Recientemente, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido y el Establecimiento de Seguridad de las Comunicaciones (CSE) de Canadá dieron a conocer detalles de actores de amenazas avanzadas (APT29) dirigidos a organizaciones asociadas con el desarrollo de la investigación de la vacuna COVID-19. Desgraciadamente para las herramientas de seguridad tradicionales basadas en el perímetro que sólo se basan en la identificación de malos indicadores conocidos, esta campaña aprovecha en gran medida el robo y el uso indebido de credenciales autorizadas para mantener la persistencia y continuar la progresión del ataque.
Y aunque tales herramientas podrían aprovechar los indicios de compromiso (IOC) actualmente conocidos, los IOC son fácilmente modificables por los adversarios y, cuando se utilizan solos, son más adecuados para investigar la presencia histórica de estos actores de amenazas, que como únicos indicadores principales para que los defensores de la red intercepten la progresión de los ataques.
Afortunadamente, las organizaciones que han desplegado la plataforma Vectra Cognito Network Detection and Response (NDR) son resistentes a esta campaña porque sus defensas de red no dependen únicamente de la detección de IOC conocidos y malos, y tienen cobertura tanto dentro de la red como en servicios SaaS críticos como Microsoft Office 365. Cognito despliega inteligencia artificial y aprendizaje automático para detectar los comportamientos que los adversarios deben adoptar para avanzar en un ataque, en lugar de las herramientas que utilizan o los IOC que crean; por ejemplo, mediante el uso extensivo de Privileged Access Analytics (PAA) nativo de la plataforma. PAA detecta las actividades posteriores a la explotación que aprovechan las credenciales robadas y utilizadas indebidamente observando y aprendiendo cómo se utilizan los privilegios en toda la empresa, y señalando cuándo se ha hecho un uso indebido de esos privilegios, lo que permite incluso el desmantelamiento orquestado de ataques en tiempo real invocando Cognito Account Lockdown. Además, el acceso a metadatos amplios y enriquecidos similares a los de Zeek permite a los analistas de seguridad descubrir rápidamente pruebas históricas de estos actores de amenazas o cazar amenazas con nuevos IOC desarrollados como resultado de sus actividades operativas.
Lamentablemente, con demasiada frecuencia las organizaciones están a merced de los IOC publicados que les notifican después de que algo ha ido mal. Con Vectra, los defensores de la red recuperan la visibilidad y el control de su entorno, lo que les permite dar la vuelta al guión incluso en adversarios avanzados y detenerlos antes de que el daño esté hecho.