Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Resaltando los entornos en la nube de AWS con Darktrace Cyber AI

Andrew Tsonchev, Director of Technology

Las plataformas en la nube transforman la forma en que construimos la infraestructura digital, lo que nos permite crear entornos increíblemente innovadores para las empresas, pero a menudo, a costa de la visibilidad y el control. Con las complejas infraestructuras híbridas y de múltiples nubes convirtiéndose en una parte esencial de estados digitales cada vez más diversos, el viaje a la nube ha reformado fundamentalmente el paradigma tradicional del perímetro de la red, al tiempo que expande la superficie de ataque a un ritmo alarmante. Mientras tanto, los controles de seguridad tradicionales todavía ofrecen solo soluciones puntuales que se basan en reglas retrospectivas y firmas de amenazas y no logran detener ataques nuevos y avanzados.

Para asumir el peso de la responsabilidad compartida por la seguridad en la nube, las organizaciones requieren el enfoque que ofrece el Enterprise Immune System de Darktrace. Con Cyber AI de autoaprendizaje, Enterprise Immune System aprende continuamente cómo los “patrones de vida” normales para cada usuario, dispositivo, máquina virtual y contenedor en una organización. Al desarrollar activamente una comprensión personalizada del “ser”, el sistema inmunológico puede identificar las anomalías sutiles que apuntan a un ataque avanzado, sin suposiciones predefinidas de “bueno” o “malo”.

A medida que más y más empresas recurren a AWS para aprovechar los beneficios de la infraestructura en la nube, obtener visibilidad y seguridad para los datos y las aplicaciones alojadas en AWS es absolutamente crucial. La llegada de la duplicación del tráfico de AWS VPC ha permitido a Darktrace resaltar los puntos ciegos en los entornos de AWS de nuestros clientes, lo que garantiza que nuestra plataforma de seguridad Cyber AI pueda detener cualquier tipo de amenaza que surja. Con el Enterprise Immune System impulsado por inteligencia artificial que protege su entorno de AWS, puede aprovechar todos los beneficios de la nube con confianza.

Cyber AI de autoaprendizaje con visibilidad granular en tiempo real

La duplicación del tráfico de VPC brinda a nuestra IA de autoaprendizaje acceso a datos de paquetes granulares, lo que permite que el Enterprise Immune System extraiga cientos de funciones de los datos sin procesar y cree modelos de comportamiento enriquecidos para los entornos de nube de AWS de nuestros clientes. Esta visibilidad en tiempo real de la estructura subyacente de los entornos de AWS proporcionada por la duplicación del tráfico de VPC ayuda a Darktrace Cyber AI a aprender “en curso”, adaptándose continuamente a medida que su empresa evoluciona. Darktrace proporciona la única solución de seguridad que aprende en tiempo real, una característica fundamental dada la velocidad y escala del desarrollo en la nube.

Control unificado: patrones de correlación en toda la infraestructura

Tomando un enfoque fundamentalmente único, el Enterprise Immune System correlaciona activamente la actividad en AWS y más allá, ya sea que su ecosistema digital incluya otros entornos en la nube, aplicaciones SaaS o cualquier rango de infraestructura dentro y fuera de las instalaciones. Desde la perspectiva de la detección de amenazas, esto es crucial, ya que los eventos de seguridad detectados en una parte de una organización a menudo forman parte de un incidente de seguridad más amplio. Esto garantiza que las amenazas en la nube no se aíslen del monitoreo del resto de la infraestructura, ni se ignoren las implicaciones para la seguridad de la nube cuando ocurren intrusiones en otra parte de la red.

Neutralizando ataques sofisticados y novedosos

Los controles de seguridad tradiconales pasan por alto los ataques novedosos y avanzados dirigidos a la infraestructura de la nube. Con la duplicación del tráfico de VPC que respalda la comprensión de Darktrace Cyber AI del entorno de AWS de una organización, cualquier cambio leve en el comportamiento normal que pueda indicar una amenaza potencial se puede detectar de inmediato. Esto permite que el Enterprise Immune System detecte la gama completa de ataques basados en la nube, desde malware de día cero hasta amenazas internas sigilosas.

“Darktrace representa una nueva frontera en la ciberdefensa basada en IA. Nuestro equipo ahora tiene una cobertura completa en tiempo real en nuestras aplicaciones SaaS y contenedores en la nube.”

