y correlacionar eventos, con la capacidad adicional de recolectar información de distintos ambientes y tipos de assets para su mejor visualización y respuesta.

Ya con estos servicios operando, y gracias a estos, es que recibimos alertas de eventos compatibles con intentos de Intrusión. Puntualmente un servicio de acceso remoto (RDS) publicado hacia internet, estaba sufriendo ataques de tipo “Brute Force”, y ciertos intentos de autenticación habrían sido exitosos.

A partir de allí, y siempre dentro del alcance se nuestro servicio para con la infraestructura de nuestros clientes, informamos el caso y expusimos las recomendaciones de acción para la mitigación de riesgos y adecuación de seguridad.

Afortunadamente solo hallamos intentos de autenticación por parte del atacante y no así evidencias de acceso mediante cuentas comprometidas, gracias a correcta configuración de privilegios en las distintas cuentas de dominio.

De cualquier manera cabe aclarar que actualmente el acceso malicioso y no autorizado se basa en un juego de información, por lo tanto tener cuentas de dominios vulneradas puede llevar fácilmente a movimiento lateral y a explotar vulnerabilidades de escalamiento de privilegios, así como también facilitar los tan temidos ataques de tipo “Ransonware” y/o “Data Exfiltration”.

Claramente la detección temprana permitió montar una defensa rápida, evitando que el posible atacante tenga la capacidad de transformar esta información inicial en un ataque con consecuencias críticas.

 “El monitoreo y la detección temprana de alertas son los pilares que permiten tomar las acciones necesarias para asegurar la continuidad del negocio.”

Nehuen Natero, Analista de Operaciones en Wezen.

Una vez controlada la situación y en coordinación con nuestro cliente, definimos las acciones necesarias para mejorar los niveles de seguridad y así evitar un evento similar a futuro. En este sentido podemos destacar:

• Mantener siempre la infraestructura actualizada, y en lo posible, de forma automatizada.
• Revisar políticas de Active Directory como, por ejemplo, activar el bloqueo automático de cuentas ante intentos fallidos de autenticación, desactivar cuentas con “last logon” alto y depurar de cuentas inactivas.
• Aumentar la seguridad servicios expuestos a internet, con la activación de MFA (Multi-Factor Authentication).
• Expandir las capacidades de Azure Security Center con respuestas automáticas contra ataques de Brute Force y aumentar el espectro de análisis a otros activos críticos.

Esto es simplemente una muestra del trabajo constante y evolutivo que realizamos día a día desde Wezen Group para cada uno de nuestros clientes, donde nos esforzamos en identificar oportunidades de mejoras en un contexto complejo y cambiante como lo es el de IT.

Así, con el compromiso puesto en la calidad de nuestros servicios, cumplimos con la meta de asegurar la continuidad de negocio de cada cliente, así como también que la tecnología sea un facilitador para la eficiencia de su empresa.

Contáctanos para aplicar esta y otras soluciones en los servicios de tu organización info@wezengroup.com