Azure Native Qumulo ahora disponible en la UE, el Reino Unido y Canadá: Más información

Cómo detectar patrones de acceso de ransomware con Qumulo y Azure Sentinel

Escrito por:

Esta serie de 4 partes en Detección de ransomware explora cómo analizar y proteger los datos de Qumulo a escala de la nube. En la parte 1 a continuación, discutimos cómo detectar patrones de acceso sospechosos que podrían indicar un ataque de ransomware. En la parte 2, veremos cómo la adición de técnicas de correlación de datos puede ayudar a descubrir y prevenir más ataques potenciales. En la parte 3, revelaremos cómo utilizar fuentes externas de Threat Intelligence para la correlación de datos. En la parte 4, mostraremos cómo automatizar estas consultas con los datos de auditoría de Qumulo y Azure Sentinel. 

Anteriormente escribimos sobre el incorporado controles de seguridad y protección de datos que viene de serie con Qumulo File Data Platform. Explicamos por qué un enfoque de seguridad holístico que incluye redes, computación, dispositivos y técnicas de monitoreo de eventos, junto con correlación y análisis de datos, es preferible a las soluciones de seguridad en silos que están integradas en el sistema de almacenamiento. El objetivo es detectar amenazas antes de que lleguen a su almacenamiento de datos de archivos. Y, si lo hacen, tener un copia de seguridad basada en la nube y recuperación ante desastres estrategia que asegura la continuidad del negocio.

Ahí es donde comienza esta serie sobre búsqueda de amenazas y detección de ransomware. 

En este artículo, veremos un flujo de trabajo de detección de ransomware típico. Luego, analizaremos cómo se pueden usar estas técnicas de detección con Azure Sentinel para detectar patrones de acceso sospechosos a los datos de Qumulo, lo que podría indicar ransomware.

Cómo se integra la función de registro de auditoría de Qumulo con SIEM

Si bien puede usar cualquier plataforma de administración de eventos e información de seguridad (SIEM) estándar de la industria, decidimos usar Azure Sentinel como SIEM y orquestación, automatización y respuesta de seguridad (SOAR) solución para esta implementación por las siguientes razones:

  • Azure Sentinel es una solución basada en la nube que no requiere configuración de infraestructura en su centro de datos. 
  • Sentinel opera a escala de nube para sistemas que residen en las instalaciones, en Azure o en cualquier otro entorno de nube.
  • No hay ningún costo de licencia por adelantado. Solo paga por los datos que ingiere y almacena en los registros de Azure Monitor.
  • No hay ningún costo por analizar y procesar los datos.
  • Sentinel contiene funciones avanzadas de análisis de seguridad e inteligencia de amenazas y proporciona un amplio conjunto de conectores para muchas otras plataformas comunes.
  • La automatización de la respuesta se puede implementar con aplicaciones lógicas, ejecutando cualquier tipo de código requerido. Además, se pueden utilizar varias aplicaciones lógicas prediseñadas para automatizar las respuestas y conectarse a una gran cantidad de otros sistemas de TI.

En una publicación de blog anterior, titulada Proteja sus datos con Qumulo Audit y Azure Log Analytic, describimos cómo se ingieren los datos de Qumulo Audit en Azure Sentinel. Solo con esos datos podemos buscar y detectar patrones de acceso sospechosos que podrían indicar un ataque de ransomware. 

Flujo de trabajo de detección de ransomware para detectar patrones de acceso sospechosos

En el primer paso, utilizaremos los datos de Qumulo Audit para buscar patrones de acceso sospechosos. 

Hay varias formas de buscar amenazas y detectar ransomware. Examinemos las siguientes técnicas:

  1. Los datos de eventos se ingieren en los registros de Azure Monitor
  2. Con automatizado Consultas KQL, buscamos patrones de acceso sospechosos.
  3. Si no hay una coincidencia positiva, seguiremos viendo nuevos datos entrantes.
  4. En caso de una coincidencia positiva, Sentinel puede crear una alerta de seguridad y, opcionalmente, un incidente. El incidente se está utilizando para su asignación a un analista de seguridad de datos y la gestión de las alertas. También se pueden agrupar múltiples alertas de un tipo similar en un incidente.
  5. Según el tipo de incidentes, se puede iniciar un Playbook que puede realizar casi cualquier acción, como: enviar una notificación a los analistas de seguridad de datos, eliminar datos sospechosos, bloquear el acceso a los datos, bloquear a un usuario, cambiar las reglas del firewall y más. (Los mecanismos de respuesta automatizados se cubrirán más adelante en esta serie). 
  6. Después de que se ejecute un libro de jugadas o los analistas de seguridad de datos hayan investigado los incidentes, el estado del incidente se actualizará y luego se cerrará o eventualmente se procesará más.

Ahora que tenemos una idea del flujo de trabajo de detección de ransomware, veamos dos ejemplos simples de actividad sospechosa.

Detectar ransomware (ejemplos) u otra actividad sospechosa potencial

Una de las formas más fáciles de descubrir una actividad sospechosa potencial es identificar cuándo alguien intentó iniciar sesión repetidamente, pero falló. Esto podría ser un inicio de sesión en la WebUI, la API o incluso cuando se intenta montar una exportación SMB.

