A medida que evoluciona el panorama de las amenazas, el equipo de Vectra ve cómo los presupuestos se utilizan para duplicar los equipos de seguridad y ampliar las defensas perimetrales. Es el resultado de un esfuerzo por aumentar la detección de amenazas y acelerar el triaje.
Por desgracia, se trata de una premisa falsa.
Los profesionales lo han reconocido, empezando por una reciente recomendación técnica de Gartner. En un blog, Gartner destaca que "durante años, la idea de detección de amenazas en la red fue sinónimo de sistemas de detección y prevención de intrusiones (IDPS)".
"Los sistemas NTA actuales llevan algo de 'ADN' de aquellos primeros sistemas IDS basados en anomalías, pero su finalidad es sustancialmente distinta y se centran mucho menos en detectar las intrusiones iniciales", señala el informe.
"Las diferencias de intención y los enfoques preferidos han ampliado la práctica de utilizar los datos de la red para la seguridad a otras herramientas modernas, como la NTA".
Aunque hay varias razones que impulsan este razonamiento, la capacidad de ver el tráfico "este-oeste" es fundamental. Una organización se encuentra en su estado más vulnerable cuando se produce un movimiento lateral: se han explotado las vulnerabilidades y se han evadido los perímetros.
Los atacantes corren rápidamente y se extienden lateralmente a otros puntos estratégicos de la red, recopilan información y, en última instancia, exfiltran o destruyen datos. Esto también es relevante cuando las mismas organizaciones se encuentran con actividades de amenazas internas.
Por supuesto, el planteamiento es filosóficamente razonable. Pero plantea dos cuestiones prácticas: ¿Qué comportamientos debo buscar y cómo los identifico con eficacia y precisión?
En Vectra, observamos e identificamos comportamientos de movimiento lateral a través de las redes de los clientes cuando optan por compartir metadatos con nosotros. En nuestro informe más reciente, Attacker Behavior Industry Report, publicado en la Conferencia RSA 2019 el mes pasado, se trata de un comportamiento cada vez más común.
Mientras considera cómo equipar a sus equipos de seguridad para identificar comportamientos de movimiento lateral, le animamos a evaluar la eficacia de sus procesos y herramientas para identificar y responder rápidamente a los siguientes comportamientos de movimiento lateral que observamos habitualmente:
1. Replicación automática
Undispositivo host interno envía cargas útiles similares a varios objetivos internos. Esto podría ser el resultado de un host infectado que envía uno o más exploits a otros hosts en un intento de infectar hosts adicionales.
2. Movimiento de fuerza bruta
Un host interno realiza excesivos intentos de inicio de sesión en un sistema interno. Estos comportamientos se producen a través de diferentes protocolos (por ejemplo, RDP, VNC, SSH) y podrían indicar actividad de raspado de memoria.
3. Actividad maliciosa de cuentas Kerberos
Unacuenta Kerberos se utiliza a un ritmo que supera con creces su línea de base aprendida y la mayoría de los intentos de inicio de sesión fallan.
4. Comportamientos sospechosos del administrador
Eldispositivo host utiliza protocolos que se correlacionan con la actividad administrativa (por ejemplo, RDP, SSH) de formas que se consideran sospechosas.
5. Movimiento por fuerza bruta a través de SMB
Unhost interno utiliza el protocolo SMB para realizar muchos intentos de inicio de sesión utilizando las mismas cuentas. Estos comportamientos son consistentes con ataques de fuerza bruta a contraseñas.
Por supuesto, la gravedad y la frecuencia variarán en función de su sector y línea de negocio. Para obtener más información sobre los comportamientos más comunes en su sector, le animamos a leer nuestro Informe del sector sobre el comportamiento de los atacantes.
También sugeriría ponerse en contacto con un representante de Vectra para una discusión consultiva sobre un espectro completo de comportamientos de atacantes que hemos codificado en nuestra plataforma de detección y respuesta de red Cognito basada en IA.
*Gartner Blog Network, "Applying Network-Centric Approaches for Threat Detection and Response ", por Anton Chuvakin, 19 de marzo de 2019.