Este artículo proporciona información sobre el Nivel de Riesgo del Usuario de Cato, cómo se calcula y cómo puede implementarlo para mejorar su postura de seguridad.
Como parte del enfoque de Cato para ZTNA universal y evaluación y verificación continua, Cato calcula un Nivel de riesgo dinámico del usuario para cada uno de los usuarios de su organización para determinar el riesgo que representan.
El Nivel de Riesgo del Usuario le ayuda a mejorar su postura de seguridad y capacidades de acceso adaptativo. Puede crear reglas en sus diversas políticas para determinar el acceso a recursos basado en este nivel. Por ejemplo, crear una regla que bloquee tráfico a recursos sensibles de la empresa de usuarios con un Nivel de Riesgo de Alto o superior.
Puede ver el Nivel de Riesgo para todos los usuarios en su organización, ya sea que tengan una Licencia SDP o no. Esto le da una indicación de la postura general de seguridad. Además, puede ver todos los eventos de seguridad que están conectados a un usuario específico y determinar su nivel de riesgo.
Nota: Para ver el nivel de riesgo del usuario, debes tener los permisos necesarios en el rol de Acceso a la Nube.
La Compañía ABC trabaja con aplicaciones SaaS y, siguiendo las mejores prácticas de seguridad, quiere asegurarse de que solo las personas necesarias puedan acceder a estas aplicaciones. Además, quieren asegurarse de que nadie en el grupo autorizado con un nivel de riesgo de Alto o superior pueda acceder a estas aplicaciones.
La compañía crea una regla en su cortafuegos de Internet para bloquear cualquier tráfico hacia sus aplicaciones SaaS.
Cuando John Doe no puede acceder a la aplicación Saas, contacta con el departamento de TI, quienes ven que su nivel de riesgo es Alto. Sin embargo, después de revisar los eventos que determinaron el nivel, el departamento de TI decide que él no representa un riesgo y restablece el nivel para que pueda acceder a las aplicaciones que necesita.
La Compañía ABC tiene un servidor de base de datos que necesita ser accedido desde sus diversas oficinas. Quieren asegurarse de que sea accesible para los desarrolladores, pero también necesitan asegurar que sea seguro, ya que proporciona acceso a datos sensibles y patentados.
La compañía crea una regla en el cortafuegos WAN para permitir el acceso solo a usuarios autorizados cuyo Nivel de Riesgo sea menor que Alto.
Cada actividad de usuario se monitorea y registra, aprovechando el contexto compartido de Cato, y los usuarios se asignan dinámicamente un Nivel de Riesgo basado en un algoritmo propietario que considera una variedad de diferentes puntos de datos. El Nivel de Riesgo puede usarse luego en las políticas de Internet y WAN para permitir acceso solo a los usuarios que presenten los riesgos más bajos.
Cato recopila los siguientes atributos.
Los atributos de usuario marcados política pueden usarse en las políticas. Para más información, consulte la Política de Acceso de Cliente.
|
Artículo |
Atributo |
Ejemplos |
|---|---|---|
|
1 |
Actividad de Troyano |
Dridex, Peacomm, PeacommBanking |
|
2 |
Malware Bancario |
Bancos, Banload, Banker |
|
3 |
Robadores de Información |
Zeus/Zbot, Agent, Symmi |
|
4 |
Actividad de Puerta Trasera |
Varias firmas mapeadas a técnicas MITRE ATT&CK |
|
5 |
Tráfico de Botnet |
Mirai, varias firmas C2 |
|
6 |
Túnel DNS |
Múltiples detecciones de túnel DNS |
|
7 |
Actividad de Balizamiento |
Chequeos regulares de Comando y Control |
|
8 |
Comunicaciones de Múltiples Dominios |
Múltiples Dominios Alarmantes y luego Servidor de Baja Reputación |
|
9 |
Comunicaciones de Ransomware |
Actividad SMB y comunicaciones externas |
|
10 |
Comportamiento de Cifrado |
Actividad de cifrado de sistema de archivos |
|
11 |
Entrega de Nota de Rescate |
Colocación o entrega de nota de rescate |
|
12 |
Comunicaciones de Grupo de Minería |
CryptInject, Cryptomineext, Groupfabric Bitcoinminer |
|
13 |
Utilización de Recursos |
Uso anormal del sistema para minería |
|
14 |
Transferencia de Datos a Destinos Sospechosos |
Exfiltración de Información del Sistema, Exfiltración de RaiDrive |
|
15 |
Robo de Credenciales |
Actividad de robo de credenciales y exfiltración |
|
16 |
Transferencias de Datos Grandes |
Transferencias salientes anormalmente grandes |
|
17 |
Explotación de CVE |
CVE-2018-0101, CVE-2017-0199, CVE-2021-44228 (Log4Shell) |
|
18 |
Explotación de Día Cero |
Firmas para amenazas emergentes |
|
19 |
Inyección de Comandos |
Intentos de inyección de comandos detectados |
|
20 |
Recorrido de Directorios |
Comportamiento de recorrido de ruta |
|
21 |
Intentos de Carga de Archivos |
Cargas de archivos sospechosos a aplicaciones web |
|
22 |
Inyección SQL |
Intentos de ataque SQLi |
|
23 |
Script entre Sitios y CSRF |
Detecciones de XSS y CSRF |
|
24 |
Phishing Ofuscado |
Detección de tácticas de phishing ocultas |
|
25 |
Phishing de Credenciales |
Inserción de datos sensibles en páginas de phishing |
|
26 |
Suplantación de Marca |
Phishing relacionado con DHL |
|
27 |
Herramientas de Escaneo Automatizadas |