Descubrir demasiados intentos de inicio de sesión fallidos (ejemplo 1)

Para encontrar esos intentos fallidos de inicio de sesión en los últimos 30 minutos, podríamos iniciar una consulta KQL simple en la que Eventos de QumuloAudit es una función que usamos para extraer campos separados de los datos de auditoría sin procesar; se explica con más detalle aquí.

Eventos de QumuloAudit
| donde EventTime> hace (30m)
| donde ResponseCode == "STATUS_LOGON_FAILURE"

El resultado sería una lista de todos los intentos de inicio de sesión con toda la información relevante que se necesita para analizar más a fondo lo que sucedió:

 

En lugar de iniciar esta consulta manualmente, por supuesto, crearíamos una regla que la ejecuta cada 30 minutos (o el intervalo que queramos). El manejo de las alertas o incidentes procedería entonces de la forma descrita anteriormente.

Si bien esto solo cubriría los inicios de sesión fallidos en Qumulo, debería considerar usar el Conector Sentinel para Microsoft Defender para la identidad para enviar eventos de identidad desde su servidor de Active Directory directamente a Azure Sentinel. Esto le proporcionaría más opciones para analizar la actividad sospechosa relacionada con el acceso a archivos desde y hacia Qumulo, en lugar de actividades más amplias relacionadas con la autenticación.

Detectar patrones de acceso de ransomware (ejemplo 2)

Si una máquina cliente específica está accediendo a archivos en un directorio a alta velocidad, es una indicación de que un proceso está leyendo archivos, cifrándolos y escribiéndolos en el mismo lugar (a veces incluso el mismo nombre de archivo o nombre de archivo con sufijo adicional). 

La siguiente consulta filtraría los eventos de los últimos 5 minutos que indican una alta tasa de E / S (operaciones de E / S por segundo) en directorios de un solo cliente que exceden un umbral configurable (aquí lo establecemos en 500).

deje max_IOPS = 500; QumuloAuditEvents | donde EventTime> hace (5m) | resume events_count = count () por bin (EventTime, 1s), ClientIP, Directory | donde recuento_eventos> max_IOPS

El inconveniente de esta consulta es que también puede detectar actividades de la aplicación que se ejecutan con altas tasas de E / S en cargas de trabajo regulares. Sin embargo, el ransomware tiende a leer y escribir con altas tasas de E / S al mismo tiempo: lee y luego escribe inmediatamente los mismos datos (encriptados). 

Expandamos la consulta, para que solo muestre resultados con lecturas y escribe desde el mismo cliente, escribiendo / leyendo en el mismo directorio:

deje max_IOPS = 500; QumuloAuditEvents | donde EventTime> hace (5m) | resume events_count_write = countif (Operation == "fs_write_data"), events_count_read = countif (Operation == "fs_read_data") por bin (EventTime, 1s), ClientIP, Dir1 | donde events_count_write> max_IOPS y events_count_read> max_IOPS

Obviamente, este es un mecanismo de detección de ransomware muy simple que funciona para varios ataques de ransomware. Sin embargo, se han observado versiones de ransomware más sofisticadas que retrasan las operaciones de escritura durante períodos de tiempo más largos, por lo que la consulta anterior por sí sola no sería lo suficientemente sofisticada para capturarlas. Para detectar esos tipos de ataques de ransomware, usaríamos la correlación de datos con datos de inteligencia de amenazas externos. Ese es el tema de la parte 2 de esta serie sobre detección de ransomware.

Qumulo Recuperar Q: solución de recuperación ante desastres para ayudar a protegerse contra ransomware

Qumulo Los registros de auditoría se puede utilizar a través de syslog con cualquier solución SIEM para la detección de ransomware. 

También ofrecemos Qumulo Recuperar Q—Un flexible solución de recuperación ante desastres basada en la nube que encaja en cualquier estrategia de continuidad empresarial existente. El uso de Recover Q en la nube puede ayudar a optimizar el gasto de su empresa para la continuidad del negocio al reducir los costos locales en favor de un servicio nativo de la nube bajo demanda. Las funciones de protección activa ayudan a garantizar la seguridad e integridad de los datos, mientras que las funciones integradas de instantáneas y replicación en la nube agregan capas de defensa contra amenazas del mundo real que podrían comprometer sus datos u operaciones.

Qumulo en Azure como servicio, por ejemplo, incluye control de acceso integrado basado en roles para todos los usuarios, auditoría de actividades para todos los usuarios y archivos, y cifrado de datos en reposo junto con los servicios de seguridad de Azure para ayudarlo a repeler amenazas externas. En nuestro video a continuación, puede ver cómo Qumulo en Azure simplifica los servicios de archivos en la nube y puede ayudar a mantener sus datos seguros con capacidades de recuperación de desastres que incluyen replicación continua, codificación de borrado, instantáneas y conmutación por error automática.

OTRAS LECTURAS

Eche un vistazo a nuestros dos informes técnicos a continuación para obtener más información sobre la detección de ransomware con los datos de auditoría de Qumulo y las plataformas SIEM, y el servicios de datos (Qumulo Protect y Qumulo Secure) que vienen de serie con su suscripción al software Qumulo:

¿Te gusta lo que ves?

Contáctenos para RESERVAR UNA DEMOSTRACIÓN or organizar una reunión. Usted puede incluso Test Drive un entorno Qumulo completamente funcional directamente desde su navegador.

Artículos Relacionados

Ir al Inicio