— CIO, City of Las Vegas

Cómo funciona: uso de la duplicación del tráfico de VPC para analizar el tráfico de AWS

Para los clientes que aprovechan AWS dentro de un modelo de IaaS, Darktrace utiliza la duplicación de tráfico de VPC para recopilar metadatos de paquetes de VPC duplicados en una sonda de Darktrace conocida como “vSensor”. El vSensor captura el tráfico en tiempo real y reenvía de forma selectiva los metadatos relevantes a una instancia en la nube de Darktrace o una sonda local. A partir de aquí, el Enterprise Immune System correlaciona el tráfico de VPC con el tráfico de nube, correo electrónico, red y SaaS en la infraestructura híbrida y multinube de un cliente para su análisis.

Al utilizar la duplicación del tráfico de VPC de esta manera, el Immune System puede realizar una inspección profunda de paquetes en el tráfico en el entorno de nube de AWS del cliente, inclusive la capa de aplicación. Cientos de características se extraen de los datos sin procesar, que van desde métricas de alto nivel de cantidades de flujo de datos, hasta metadatos de relaciones entre pares y eventos específicos de la capa de aplicación. Estas características permiten a Darktrace Cyber ​​AI crear modelos de comportamiento enriquecidos que le permiten comprender los patrones normales de vida de la organización y detectar actividades maliciosas. Es importante que Darktrace pueda construir estas métricas a partir de los datos sin procesar en lugar de depender únicamente de los registros de flujo, ya que los registros de flujo no proporcionan el nivel requerido de granularidad o eventos en tiempo real dentro de las conexiones.

Para las instancias de AWS que no son de Nitro, implementamos agentes ligeros conocidos como “OS-Sensors” que alimentan el tráfico relevante a un vSensor local y, a su vez, a una instancia de nube de Darktrace o una sonda local. Una vez configurados, los OS-Sensors se pueden escalar fácilmente a medida que se activan nuevas instancias. Darktrace también ofrece un OS-Sensor especializado que proporciona cobertura en sistemas en contenedores como Docker y Kubernetes.

Contexto más completo con los registros de AWS CloudTrail

Además de analizar datos con duplicación de tráfico de VPC, el Enterprise Immune System también monitorea eventos de administración y datos dentro de AWS. Lo hace a través de solicitudes HTTP para archivos de registro generados por AWS CloudTrail, que monitorea los eventos de todos los servicios de AWS, incluidos:

  • EC2
  • IAM
  • S3
  • VPC
  • Lambda

Darktrace organiza los diferentes tipos de eventos producidos a través de CloudTrail en categorías según el tipo de acción y los servicios de AWS que la generan. Estas diferentes categorías se muestran como métricas en la interfaz de usuario del Enterprise Immune System, el Threat Visualizer. Esta información se utiliza para proporcionar un contexto aún más profundo en relación con el tráfico reflejado en las VPC, así como todo el tráfico de nube, red, correo electrónico y SaaS en todo el entorno digital de un cliente.

Escenarios de implementación de Darktrace para clientes de AWS

Para los entornos IaaS, Darktrace implementa un vSensor en cada entorno de nube. Dentro de los entornos de AWS, vSensor captura el tráfico en tiempo real con la duplicación del tráfico de AWS VPC. El vSensor receptor procesa los datos y los envía a la instancia de Darktrace basada en la nube. Los clientes de AWS también tienen la opción de implementar un “Módulo de seguridad Darktrace” para monitorear la administración de IaaS y los eventos de datos a nivel de API, como inicios de sesión, edición de servidores virtuales o creación de nuevas credenciales de acceso.

Figura 1: un escenario de implementación solo en la nube: Darktrace administra una sonda de nube maestra que recibe tráfico de sensores y conectores en entornos IaaS y / o SaaS

Para las implementaciones híbridas de IaaS, Darktrace implementará de manera similar vSensors y OS-Sensors según corresponda. El tráfico en la nube y los datos de eventos de AWS y cualquier otro entorno en la nube se envían luego a una sonda Darktrace en la nube o en la red local. Para el último escenario, Darktrace desplegará un dispositivo físico que ingiere tráfico de red en tiempo real a través de un puerto SPAN o toma de red, lo que le permitirá correlacionar patrones en todo el ecosistema digital.

Figura 2: un escenario de implementación de nube híbrida, con infraestructura de múltiples nubes en AWS, Azure y GCP

Para implementaciones de SaaS híbridas, Darktrace implementará módulos de seguridad Darktrace específicos del proveedor en una sonda Darktrace física o basada en la nube, además de cualquier otro vSensor y OS-Sensor relevante en su lugar. Luego, los datos de SaaS se analizan y se correlacionan con el tráfico y los comportamientos de los usuarios en AWS, otros entornos de nube y cualquier infraestructura ciberfísica dentro y fuera de las instalaciones.

