Cómo utilizar los controles de detective de Qumulo contra las filtraciones de datos

Cómo usar los controles de detective de Qumulo es el tercer blog de una serie de cuatro partes diseñada para ayudarlo a aprovechar las controles de seguridad y capacidades de protección de datos en la plataforma de datos de archivos de Qumulo. En primera entrada de esta serie, Presenté la arquitectura de seguridad, en la parte 2 se cubrió controles preventivosy ahora nos centraremos en la detección.

Los controles de detectives son esenciales cuando se trata de descubrir actividades maliciosas lo antes posible. Idealmente, este tipo de actividades deben detectarse antes llegan al sistema de almacenamiento. 

Implementando un seguridad holística enfoque que incluye redes, computación, dispositivos y técnicas de monitoreo de eventos, junto con correlación de datos y análisis, es preferible a las soluciones en silos que están integradas en el sistema de almacenamiento. 

La Plataforma de datos de archivos Qumulo admite todas las principales soluciones de seguridad de ISV a través de su función de auditoría. Además, la API de Qumulo le permite iniciar acciones de mitigación automatizadas desde cualquier superficie de ataque en caso de que se detecte una actividad maliciosa.

Los entresijos de un enfoque de seguridad holístico para protegerse contra las violaciones de datos

Un enfoque de seguridad holístico para detección de ransomware captura datos de tantos dispositivos como sea posible para analizar, correlacionar y automatizar la acción sobre eventos sospechosos.  

Revisión de cuentas

Registro de auditoría en Qumulo Core, el corazón de nuestra plataforma de datos de archivos, proporciona un mecanismo para rastrear los sistemas de archivos y las operaciones de administración. A medida que los clientes conectados envían solicitudes al clúster, se generan mensajes de registro que describen cada intento de operación. Estos mensajes de registro se envían luego a través de la red a la instancia de syslog remota especificada por la configuración de auditoría actual de conformidad con RFC 5424. Como las instancias de destino de todos estos eventos de registro están fuera del clúster de Qumulo, no se pueden manipular ni eliminar posteriormente.

Las ventajas del enfoque de Qumulo para los controles de detectives son:

• Qumulo utiliza un formato de syslog estándar de la industria que puede ser leído, analizado e indexado por cualquier software común de gestión de eventos e información de seguridad (SIEM) en el mercado.
• Se capturan todas las tareas de administración y acceso a los datos
• Las soluciones validadas incluyen Splunk, Elasticsearchy AWS CloudWatch 

La ventaja de un enfoque SIEM centralizado es que existe una solución común para todos los centros de datos o instancias y servicios en la nube. Los datos se pueden recopilar fácilmente e indexar, filtrar, analizar, buscar y visualizar. Se pueden activar acciones automatizadas o semiautomatizadas cuando se detectan actividades sospechosas. Este es el enfoque más eficaz porque se identifica y se detiene el malware antes llega al sistema de almacenamiento. 

Escaneo antivirus

La primera línea de prevención antivirus (AV) debe ser la seguridad del centro de datos infraestructura. Esto puede incluir firewalls, escaneo de red, servidores y clientes de escritorio. Es esencial comprender que si el malware llega al sistema de almacenamiento, los datos pueden verse comprometidos. Sin embargo, todavía vemos solicitudes constantes de soluciones AV en el sistema de almacenamiento y aquí hay algunas opciones:

