Nueva herramienta para detectar autenticaciones remotas maliciosas
Los usuarios han necesitado desde hace mucho tiempo acceder a recursos importantes como redes privadas virtuales (VPN), aplicaciones web y servidores de correo en cualquier momento y parte del mundo. La capacidad de acceder a recursos desde cualquier lugar es necesaria para los empleados, lo que es utilizado a menudo por los actores de amenazas para aprovechar credenciales robadas para acceder a sistemas y datos. Debido al gran volumen de conexiones de acceso remoto, puede ser difícil distinguir entre un inicio de sesión legítimo y uno malicioso.
Fireeye lanza GeoLogonalyzer para ayudar a las organizaciones a analizar registros (logs) para identificar inicios de sesión maliciosas basadas en la viabilidad geográfica, por ejemplo, es improbable que un usuario que se conecta a una VPN desde Nueva York a las 13:00 se conecte legítimamente a la VPN desde Australia cinco minutos más tarde.
Una vez que la actividad de autenticación se toma como punto de referencia en un entorno, los analistas pueden empezar a identificar actividad de autenticación que se desvía de los requerimientos empresariales y patrones normalizados, como por ejemplo:
- Las cuentas de usuario que se autentican desde dos localizaciones distantes y en horarios entre los que el usuario probablemente no haya podido viajar en persona.
- Cuentas de usuarios que normalmente inician sesión desde direcciones IP registradas en una localización física, como por ejemplo una ciudad, estado o país, pero también tienen accesos desde lugares donde no es probable que el usuario esté ubicado físicamente.
- Cuentas de usuario que acceden desde una ubicación en el extranjero en la que no residen empleados o a la que no se espera que viajen y la organización no desarrolla negocios en ese lugar.
- Cuentas de usuario que normalmente inician sesión desde una fuente de dirección IP, subred o ASN, pero tienen un pequeño número de accesos desde una fuente diferente de direcciones IP, subredes o ASN.
- Cuentas de usuario que normalmente inician sesión desde el domicilio o redes de trabajo, pero también tienen inicios de sesión desde una dirección IP registrada a un proveedor de servicios de alojamiento en la nube.
- Cuentas de usuario que inician sesión desde múltiples fuentes hostname o con varios clientes VPN.
GeoLogonalyzer puede ayudar a abordar estas situaciones y otras similares al procesar los registros (logs) de autenticación que contienen marcas horarias, nombres de usuario y direcciones IP de origen.