Explicación de Jamf Mobile Forensics

Defensa para los usuarios de alto riesgo

Los ataques sofisticados, como el spyware mercenario, las explotaciones sin hacer clic, las amenazas persistentes avanzadas (APT) y los ataques de estados-nación, se dirigen a los usuarios en función de quiénes son, el tipo de trabajo que realizan o los datos a los que pueden acceder. Dado que este tipo de ataques requieren amplios recursos y financiamiento para llevarse a cabo, suelen dirigirse a usuarios y organizaciones de alto riesgo.

Tanto Apple como Google informan a los usuarios sobre posibles ataques de spyware y publican guías para usuarios como "periodistas, activistas, políticos y diplomáticos que han recibido notificaciones de amenazas". La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) menciona que las personas como los funcionarios gubernamentales y políticos suelen ser objeto de ataques y, según el NCSC del Reino Unido, a usted se le considera como una "persona de alto riesgo si su trabajo o su cargo público le permiten acceder a información confidencial que podría ser de interés para actores estatales, o influir en ella".

Pero esto no es solo para los empleados vinculados al gobierno, los medios de comunicación o la política. Las organizaciones de industrias como las de tecnología, logística y transporte, recursos naturales y petróleo y gas, fabricación, servicios financieros y otras más, son vulnerables debido al alto valor de los datos que poseen sus usuarios o al lugar en el que desarrollan su actividad.

Para detectar ataques sofisticados y garantizar la integridad de los dispositivos móviles de su flota, los equipos de seguridad (p. ej., SOC, forense, InfoSec o TI) necesitan información detallada sobre los dispositivos a partir de un análisis de datos más profundo.

Ahí es donde entra en juego Jamf Mobile Forensics.

Jamf Mobile Forensics

Jamf Mobile Forensics cubre la brecha de detección avanzada, análisis e informática forense de ataques sofisticados dirigidos a dispositivos móviles. Su inteligencia sobre amenazas y sus capacidades de análisis automatizado eliminan el trabajo pesado de los equipos de seguridad, mejorando las investigaciones forenses digitales y permitiendo que los equipos aceleren las medidas de mitigación y solución.

¿Cómo funciona Jamf Mobile Forensics?

La combinación de una recopilación de registros profunda y automatizada con una experiencia de usuario natural simplifica el proceso de análisis, lo que ayuda a los equipos de seguridad a comprender y responder rápidamente a ataques sofisticados. El motor de reglas Jamf Mobile Forensics, con la tecnología de análisis de comportamiento patentada por Jamf Threat Labs, automatiza el análisis de cada exploración utilizando inteligencia conocida, anomalías y comportamientos sospechosos para detectar actividades maliciosas y amenazas de día cero.

Esto permite a los equipos de seguridad:

• Identificar los ataques sin hacer clic, de un solo clic y las amenazas avanzadas persistentes (APT) antes de que entren en la red.

• Detectar explotaciones y cargas útiles desconocidas que eluden los controles de seguridad.

• Analizar los indicadores de compromiso (IoC) para identificar actividades maliciosas.

• Detectar y responder al spyware mercenario y a las amenazas avanzadas sin exponer la información de identificación personal (PII).

Escaneo de dispositivos de usuarios finales

Los escaneos de dispositivos son los que permiten a los equipos detectar si un dispositivo fue atacado y cuándo, cómo ocurrió dicho ataque y cuál fue su impacto Los escaneos con Jamf Mobile Forensics tardan unos minutos en lugar de semanas.

Para los usuarios finales, Jamf Mobile Forensics incluye una aplicación móvil llamada Threat Protect que analiza de forma proactiva los dispositivos a intervalos establecidos por la organización. La app ayuda a los equipos de seguridad a analizar continuamente la integridad de los dispositivos, sin interrumpir la actividad de los usuarios ni exponer la PII. Para realizar sus inspecciones, la app recopila y analiza datos de telemetría de las terminales, como los registros del sistema, registros del núcleo, certificados, fallos, software y mucho más, con el fin de detectar amenazas conocidas y desconocidas.

Con base en los flujos de trabajo organizativos y las mejores prácticas, también ofrece una opción para escaneos por cable (normalmente para clientes en las mismas instalaciones). Estos escaneos se realizan conectando un dispositivo móvil directamente a una estación de trabajo (como una computadora Mac).

Durante la recopilación de registros, no se recolectan datos personales identificables, como contraseñas, fotos y videos, mensajes de texto (incluyendo iMessage), contactos, datos de llamadas y datos de aplicaciones, entre otros.

Orientación experta e inteligencia

Jamf Mobile Forensics cuenta con el respaldo de Jamf Threat Labs, nuestro equipo interno de investigadores, analistas e ingenieros de seguridad. El equipo publica periódicamente investigaciones sobre malware móvil avanzado y técnicas de ataque sofisticadas. También desarrollan e impulsan mejoras continuas en el motor de reglas de Jamf Mobile Forensics.

Simplificación de los flujos de trabajo de análisis forense

Los equipos de seguridad que utilizan Jamf Mobile Forensics cuentan con diversas funciones que les ayudan a detectar amenazas y realizar análisis forenses:

• Centro de operaciones de seguridad (SOC): Simplifica los flujos de trabajo de investigación agrupando automáticamente los eventos en incidentes unificados. Los equipos pueden monitorear y administrar toda su flota frente a ataques avanzados, incluyendo incidentes en diferentes intervalos de tiempo, junto con información contextual adicional sobre un incidente específico.

