Por Tim Rains – Director de Seguridad
Acabamos de publicar un nuevo volumen del Informe de Microsoft sobre Inteligencia de seguridad. Por primera vez, se incluye en el informe datos de seguridad de la nube de Microsoft que revelan cómo estamos aprovechando un gráfico de seguridad inteligente para informar cómo protegemos los puntos finales (endpoints), cómo detectamos mejor los ataques y cómo aceleramos nuestra respuesta, para ayudar a proteger a nuestros clientes.
En noviembre, describimos el nuevo enfoque de Microsoft sobre cómo protegemos, detectamos y respondemos a las amenazas de seguridad. Hemos evolucionado nuestra capacidad de obtener información en tiempo real y la inteligencia predictiva en nuestra red para estar un paso adelante de las amenazas y proteger a los clientes.
El reto consiste en correlacionar los datos de seguridad con nuestros datos de inteligencia sobre amenazas. Para ello, recogemos billones de señales de miles de millones de fuentes para construir un gráfico de seguridad inteligente que pueda aprender de un área y aplicarlo a toda la plataforma de Microsoft. El gráfico de la seguridad inteligente es impulsado por información que recibimos de nuestros puntos finales, servicios de consumo, servicios comerciales y tecnologías en nuestras instalaciones.
El nuevo Informe de Inteligencia de Seguridad contiene muchos puntos de vista de estos datos y análisis. A continuación encontrará algunos ejemplos:
- A partir de una red de sensores compuesta por cientos de millones de sistemas que ejecutan el software anti-malware de Microsoft, los datos nos muestran que:
- El número de sistemas con malware en 2015 aumentó en la segunda mitad del año. La tasa de encuentro en todo el mundo aumentó a 20.5% a finales de 2015, un aumento del 5.5% del semestre anterior.
- Las ubicaciones con las más altas tasas de encuentro eran Pakistán, Indonesia, los territorios palestinos, Bangladesh y Nepal, todos con tasas por encima del 50%.
- Los paquetes de explotaciones representaron cuatro de cada 10 vulnerabilidades más comúnmente encontradas durante la segunda mitad del año 2015. El kit de explotación Angler fue la familia de paquetes más comúnmente encontrada.
- Aunque ransomware tiene tasas de encuentro relativamente bajas (ER en todo el mundo por ransomware en el primer trimestre de 2015 fue de 0.35% y 0.16% en el segundo trimestre), su uso en kits de ransomware-como-un-servicio y ataques dirigidos va en aumento.
- El filtro SmartScreen es una función de Internet Explorer y Edge Microsoft que ofrece protección a los usuarios contra los sitios de phishing (o suplantación) y sitios que albergan programas maliciosos. Sobre la base de datos de suplantación de identidad obtenidos de SmartScreen:
- Este tipo de sitios de phishing que se dirigen a los servicios en línea recibieron el mayor porcentaje de impresiones durante el período, y representaron la mayor cantidad de URLs de phishing activos
- Los sitios que se dirigen a las instituciones financieras representaron el mayor número de ataques de phishing activos durante el período
Como ya mencioné, por primera vez publicado los datos de seguridad de servicios en la nube en este Informe de inteligencia de seguridad. Permítanme compartir algunos de esos datos con usted y porqué nos emociona cómo la nube está mejorando las perspectivas de nuestro gráfico de seguridad inteligente.
Cómo mitigar los ataques a contraseñas
La escala masiva de la nube de Microsoft nos permite reunir una enorme cantidad de información de inteligencia sobre el comportamiento malicioso, que a su vez nos permite evitar el compromiso de las cuentas de Microsoft y de Azure Active Directory, así como bloquear el uso de credenciales filtradas o robadas.
Azure Active Directory proporciona inicio de sesión único para miles de aplicaciones en la nube (SaaS) como Office 365, Workday, Box, Google Apps y más, y acceso a aplicaciones Web que las organizaciones ejecutan en sus instalaciones, y las cuentas de Microsoft utilizadas por los consumidores para iniciar sesión en servicios como Bing, Outlook.com, OneDrive, Skype y Xbox LIVE.
La escala de estos servicios ofrece mucha información sobre los esfuerzos de los atacantes para comprometer las cuentas de usuarios de consumidores y empresas.
- A finales de 2015, Azure Active Directory era utilizado por 8.24 millones de propietarios con más de 550 millones de usuarios.
- Azure Active Directory promedió más de 1300 millones de solicitudes por día.
- Todos los días, Microsoft procesó más de 13 mil millones de inicios de sesión de cientos de millones de usuarios de cuentas de Microsoft.
Para prevenir y mitigar los ataques a los consumidores y organizaciones que utilizan estos servicios, se utiliza un sistema con varios niveles de mecanismos de protección. La piedra angular de estos sistemas de protección es el aprendizaje por máquina. Cada día, nuestros sistemas de aprendizaje automático procesan más de 10 terabytes de datos, incluyendo información de más de 13 mil millones de inicios de sesión de cientos de millones de usuarios de cuentas de Microsoft.