Figura 3: un escenario de implementación de SaaS híbrido

Defensa contra toda la gama de amenazas en la nube

Con el conocimiento profundo y las poderosas capacidades de reacción de Cyber AI, Enterprise Immune System es la única tecnología probada para detener la gama completa de ciberamenazas en la nube, que incluyen:

  • Errores de configuración críticos
  • Amenaza interna
  • Credenciales comprometidas
  • Malware novedoso y avanzado
  • Ataques de fuerza bruta de contraseñas
  • Exfiltración de datos
  • Movimiento lateral
  • Ataques de intermediario
  • Criptojacking
  • Violaciones de la política

Casos de estudio

Malware de minería criptográfica instalado inadvertidamente

Darktrace detectó un error de un ingeniero de DevOps junior en una organización multinacional con cargas de trabajo en AWS y Azure y aprovechando sistemas en contenedores como Docker y Kubernetes. El ingeniero descargó accidentalmente una actualización que incluía un minero criptográfico, lo que provocó una infección en varios sistemas de producción en la nube.

Después de la infección inicial, el malware comenzó a enviarse a un servidor de comando y control externo, que Darktrace detectó de inmediato. Con la conexión externa establecida y las instrucciones de la misión de ataque entregadas, la infección de malware criptográfico pudo propagarse rápidamente por la infraestructura de nube expansiva de la organización a la velocidad de la máquina, infectando 20 servidores de nube en menos de 15 segundos.

La amplia visibilidad del entorno de AWS de la organización a través de la duplicación del tráfico de VPC fue un factor clave que permitió a la Darktrace Cyber ​​AI identificar la escala del ataque. Con la vista dinámica y unificada de la extensa infraestructura híbrida y multinube de la empresa proporcionada por Darktrace, el equipo de seguridad de la empresa pudo contener el ataque en minutos, en lugar de horas o días. Aunque el ataque se movió a la velocidad de la máquina, al aprovechar soluciones como la duplicación del tráfico de VPC para analizar continuamente el comportamiento en la nube, Darktrace detectó the threat at an early enough stage – well before the costs could start to mount.

Uso indebido de la infraestructura en la nube de AWS por parte de los desarrolladores

En un grupo de seguros, un ingeniero de DevOps intentaba construir una infraestructura de respaldo paralela dentro de AWS para replicar los sistemas de producción del centro de datos de la organización. La implementación técnica fue perfecta y se crearon los sistemas de respaldo; sin embargo, el costo de funcionamiento del sistema habría sido de varios millones de dólares por año.

El ingeniero de DevOps no estaba al tanto de los costos asociados con el proyecto y mantuvo la administración en la oscuridad. Se lanzó la infraestructura en la nube y los costos comenzaron a aumentar. Sin embargo, con el acceso en tiempo real al entorno de AWS de la empresa proporcionado por la duplicación del tráfico de VPC, la Cyber AI de Darktrace recibió una alerta inmediata sobre este comportamiento inusual, lo que permitió al equipo de seguridad tomar medidas preventivas de inmediato.

Con Darktrace Cyber AI, aproveche los beneficios de AWS

A medida que las organizaciones recurren cada vez más a la nube y la superficie de amenazas continúa expandiéndose, los equipos de seguridad necesitan una IA de autoaprendizaje de su lado para obtener la información más sólida, iluminar cada punto ciego y detener todos los ataques.

Al proporcionar una plataforma de Cyber ​​AI para toda la empresa, Darktrace ayuda a los equipos a superar el desafío de seguridad tradicional de reconstruir manualmente los incidentes en los distintos rincones de una organización. La visibilidad y el control unificados que ofrece Enterprise Immune System reducen la complejidad y la fatiga del tablero con las que muchos equipos continúan luchando, mientras que la información multidimensional del sistema mejora la toma de decisiones y la confianza en las amenazas. Darktrace aumenta aún más este proceso con la capacidad de analista de inteligencia artificial del sistema inmunológico, que da el paso adicional de investigar automáticamente las amenazas detectadas por Darktrace y producir informes concisos generados por inteligencia artificial que comunican el alcance completo de un incidente.

Con la visibilidad granular en tiempo real de la duplicación del tráfico de VPC compatible con Darktrace Enterprise Immune System, puede estar seguro de que sus entornos de nube de AWS siempre estarán protegidos.

Conozca más sobre Enterprise Immune System

Andrew Tsonchev

Andrew is a technical expert on cyber security and advises Darktrace’s strategic customers on advanced threat defense, AI and autonomous response. He has a background in threat analysis and research, and holds a first-class degree in physics from Oxford University and a first-class degree in philosophy from King’s College London. His comments on cyber security and the threat to critical national infrastructure have been reported in international media, including CNBC and the BBC World.