Nikto, Nessus, OpenVAS |
|
28 |
Sondas de Vulnerabilidades con Objetivo |
Escaneos enfocados en CVE |
|
29 |
Enumeración de Redes |
Escaneo de puertos y descubrimiento de redes |
|
30 |
Comunicación con IP/Dominio Conocido como Malo |
Acceso a dominio de baja reputación, TOR/proxy |
|
31 |
Correo electrónico del usuario |
(política - ver abajo) |
|
32 |
Grupo de Usuarios |
(política - ver abajo) |
|
33 |
Nivel de Confianza del Usuario |
(política - ver abajo) |
|
34 |
Configuración de DNS |
(política - ver abajo) |
|
35 |
País |
(política - ver abajo) |
|
36 |
Origen de la conexión |
(política - ver abajo) |
|
37 |
Ejecución Remota vía SMB |
PsExec, PAExec, RemCom, CSExec |
|
38 |
Ejecución Remota usando WinRM |
Shell de comando WinRS, WinRM PowerShell |
|
39 |
Ejecución Remota Impacket |
Impacket PsExec, Impacket SMBExec, Impacket DCOMExec |
|
40 |
Ejecución Remota WMI |
Ejecución WMI sobre DCOM |
|
41 |
Manipulación de Servicios Remotos |
Servicio SVCCTL Crear, Servicio SVCCTL Iniciar, Servicio SVCCTL Eliminar |
|
42 |
Tareas Programadas Remotas |
schtasks remoto, ejecución de tarea AT vía atsvc |
|
43 |
Reconocimiento LDAP |
Volcado de confianza LDAP, personas, computadoras, consultas a usuarios administradores, grupos |
|
44 |
Reconocimiento SAMR / LSARPC |
Búsqueda de administrador SAMR, información de visualización de consulta SAMR, enum local de administrador SAMR, administrador incorporado LSARPC |
|
45 |
Escaneo de Puertos Multi-Servicio |
Escaneo de servicios FTP, SSH, RDP desde una sola IP de origen |
|
46 |
Transferencia de Herramientas Credenciales |
Transferencia Mimikatz SMB |
|
47 |
Transferencia de Herramientas Ofensivas vía SMB |
Netcat, Nmap, ADFind, TDSSKiller, scripts de PowerShell, scripts Batch |
|
48 |
Transferencia de Herramientas de Transferencia de Archivos vía SMB |
WinSCP, FileZilla, PuTTY, MobaXterm |
|
49 |
Exfiltración usando Rclone |
Rclone SSH, Rclone HTTP, Rclone descarga |
|
50 |
Exfiltración de Almacenamiento en la Nube |
Subida de API MEGA sin navegador, subida a servicios en la nube de baja popularidad |
|
51 |
Acceso al Bot Pastebin |
Acceso a contenido bruto sin navegador a Pastebin |
|
52 |
FTP a Destinos Sospechosos |
FTP a IP con baja reputación, dominio con baja reputación, puerto no estándar |
|
53 |
Tunelización de Protocolo |
Tunelización RDP sobre puertos web, RDP sobre TLS en puertos no estándar |
|
54 |
Descarga de Herramientas RMM |
TeamViewer, AnyDesk, ScreenConnect, Splashtop, SimpleHelp, Atera, Zoho Assist |
|
55 |
Conexión Activa RMM |
Sesión WAN/entrante con TeamViewer, escritorio remoto AnyDesk, relay Splashtop, lateral/UDP SimpleHelp |
|
56 |
Transferencia de Herramientas RMM vía SMB |
Transferencia SMB de AnyDesk, transferencia SMB de Splashtop |
|
57 |
Uso Sospechoso de Herramientas CLI |
curl / wget a sitios de baja reputación, descarga binaria curl / wget |
|
58 |
Descarga Suite de Herramientas PSTools |
Descarga PSTools seguida de PsExec masivo (15+ hosts en 10 min) |
Cato observa muchos indicadores diferentes para determinar comportamientos riesgosos y los clasifica en las 4 categorías anteriores. Estos indicadores incluyen:
-
Indicadores de sistemas que ya han sido comprometidos - más de 2500 firmas, incluyendo:
-
Malware, como Trojans, malware basado en lo financiero, y varias técnicas de puertas traseras
-
Comunicaciones de Comando & de Control, como tráfico de botnet, túnel DNS, y comunicaciones de dominios múltiples
-
Actividad de ransomware, como comportamiento de cifrado, entrega de notas de ransomware, y comunicaciones de ransomware
-
Minería de Criptomonedas, como comunicaciones de grupos mineros y utilización de recursos
-
Actividades de exfiltración, tales como transferencia de datos a destinos sospechosos, robo de credenciales, y transferencias de datos grandes
-
-
Indicadores de intentos bloqueados que podrían conducir a infecciones - más de 2300 firmas, incluyendo:
-
Intentos de Ejecución Remota de Código (RCE), tales como explotación de CVE, intentos de explotación de 0-día, y inyección de comandos
-
Ataques a aplicaciones web, como recorrido de directorios, intentos de carga de archivos, y XSS/CSRF
-
Actividades de phishing, tales como phishing de credenciales y suplantación de marca
-
Escaneo de vulnerabilidad, como el uso de herramientas de escaneo automatizadas y enumeración de red
-
-
Violaciones de política y actividades riesgosas que podrían conducir a compromisos - más de 1500 firmas, incluyendo:
-
Intentos de movimiento lateral, tales como uso de psexec, uso de WinRM, y remoción con PowerShell
-
Divulgación de información, como exposición de datos sensibles, fugas de mensajes de error, y listados de directorios
-
Indicadores basados en reputación, tales como uso de TOR o proxy, acceso a dominios sospechosos, y comunicación con direcciones IP reconocidas como malas
-
Bloquear eventos desencadenados por el motor de seguridad basado en comportamiento de Dynamic Prevention. Para más información, consulte ¿Qué es Prevención Dinámica?