Combinamos esto con otros algoritmos de protección y alimentaciones de datos a partir de:
- La Unidad de Microsoft contra Delitos Digitales
- El Centro de Microsoft de Respuesta a la seguridad
- Datos de ataques de Phishing en Outlook.com y Exchange Online
- La información se recopiló del sector académico, la policía, los investigadores de seguridad y socios de la industria en todo el mundo
Todos estos datos nos ayudan a crear un sistema de protección integral que permite mantener las cuentas de los clientes seguras. El sistema desvía decenas de miles de ataques basados en la localización por día, y bloquea automáticamente decenas de miles de solicitudes cada día que utilizan credenciales que probablemente hayan sido robadas o filtradas. Las Cuentas de Microsoft que se encuentren comprometidas se introducen automáticamente en un proceso de recuperación que permite que sólo el propietario legítimo recupere el único acceso a la cuenta.
Múltiples algoritmos analizan una amplia gama de datos producidos por nuestros sistemas en tiempo real para detener los ataques antes de que tengan éxito y, con carácter retroactivo, solucionar rápidamente las cuentas atacadas y eliminar el acceso del atacante. Por ejemplo, también utilizamos herramientas como bloqueo de contraseña incorrecta y bloqueo basado en la ubicación.
Las ventajas del aprendizaje por máquina
Los sistemas de aprendizaje automático de Microsoft utilizan varios puntos de datos para determinar cuando un intento de inicio de sesión de cuenta, incluso con una contraseña válida, es probablemente fraudulento.
Para cuentas de Microsoft, estos intentos de conexión se bloquean hasta que se proporcione un segundo factor de autenticación. Para Azure Active Directory, la protección de identidad permite a los administradores crear directrices que hacen lo mismo, solicitando MFA o bloqueo directo del intento basado en la puntuación de riesgo de la entrada.
Uno de los factores que el sistema de aprendizaje automático utiliza para bloquear los intentos de inicio de sesión es si la ubicación del intento de inicio de sesión es un lugar familiar para el usuario legítimo.
La nueva inteligencia contra amenazas proporciona detalles sobre los ataques. Aquí tienes los nuevos datos que aparecen en los informes de inteligencia de seguridad:
- Intentos de conexión comprometida bloqueados desde ubicaciones desconocidas casi tres cuartas partes del tiempo.
- Los atacantes estaban ubicados en diferentes partes del mundo:
- 49% en Asia
- 20% en América del Sur
- 14% en Europa
- 13% en América del Norte
- 4% en África
Comprender desde dónde se originan los ataques nos permite reconocer patrones de ataque que puede utilizarse para proteger a otros sistemas y clientes.
De todos estos datos y análisis, cada día los sistemas de protección de cuentas de Microsoft de forma automática detectan y previenen más de 10 millones de ataques, en decenas de miles de ubicaciones, entre ellos millones de ataques en los que el atacante tiene credenciales válidas. Eso es más de 4 mil millones de ataques evitados sólo el año pasado.
Muy pocas organizaciones pueden lograr este nivel de datos de alta calidad, agregarlos y analizarlos, todos los días, en sus instalaciones, y utilizarlos para tomar decisiones de seguridad oportunas. A través de nuestras capacidades de aprendizaje automático, la nube de Microsoft protege a los clientes de una manera muy sofisticada, más rápido que la mayoría de las organizaciones podrían hacerlo en sus instalaciones.
Guía
En cada Informe de inteligencia de seguridad, ofrecemos algunas orientaciones que ayudan a proteger a las personas y organizaciones. Hay algunas cosas que las personas pueden hacer para proteger sus cuentas y dispositivos de los ataques a contraseñas:
- La seguridad de su cuenta es particularmente importante si su nombre de usuario es una dirección electrónica, ya que otros servicios pueden confiar en ésta para verificar su identidad. Si un atacante toma su cuenta, es posible que tomen sus demás cuentas también (como bancos y compras en línea) al restablecer sus contraseñas por correo electrónico.
- Consejos para crear una contraseña segura y única:
- No use una contraseña que sea igual o similar a una que utilice en cualquier otro sitio Web. Un criminal cibernético que entre en ese sitio Web puede robar su contraseña y utilizarla para robar su cuenta.
- No use una sola palabra (por ejemplo, “princesa”) o una frase de uso común (por ejemplo, “teamomucho”).
- Haga su contraseña difícil de adivinar, incluso por aquellos que saben mucho acerca de usted (por ejemplo, no use los nombres y los cumpleaños de sus amigos y familiares, sus bandas favoritas y frases favoritas).
- La verificación de dos pasos incrementa la seguridad de las cuentas al dificultar a los hackers el acceso, incluso si saben o adivinan su contraseña.
- Si se ha activado la verificación en dos pasos y luego intenta iniciar sesión en un dispositivo que no reconocemos, le pediremos dos cosas:
- Su contraseña.
- Un código de seguridad adicional.
- Podemos enviar un nuevo código de seguridad a su teléfono o su dirección electrónica alternativa, o puede obtener uno con una aplicación de autenticación en su teléfono inteligente.
- Si su organización no ha comenzado a aprovechar la nube, porque no crea que se pueda obtener la visibilidad o el control que necesita, es hora de volver a evaluarlo – es probable que la escala, y la inteligencia contra amenazas y nuevas capacidades de seguridad que permite, le proporcionen un mayor retorno de la inversión que en sus instalaciones.
- Las organizaciones deben evaluar la forma en que la nube ayudará a evolucionar hacia una estrategia de seguridad de “proteger, detectar y responder”. Evalúe la Protección a la identidad de Azure Active Directory, que está en vista previa en este momento.
El nuevo Informe de inteligencia de seguridad está disponible en www.microsoft.com/sir.
Tim Rains Director, Seguridad