• Motor de reglas: Etiquete, es decir, incluya en la lista de permitidos o en la lista de bloqueados a los diferentes tipos de indicadores de ataques y de señales de intrusión. Se pueden crear reglas complejas basadas en muchos atributos, incluyendo reglas YARA, identificadores de paquetes y nombres de procesos.

• Análisis con IA: Un asistente de investigación de IA que reduce la investigación manual necesaria para analizar fallos y anomalías en los dispositivos. Proporciona información rápida y especializada a los equipos sobre posibles riesgos para los dispositivos. Por ejemplo, si un dispositivo muestra un ataque remoto dirigido contra una app, el análisis con IA proporciona un resumen completo del incidente, incluyendo comportamientos inusuales de la aplicación, si el dispositivo fue hackeado o si ocurrió una ejecución de código, así como recomendaciones para los siguientes pasos.

• Implementación de la MDM: Optimiza la implementación de apps móviles para dispositivos iOS, iPadOS y Android que sean propiedad tanto de la empresa como BYOD.

• Integraciones: Aproveche las potentes API para realizar integraciones con SIEM/SOAR, proveedores de identidad (IdP), MDM y muchos más.

Casos de uso habituales de Jamf Mobile Forensics

Antes y después de los viajes
Los empleados que viajan a países con un alto riesgo de espionaje requieren un análisis rápido y profundo para determinar dicho riesgo, buscar indicadores de compromiso (IoC) y responder a las amenazas antes de que se extienda el daño. Por ejemplo, las organizaciones gubernamentales que necesitan proteger a los empleados con perfiles de alto riesgo que trabajan por todo el mundo se enfrentan a diferentes tipos de amenazas.

Análisis forense digital y respuesta a incidentes
Se analizan los dispositivos para evaluar rápidamente su integridad, descubrir anomalías e implementar medidas de contención, reduciendo los tiempos de respuesta de semanas a minutos.

Caza de amenazas móviles
Escanea de forma proactiva dispositivos iOS y Android para analizar registros (incluso a nivel del sistema operativo), inspecciona dispositivos en busca de IoC o escribe reglas para detectar ataques maliciosos antes de que puedan causar daños.

¿En qué se diferencian Jamf Mobile Forensics y Jamf for Mobile?

Jamf for Mobile es nuestra plataforma móvil fundamental que combina la administración de dispositivos móviles y la conformidad, la seguridad móvil (p. ej., protección contra phishing, monitoreo de riesgos de apps, filtrado de contenido web y mucho más), así como el acceso seguro a las aplicaciones. Las organizaciones implementan Jamf for Mobile para ampliar los numerosos casos de uso móvil en el trabajo, con una solución que prioriza la experiencia del usuario, realiza la integración de los sistemas de TI y amplía los flujos de trabajo empresariales.

Jamf Mobile Forensics añade una capa forense avanzada para defender a los usuarios de alto riesgo frente a ataques dirigidos. Está diseñado para investigar comportamientos anómalos, actividades sospechosas y amenazas avanzadas en dispositivos móviles.

¿Contra qué tipos de amenazas avanzadas protege Jamf Mobile Forensics?

• Spyware mercenario: Diseñadas para ataques selectivos, estas herramientas de vigilancia comerciales, como Predator, Pegasus, Graphite, Spyrtacus y otras, se infiltran en dispositivos iOS y Android a través de vulnerabilidades.

• Amenazas persistentes avanzadas (APT): Según la CISA, "los autores de APT cuentan con abundantes recursos y llevan a cabo sofisticadas actividades cibernéticas maliciosas dirigidas y orientadas a la intrusión prolongada en redes y sistemas". Este tipo de ataques suelen eludir los sistemas de defensa iniciales y permanecen en el dispositivo durante largos periodos de tiempo.

• Ataques de estados-nación: Realizados por agentes gubernamentales, estos ataques incluyen el uso tanto de APT como de spyware mercenario.

• Ataques sin clics: Son utilizados por los actores maliciosos para infectar dispositivos móviles sin ninguna interacción por parte del usuario. Las explotaciones sin clics y los ataques basados en la red son una estrategia habitual de las herramientas de spyware mercenarias.

Retos de la investigación forense móvil

• Visibilidad de los dispositivos: Las capacidades de seguridad básicas, como la administración de terminales, la defensa contra amenazas móviles y VPN/ZTNA, previenen los ataques comunes, pero carecen del análisis profundo de datos y amenazas necesario para detectar amenazas avanzadas.

• Análisis forense manual: Contratar a un consultor forense externo requiere conocimientos específicos, implica mayores costos, lleva más tiempo y conlleva el riesgo de exponer la PII.

• Dispositivos desechables (burner): No solo provocan una mala experiencia de usuario y requieren hardware adicional, sino que también dan lugar a la aparición de TI en la sombra.

En Jamf, ponemos al usuario en el centro, incluidos aquellos que corren mayor riesgo de sufrir ataques dirigidos.