-
El Nivel de Riesgo del Usuario es una herramienta vital para equipos de red y seguridad, permitiendo políticas de control de acceso dinámicas de confianza cero para proteger tanto el tráfico de aplicaciones internas como el tráfico de Internet. Ofrece valiosos conocimientos sobre su postura de riesgo, permitiéndole ajustar sus estrategias de seguridad dinámicamente en respuesta a amenazas en evolución.
Puede crear políticas basadas en el riesgo en sus cortafuegos de Internet y WAN para bloquear el acceso a sus aplicaciones.
Para definir una regla basada en riesgo en tus firewalls:
-
Al configurar tus Cortafuegos de Internet o Cortafuegos WAN, agrega el Usuario o Grupos de Usuarios a los cuales se aplica la regla.
-
En la sección Dispositivo de la regla, bajo Atributos de Usuario, clic en Agregar Atributo.
-
Introduce los criterios de Nivel de Riesgo para comparar la regla.
-
Define la Acción a tomar cuando la regla coincida y clic en Guardar.
La página Acceso > Usuarios proporciona visibilidad de todos los usuarios en su sistema y sus niveles de riesgo.
Puede filtrar la información en la página basada en el Nivel de Riesgo para que pueda encontrar fácilmente los que potencialmente representan la mayor amenaza para la organización. Los valores de Nivel de Riesgo son:
-
Crítico
-
Alto
-
Medio
-
Bajo
Desde esta página, puede realizar acciones específicas basadas en el Nivel de Riesgo, como revocar una sesión de usuario o restablecer el Nivel de Riesgo.
Para obtener una mejor comprensión de lo que determina el Nivel de Riesgo para un usuario, puedes hacer clic en un usuario individual y navegar a la página de Riesgo del Usuario, que luego presenta su tablero de Puntuación de Riesgo. Use el Tablero de Puntuación de Riesgo del Usuario para investigar la postura de riesgo de un usuario específico y tomar acciones de remediación inmediatas. El tablero le ayuda a entender cómo cambia el riesgo de un usuario a lo largo del tiempo, qué contribuye a ese riesgo y qué eventos de seguridad están relacionados, para que pueda pasar rápidamente de la investigación a la remediación. Accede al tablero desde el Directorio de Usuarios.
Para ver la información de un usuario específico, debes tener los permisos necesarios establecidos como parte del rol de Roles de Administrador:
-
Ninguno - no puedes acceder al tablero de puntuación de riesgo para un usuario específico
-
Ver - puedes ver el tablero de puntuación de riesgo, pero no puedes realizar ninguna acción
-
Editar - tienes permisos completos para ver el tablero de puntuación de riesgo y realizar acciones como revocar una sesión o restablecer la puntuación de riesgo
Utilice las vistas del tablero para investigar por qué cambió la puntuación de riesgo del usuario y qué está contribuyendo a ella. Revise el Riesgo a lo largo del tiempo para identificar picos y tendencias en la puntuación, los contribuyentes al Riesgo para ver los factores que impulsan la puntuación actual, eventos de seguridad relacionados para ver eventos de seguridad asociados con el usuario, y Eventos de Contribución a la Puntuación para ver los eventos específicos que contribuyeron a los cambios de puntuación, para cada uno de los siguientes:
-
IPS
-
Anti-malware
-
Actividad Sospechosa
-
Firewall
-
Prevención Dinámica
Puede hacer clic en cualquiera de los enlaces en una sección determinada, por ejemplo, Ver todos los eventos de IPS para navegar a la página de Eventos, que luego se filtra por usuario y tipo de evento.
0 comentarios
Inicie sesión para dejar un comentario.