1. Escaneos bajo demanda: Qumulo admite análisis bajo demanda de todas las principales soluciones antivirus del mercado. Pueden programarse con regularidad y, preferiblemente, ejecutarse en horas de menor actividad. Los escaneos bajo demanda en Qumulo se pueden completar mucho más rápido que el NAS de ampliación porque se pueden ejecutar varios escáneres en paralelo en todos los nodos del clúster simultáneamente. 
2. Escaneos del lado del cliente: este es el método preferido si necesita abrir un escaneo y es totalmente compatible con Qumulo. En general, este es el mejor lugar para invertir en medidas de seguridad, ya que el cliente ejecuta cargas útiles maliciosas. Qumulo sugiere adoptar un antivirus de próxima generación que no se base en firmas (que los atacantes avanzados pueden modificar fácilmente) sino que se basa en técnicas de inteligencia artificial y huellas dactilares binarias. Además, una estrategia adecuada de administración de parches y un enfoque de listas blancas que permite que solo se ejecute software legítimo y controlado por TI son beneficiosos para reducir la superficie de ataque y el riesgo general de un brote.
3. Escaneos en tiempo real (sin software de cliente AV): algunos proveedores realizan esto con el protocolo ICAP. Una vez que se abre un archivo, se envía a una instancia de software antivirus que también debe admitir este protocolo. Luego, el archivo se escanea antes (escanear al abrir) o después (escanear al cerrar) que se abre el archivo. Los problemas comunes con este enfoque se analizan en la siguiente sección.

Problemas de escaneo en tiempo real

El escaneo en acceso (si no se realiza en el cliente) ha mostrado desafíos importantes en la práctica:

1. Tiempos de respuesta inaceptables: compró un sistema NAS de escalabilidad horizontal súper rápido y escalable que ofrece tiempos de respuesta típicos en el rango de 0.5-5 ms. Si agregó un motor antivirus para las aperturas de exploración, los tiempos de respuesta normalmente aumentarían a varios segundos (según la red, el motor de exploración, el hardware y el tamaño de los archivos). Por lo general, esto no es aceptable para una solución de gama alta donde los usuarios y las aplicaciones requieren tiempos de respuesta rápidos.
2. Una cantidad increíblemente alta de servidores de escaneo: Los análisis en tiempo real requieren una granja de servidores muy grande para los analizadores. Normalmente, entre 1 y 2 servidores físicos por nodo de almacenamiento. Este no es un buen enfoque y los virus deben capturarse en la fuente: computadoras de escritorio, servidores, dispositivos de red.

Mejores prácticas para defenderse de las filtraciones de datos

Para evitar las desventajas del análisis antivirus en el sistema de almacenamiento, Qumulo recomienda las siguientes mejores prácticas:

• Si se requiere escaneo en acceso, use agentes del lado del cliente. Están disponibles para todas las plataformas principales y no tienen desventajas sustanciales.
• Utilice escaneos bajo demanda o programados en Qumulo con su solución antivirus preferida. Se pueden programar con regularidad y fuera de las horas pico.
• Tome instantáneas regulares (cubiertas en Controles correctivos, el blog final del libro blanco).

Descargue el libro blanco: Arquitectura de seguridad y mejores prácticas para contrarrestar el malware 

Detección de ransomware

El ransomware es un tipo de malware que intenta obtener acceso a datos confidenciales corporativos o gubernamentales. Funciona cifrando y exfiltrando datos, momento en el que los actores maliciosos detrás del ataque generalmente exigirán el pago de las claves para descifrar los datos. 

Un ataque de ransomware suele ocurrir en fases:

1. Obtenga acceso a la red y al menos un dispositivo inicial
2. Infectar tantos dispositivos adicionales como sea posible para recopilar información
3. Extraer datos
4. Implementación de ransomware: carga de módulos adicionales que; por ejemplo, cifrar datos.
5. Encriptar datos para extorsión

Vectores típicos de ataque de ransomware

Existen muchos vectores de ataque para una implementación de ransomware. Algunos ejemplos comunes son:

• Correos electrónicos de spear-phishing (esa es la amenaza número uno)
• Aproveche las vulnerabilidades del sistema operativo que no están reparadas / parcheadas
• Software de caballo de Troya
• Ataques de hombre en el medio
• Explotaciones del servidor web
• Cross-site scripting
• inyección SQL
• Suplantación de dominio
• Sitios web de abrevaderos

