WATCHGUARD ADVANCED EPDR: La Defensa Definitiva contra los Peligrosos Ataques Living-off-the-Land

WatchGuard Advanced EPDR protege contra los ataques Living-off-the-Land (LotL), que aprovechan herramientas legítimas del sistema para evadir la detección. Con controles de aplicaciones, análisis de comportamiento y respuesta rápida, garantiza una defensa sólida frente a estas amenazas avanzadas y difíciles de detectar.

¿Sabes que es un ataque de Living off the Land (LotL)?

Es una forma de hackeo en la cual el intruso utiliza herramientas y funciones legítimas disponibles en los sistemas para llevar a cabo las acciones maliciosas.

La diferencia que existe entre los ciber ataques tradicionales y los ataques Living off the Land, es que no requiere la instalación de un software externo, lo que permite operar sin levantar sospechas, lo que hace que su detección sea extremadamente difícil.

Las consecuencias de un ciberataque Living offthe Land (LotL) pueden ser extremadamente graves. Este tipo de ataque permite a los delincuentes tomar el control completo de sistemas esenciales de una organización, accediendo a información crítica sin ser detectados fácilmente. Esto significa que los atacantes pueden robar datos sensibles como información financiera, datos personales de empleados o clientes, e incluso secretos comerciales. Una vez que obtienen esta información, pueden usarla para llevar a cabo actividades ilegales como extorsión, fraude o espionaje corporativo. Además, los atacantes pueden instalar programas maliciosos (malware) para mantener el acceso al sistema o dañar los recursos de la empresa, todo sin dejar rastro visible, lo que dificulta su detección y eliminación

Los ataques LotL atraen a los ciberdelincuentes porque evaden la detección y reducen el riesgo de ser rastreados. Este enfoque de bajo perfil aumenta las posibilidades de una vulneración exitosa, ya que los atacantes permanecen ocultos durante períodos más largos.

Técnicas comunes en los ataques LotL

•  PowerShell: esta técnica se aplica para descargar y ejecutar scripts maliciosos, establecer conexiones remotas o alterar la configuración del sistema sin dejar rastros claros.
• WMI: se utiliza para ejecutar comandos de forma remota, recopilar datos del sistema o mantener la persistencia en el sistema.
• Herramientas de administración remota: se puede modificar la utilidad de algunas herramientas, como PsExec, para ejecutar comandos maliciosos de forma remota.
• Macros de Office: Las macros maliciosas incrustadas en documentos de Office ejecutan código al abrirse, aprovechándose de la confianza del usuario.

Protección contra ataques LotL con WatchGuard Advanced EPDR: 

•  Control de aplicaciones: restrinja el uso de herramientas como PowerShell y WMI a usuarios y procesos específicos.
• Supervisión y análisis de comportamiento automatizado: utilice el análisis de comportamiento en la nube para detectar actividades inusuales del sistema, en lugar de depender únicamente de firmas o tecnología de endpoints.

Para implementar con éxito estas estrategias, aparte de nuestro Servicio de Zero-Trust Application, que bloquea las aplicaciones no confiables hasta que se valide su confiabilidad, y nuestro servicio de Threat Hunting, WatchGuard Advanced EPDR ofrece funcionalidades que permiten a los analistas de seguridad detectar y responder rápidamente a la presencia de un atacante que utiliza técnicas LotL.

Los analistas pueden prevenir estos ataques denegando aplicaciones como PowerShell y WMI o detectando automáticamente los comportamientos típicos utilizados en los ataques de malware sin archivos y asignándolos al marco MITRE ATT&CK.

Ahora, la nueva versión de Advanced EPDR permite a los analistas investigar estos comportamientos accediendo a telemetría enriquecida con inteligencia de amenazas desde un único punto de la consola. Además, WatchGuard Advanced EPDR  proporciona información valiosa para la investigación de incidentes relacionados con aplicaciones maliciosas. Identifica las técnicas MITRE ATT&CK, las capacidades de las actividades maliciosas que puede exhibir el programa y las funciones externas que utiliza. Estas pueden incluir la invocación de operaciones del sistema operativo u otras bibliotecas mediante la integración nativa de CAPA, una herramienta de código abierto para analizar automáticamente el comportamiento de las aplicaciones.

• Extensión de la investigación y respuesta rápida a través de shell remoto: la nueva versión de WatchGuard EPDR Advanced incluye la capacidad de abrir un shell remoto para obtener archivos, inspeccionar procesos e incluso tomar medidas directas en el endpoint, ya sea en Windows, Linux o macOS.
• No permita las conexiones si representan un riesgo: limitar la comunicación entre diferentes segmentos de red o endpoints mediante la segmentación de red puede evitar que los atacantes se muevan lateralmente utilizando técnicas LotL. La nueva versión de WatchGuard EPDR Advanced permite a los administradores denegar las conexiones de los endpoints que no cumplen con los requisitos y que representan un riesgo para los endpoints protegidos, lo que mejora aún más las posiciones de seguridad de las organizaciones.
• Educación y concientización: capacitar a los empleados sobre los riesgos de las macros y el uso seguro de las herramientas administrativas puede ayudar a prevenir la ejecución inadvertida de scripts maliciosos.

Conclusión

Los ataques Living-off-the-Land representan un desafío importante en la ciberseguridad moderna. Al explotar herramientas y funcionalidades legítimas del sistema, los atacantes pueden operar con un perfil bajo y, así, evadir muchas soluciones de seguridad tradicionales. La detección y prevención efectivas de estos ataques requieren una combinación de controles técnicos sólidos, supervisión constante y una sólida capacitación en seguridad para los usuarios. Con la nueva versión de WatchGuard Advanced EPDR, las organizaciones pueden mejorar su capacidad para detectar, prevenir y responder a estas amenazas avanzadas, lo que garantiza un entorno más seguro y resistente.

Descubre todo lo que WatchGuard Advanced EPDR puede hacer por la seguridad de tu empresa. Visita nuestra página web para obtener más información y accede a herramientas exclusivas en nuestro centro de recursos. ¡Protege tu negocio y cotiza con nosotros hoy mismo!