Este entrenamiento detalla las actualizaciones de Lumu Defender basadas en los hallazgos del Compromise Report. Dado que los atacantes ahora prefieren usar credenciales robadas por infostealers para acceder a sistemas legítimos en lugar de romper perímetros, Lumu propone Continuous Compromise Assessment. Este enfoque unifica la telemetría de red, identidades y correos electrónicos para eliminar los puntos ciegos creados por herramientas aisladas.
La sesión destaca tres innovaciones clave: nuevas detecciones de identidad y fuerza bruta (RDP/SSH), la función «In-Response» para bloqueos preventivos en el host, y mejoras en la gobernanza mediante logs de auditoría. Estas herramientas permiten a los equipos de seguridad automatizar la respuesta de forma no intrusiva y mantener la transparencia operativa en la gestión de la plataforma.
Puntos Clave
- Cambio de paradigma en el acceso: Los atacantes actuales prefieren el mercado de credenciales comprometidas para iniciar sesión en las cuentas de los usuarios en lugar de intentar vulnerar técnicamente el perímetro.
- Detección de Fuerza Bruta en Red: Lumu ahora puede detectar escaneos internos y abusos de protocolos (como RDP y SSH) cuando un equipo comprometido intenta propagarse lateralmente hacia otros servidores o controladores de dominio.
- Capacidades «In-Response» del Agente: El agente de Lumu puede ahora automatizar la respuesta bloqueando IPs, dominios y puertos maliciosos directamente en el host, reduciendo la dependencia de integraciones de terceros o APIs externas.
- Visibilidad de Identidad: La función de «unusual logging» permite ver quién intenta acceder, a qué horas, si el acceso fue exitoso y si el comportamiento se sale de los patrones normales de la cuenta administrativa.
- Gobernanza mediante Audit Logs: El portal incorpora registros detallados para saber quién y cuándo creó, modificó o eliminó configuraciones (como recolectores o etiquetas), facilitando la auditoría en equipos que operan 24/7.
FAQs
¿Qué tipo de respuesta ejecuta el agente de Lumu con la función «In-Response»?
El agente bloquea las comunicaciones (tráfico) hacia direcciones IP, dominios o puertos maliciosos identificados como infraestructura adversaria. No interfiere con los procesos internos de la máquina ni busca ser intrusivo como un rootkit.
¿Es necesario instalar algo adicional para detectar «unusual logins» si ya soy cliente?
No, si ya se tiene el Active Directory conectado mediante el agente de Lumu, este se actualiza automáticamente para permitir la visibilidad de tasas inusuales de login y actividades sospechosas en cuentas administradoras.
¿Cómo diferencia Lumu una anomalía de un incidente confirmado en ataques de fuerza bruta?
Lumu analiza las anomalías (como intentos fallidos de RDP), les da contexto y une los puntos comunes para entregar un incidente confirmado. El objetivo es reducir el ruido de falsos positivos y evitar inundar a los equipos de seguridad con alertas sin sentido.
¿Puede el agente de Lumu proteger y responder en equipos que están fuera de la red corporativa?
Sí, el agente funciona tanto dentro como fuera del perímetro. Si un empleado está en su casa o en una red personal, el agente mantiene la visibilidad y puede ejecutar respuestas de bloqueo enviando la información al servidor de Lumu.
¿Qué permite hacer la funcionalidad «Discover» mencionada en la sesión?
iscover permite agregar información de terceros para tener un control adicional sobre compromisos en la cadena de suministro, un problema creciente donde los atacantes vulneran a proveedores para heredar acceso a la organización principal.