Controles de detección y estrategias de prevención eficientes

Una estrategia de prevención eficiente debe apuntar el inicio de la fase de infección. Al observar los vectores de ataque, es obvio que este no es principalmente el dispositivo de almacenamiento. O en otras palabras: no crea que tener una solución anti-malware aislada en su sistema de almacenamiento es una estrategia eficiente. Este definitivamente no es el caso. ¿Por qué? Porque durante los ataques de ransomware se infectan todo tipo de dispositivos: dispositivos de red, dispositivos IoT, computadoras de escritorio, servidores, cámaras, impresoras, básicamente todo lo que tiene un sistema operativo. El malware permanece allí durante bastante tiempo antes de que se active. En la primera fase, los intrusos continúan recopilando más información sobre la infraestructura (usuarios, flujos de datos, topologías de red, dispositivos). Luego, en la etapa posterior del ataque, comienzan a filtrar datos y / o cargar módulos adicionales para iniciar otros hilos, como acceder a datos y cifrar archivos. 

Entonces, aquí se vuelve obvio que una estrategia de prevención eficiente debe comenzar en la fase temprana de la infección. El sistema de almacenamiento está al final de la fase de ataque. La infección debe capturarse y detenerse mucho antes en la red y en cualquier tipo de dispositivo informático donde aterrice y se ejecute el malware. 

Además, a menudo los esfuerzos de remediación van seguidos de una reinfección porque no todos los dispositivos potenciales se han eliminado de la red. Esta es otra razón importante para capturar malware en la fase inicial, en la red, servidores, aplicaciones (es decir, correo electrónico). 

Moderno gestión de eventos e información de seguridad (SIEM) Las soluciones capturan datos de todos los dispositivos potenciales y ofrecen enfoques holísticos para detectar y prevenir infecciones de malware. Un aspecto importante para los controles de detectives es la captura y correlación de eventos centrales. Además, los sistemas de detección de intrusos (IDS) pueden detectar patrones de tráfico de red peligroso; por ejemplo, consultas de servidor de nombres de dominio (DNS) anómalas utilizadas para exfiltrar datos, paquetes que se correlacionan con una técnica de explotación.

Muchas empresas están utilizando sistemas de prevención de intrusiones (IPS) para controles de detección con funciones avanzadas de detección de exploits y protección contra incendios, que pueden ayudar a aislar algunas categorías de ataques.

Implementar respuestas automatizadas usando la API de Qumulo

Una vez que el sistema IDS ha detectado una actividad sospechosa o incluso maliciosa para un archivo, los sistemas pueden desencadenar eventos automatizados. Qumulo proporciona una API REST rica que permite automatizar todo tipo de tareas de gestión en el clúster. A continuación, se muestran ejemplos de tareas de mitigación en caso de un evento de seguridad:

• Establezca una cuota para un directorio o el sistema completo en 0. En este caso, se evita cualquier nueva actividad de escritura (pero es posible que se sobrescriban)
• Configurar un recurso compartido para solo lectura o restringir direcciones IP
• Eliminar privilegios de un usuario
• Tomar o restaurar una instantánea
• Iniciar un análisis antivirus bajo demanda

Hay varias formas de aprovechar la API de Qumulo:

1. Llamadas directas a API
2. Utilice las bibliotecas de Python proporcionadas por Qumulo para simplificar el desarrollo de scripts de API
3. Ingrese al CLI de Qumulo

Recomendamos utilizar los controles de detección de Qumulo junto con las mejores prácticas de seguridad para mitigar el riesgo mediante la detección de intentos de violación de seguridad cibernética ("eventos") o brechas de seguridad exitosas ("incidentes") mientras están en curso.

En la entrada final de esta serie, cubriremos los controles correctivos o, para avanzar, descargaremos el documento técnico de Arquitectura de seguridad.

Más información

• Parte 1: Cómo utilizar los controles de seguridad integrados de Qumulo para la protección de datos
• Parte 2: Cómo utilizar los controles preventivos de Qumulo contra el malware

Papel blanco:  Arquitectura de seguridad y mejores prácticas para contrarrestar el malware 

Comunícate con nosotros

• Haz una prueba de manejo. Haga una demostración de Qumulo en nuestros laboratorios prácticos interactivos. 
• Suscríbete al blog de Qumulo para historias de clientes, conocimientos técnicos, tendencias de la industria y noticias de productos.