En mi blog anterior, hablé de cómo los sistemas de detección y prevención de intrusiones (IDPS) conducen a la fatiga de alertas al abrumar a los equipos de operaciones de seguridad con falsas alertas positivas, lo que en última instancia conduce a ataques perdidos. En este blog, me gustaría hablar de cómo IDPS está mal equipado para detectar lo que se conoce como movimiento lateral, el tráfico este-oeste, o en pocas palabras, los atacantes que se mueven dentro de sus despliegues.
La noción de un perímetro fijo alrededor de hosts y servidores protegidos por un cortafuegos es cosa del pasado. Ahora todo el mundo accede a cargas de trabajo desplegadas en entornos de cloud . La idea de que el tráfico está dentro o fuera de un perímetro ha desaparecido. Al centrarse únicamente en el tráfico que atraviesa el cortafuegos corporativo, las soluciones IDPS se están quedando rápidamente obsoletas. Este tráfico representa ahora sólo una fracción de toda la comunicación en un despliegue moderno. Es como poner una puerta de acero reforzado en medio de un campo abierto.
Pero la detección del movimiento lateral sigue siendo una parte importante de cualquier estrategia de detección y respuesta. Los delincuentes rara vez atacan a un solo sistema. En su lugar, adoptan un enfoque de "aterrizar y expandirse" comprometiendo un host o una cuenta con pocos privilegios, y luego se mueven lateralmente por la red en busca de activos que robar.
Los IDPS se basan principalmente en firmas para detectar amenazas, incluidos exploits y malware dirigidos a sistemas y aplicaciones vulnerables. Normalmente lo hacen mediante inspección a nivel de paquete, que compara el hash de un paquete con el hash de un paquete malicioso. Si hay una coincidencia, IDPS activa una alerta y posiblemente lo bloquea, dependiendo de la configuración. Y aunque las firmas tienen su utilidad, se ha producido un cambio significativo en los ataques, que han pasado del malware a los ataques basados en cuentas.
De hecho, el informe Verizon Business 2020 Data Breach Investigations Report afirma que "nuestros datos muestran que este tipo de malware alcanzó un máximo de algo menos del 50% de todas las brechas en 2016 y desde entonces se ha reducido a solo una sexta parte de lo que era en ese momento (6,5%). A medida que este tipo de malware disminuye, vemos un aumento correspondiente en otros tipos de amenazas". A medida que pasa el tiempo, parece que los atacantes se vuelven cada vez más eficientes y se inclinan más por ataques como phishing y el robo de credenciales." El enfoque basado en firmas es completamente incapaz de detectar los ataques que implican robo y uso indebido de credenciales.
Por el contrario, la plataforma Vectra Cognito combina la información sobre amenazas con datos contextuales enriquecidos, como comportamientos de usuarios host en la red, privilegios de usuarios y dispositivos, y conocimiento de comportamientos maliciosos. Impulsado por algoritmos de aprendizaje automático desarrollados por investigadores de seguridad y científicos de datos, Vectra identifica los ataques que son amenazas reales, al tiempo que elimina el ruido. Esto infunde confianza de que está detectando y deteniendo ataques conocidos y desconocidos en redes de cloud, centros de datos, IoT y empresariales. Vectra está al 100% al servicio de la detección y respuesta a los atacantes, y nuestro trabajo es encontrarlos pronto y con certeza.
Todo empieza por disponer de los datos necesarios. No se trata del volumen de datos. Se trata de la recopilación reflexiva de datos de una variedad de fuentes relevantes y su enriquecimiento con información de seguridad y contexto para resolver los casos de uso de los clientes. Los comportamientos de ataque varían, por lo que Vectra crea continuamente modelos algorítmicos únicos para la más amplia gama de escenarios de amenazas nuevas y actuales. Con un rendimiento muy superior a las capacidades humanas, Vectra le proporciona una clara ventaja sobre los adversarios al detectar, agrupar, priorizar y anticipar los ataques. Al pensar y reducir la carga de trabajo de las operaciones de seguridad, dedicará más tiempo a la búsqueda de amenazas y a la investigación de incidentes, y menos a ajustar las firmas IDPS.
Si está listo para cambiar su enfoque de la supervisión y protección de su entorno, póngase en contacto con nosotros para ver una demostración.