Detectar y cazar Vivir de la tierra Técnicas con Vectra AI

28 de febrero de 2024

El^{7 de} febrero de 2024 se publicó una guía conjunta elaborada por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos, la Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigación (FBI) y otros organismos, entre ellos el Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK). La guía proporciona información sobre las técnicas habituales para vivir de la tierra (LOTL, por sus siglas en inglés) atribuidas a los actores de amenazas patrocinadas por el Estado. Estas técnicas han sido particularmente eficaces, y sus recomendaciones no deben pasar desapercibidas. La siguiente información destaca cómo la plataforma Vectra AI puede ayudarle a actualizar las recomendaciones de mejores prácticas de detección y servir como un componente clave para sus estrategias defensivas LOTL.

Recomendaciones de buenas prácticas LOTL

La recomendación de buenas prácticas (nº 1) subraya la importancia de un registro detallado en una ubicación fuera de banda. Esto ayuda a mitigar el riesgo de que los atacantes modifiquen o borren los registros. También permite a los defensores realizar análisis de comportamiento, detección de anomalías y caza proactiva. Además, destaca la importancia de mantener historiales de registro más largos que pueden ser beneficiosos para la respuesta a incidentes.

Centrado en la red, Vectra Recall proporciona visibilidad del tráfico de red extrayendo metadatos de todos los paquetes y almacenándolos fuera de banda (en cloud de Vectra) para su búsqueda y análisis. Cada dispositivo habilitado para IP en la red es identificado y rastreado. Estos datos pueden almacenarse en función de las preferencias de horizonte temporal. Los metadatos capturados incluyen todo el tráfico interno (este-oeste), el tráfico con destino a Internet (norte-sur) y el tráfico de la infraestructura virtual. Esta visibilidad se extiende a portátiles, servidores, impresoras, dispositivos BYOD e IoT, así como a todos los sistemas operativos y aplicaciones, incluido el tráfico entre cargas de trabajo virtuales en centros de datos y la cloud, incluso aplicaciones SaaS.

Al proporcionar esta completa fuente de metadatos de red enriquecidos con seguridad, pretendemos dotar a los equipos de seguridad de las capacidades necesarias para llevar a cabo investigaciones de incidentes LOTL, garantizando que los datos de registro de red estén disponibles en una ubicación fuera de banda.

Recomendaciones de buenas prácticas de detección

Las recomendaciones de buenas prácticas (nº 3 y 4) destacan la necesidad de establecer y mantener continuamente líneas de base y, a continuación, comparar las actividades actuales con las líneas de base de comportamiento establecidas y alertar sobre las anomalías especificadas. Se hace especial hincapié en prestar especial atención a las cuentas privilegiadas.

La cartera de detección proporcionada por Vectra AI AI incluye un amplio conjunto de detecciones. Destacan las capacidades de detección centradas en determinar claramente el comportamiento de las cuentas con privilegios y sacar a la luz anomalías basadas en patrones establecidos. Entre los ejemplos de análisis de cuentas privilegiadas de Vectra se incluyen:

Una cuenta privilegiada se utiliza para acceder a un servicio privilegiado pero lo hace desde un host en el que la cuenta no ha sido observada pero donde el host (utilizando otras cuentas) ha sido visto accediendo al servicio.
Una cuenta se utiliza para acceder a un servicio desde un host en el que la cuenta no está habitualmente y desde el que no se accede habitualmente al servicio y al menos el servicio (y probablemente la cuenta) tiene una puntuación de privilegios alta O la puntuación de privilegios del host es sospechosamente baja en comparación con los niveles de privilegios de la cuenta y el servicio.
Una cuenta privilegiada se utiliza para acceder a un servicio privilegiado y lo hace desde un host en el que se ha observado la cuenta, pero en el que no se ha visto al host accediendo al servicio.

Priorización basada en IA con Vectra AI

La naturaleza dinámica de la empresa moderna puede dificultar en gran medida la existencia de líneas de base de seguridad de red coherentes y eficaces que permitan la detección de actividad LOTL maliciosa. Como se destaca en la guía, distinguir la actividad LOTL maliciosa del comportamiento legítimo es un reto debido al volumen relativamente pequeño de actividad maliciosa dentro de grandes volúmenes de datos de registro. Y aunque los equipos de operaciones de seguridad pueden centrarse en la detección de este tipo de eventos, a menudo tienen dificultades para discernir el comportamiento legítimo del malicioso debido al gran número de alertas entrantes y a las complejidades del entorno.

Afinar el ruido de las alertas a través de la prioridad (urgencia y gravedad) y revisar continuamente las detecciones basándose en las tendencias de la actividad es la mejor práctica recomendada (nº 4). Esto requiere mucho tiempo y esfuerzo para la mayoría de los equipos. Con Vectra AI-driven Prioritization, proporcionamos esto mediante programación:

Asignación de comportamientos de ataque individuales a una entidad (hosts y/o cuentas)

Combinando esta información con parámetros de puntuación adicionales, como la amplitud (cuántas detecciones están asociadas a una entidad), la velocidad (con qué rapidez se producen eventos de detección únicos) y el perfil de ataque (patrones de comportamiento de ataque), se obtiene una Puntuación de ataque

Cuando se configura, la entrada del cliente (importancia del grupo de cuentas) se combina con la Puntuación de Ataque

El resultado es una única puntuación de Urgencia para la entidad

Este algoritmo de puntuación mejorado destaca la amenaza más crítica en una lista procesable y priorizada que permite a los equipos centrarse en lo más importante.

Capacite a su equipo

Detectar la actividad LOTL es un reto y requiere estrategias de seguridad polifacéticas, como se ha destacado anteriormente. No existe un enfoque único, y cada empresa deberá evaluar y adaptar las recomendaciones a sus programas de detección existentes. No obstante, es importante asegurarse de que estas orientaciones se revisen y, si es posible, se apliquen con urgencia. Con el aumento de este tipo de ataques, correlacionar y analizar estas técnicas será un componente importante de las capacidades de detección y respuesta de su equipo.

¿Le interesa saber más sobre cómo Vectra AI puede ayudar a su equipo en las estrategias defensivas de LOTL?

Reserve hoy mismo una demostración de la plataforma con nuestros expertos.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos