En lo que se refiere a los ciberataques, la aplicación de la ley consiste en responder a las acciones de los atacantes para que la empresa vuelva a ajustarse a su política de seguridad declarada. Ejemplos comunes de aplicación son el bloqueo del tráfico a una IP específica, la puesta en cuarentena de un dispositivo mediante la restricción del acceso a la red, el reformateo de una máquina o el bloqueo del acceso a una cuenta.
Una de las consideraciones más importantes sobre las opciones de aplicación de la ley debe ser su eficacia. Después de todo, responder a los ciberataques es a menudo un juego del gato y el ratón. Cada acción del equipo de seguridad provocará una reacción de los atacantes. Esto significa que incluso si el atacante es expulsado de la red, intentará volver a entrar. Los equipos de seguridad deben estar preparados para los cambios en las tácticas de los atacantes, las escaladas de los ataques y los nuevos objetivos de las víctimas.
Además, los atacantes siempre tienen información instantánea sobre sus acciones. Saben si han tenido éxito y pueden reintentarlo rápidamente en caso contrario. El equipo defensor no tiene tanta suerte y no recibe información sobre el progreso de los atacantes.
Ventajas de la aplicación basada en el anfitrión
Para una aplicación inmediata y precisa, los analistas suelen ir directamente al origen de un ataque y bloquear el endpoint que se está utilizando. Esto limita el radio de acción del ataque y da al SOC más tiempo para investigar y detener el ataque.
Sin embargo, este enfoque suele requerir que el endpoint tenga instalado algún tipo de agente o software de control, lo que no siempre es el caso. Cuando sea posible, la aplicación de la ley en los hosts debe combinarse con la aplicación de la ley basada en cuentas.
Ventajas de la aplicación basada en cuentas
Ya ha quedado ampliamente establecido que la mayoría de los ciberataques modernos se dirigen a los usuarios en lugar de a la infraestructura o los dispositivos. En lugar de utilizar complicados exploits, muchos atacantes se introducen en la organización robando credenciales mediante phishing o toma de control de cuentas e iniciando sesión como usuario "legítimo".
Esto, combinado con el uso cada vez más generalizado de recursos cloud , significa que los equipos de seguridad deberían seguir el ejemplo de los atacantes y considerar la aplicación de medidas basadas en los usuarios en lugar de en la red o los dispositivos. En otras palabras, utilizar la aplicación basada en cuentas.
De hecho, la aplicación basada en cuentas presenta varias ventajas sobre las opciones de aplicación basadas en redes o máquinas.
En primer lugar, la aplicación basada en cuentas crea un único punto de aplicación. En los casos en que los agresores han puesto en peligro las cuentas, reformatear los portátiles no es útil cuando los agresores pueden cambiar de dispositivo. Por lo tanto, la aplicación basada en cuentas puede ser eficaz en entornos de cloud o híbridos en los que las organizaciones no son propietarias del servicio o la infraestructura. También limita el movimiento lateral de los agresores que se hacen pasar por empleados con cuentas comprometidas.
La aplicación basada en la cuenta también es quirúrgica y precisa. La aplicación sólo afecta a la cuenta del usuario afectado. No es necesario realizar cambios en la red. No es necesario actualizar las listas negras.
Por último, dependiendo de la estructura organizativa, la aplicación basada en cuentas puede significar una mayor responsabilidad compartida con TI. En las empresas en las que el departamento de TI es el propietario de las cuentas de usuario, los equipos de seguridad pueden trabajar con sus homólogos de TI para compartir la carga de trabajo de gestionar las cuentas de usuario y restablecer el acceso tras un ataque.
Tipos de ejecución
La aplicación de la normativa suele dividirse en dos modos de funcionamiento: automático y manual.
Las aplicaciones automáticas son acciones que se activan sin intervención humana, a menudo tras cumplir una serie de criterios, como un umbral de riesgo predefinido y un privilegio de activo o cuenta.
La aplicación manual requiere la intervención del personal de seguridad. Existen razones de peso para aplicar medidas de seguridad automáticas o manuales, o incluso una combinación de ambas. A continuación, trataremos algunas consideraciones para ambos tipos.
Consideraciones para la aplicación automática
Los equipos de seguridad a menudo se resisten a pensar en la aplicación automática, pero hay casos de uso legítimos en los que puede ser útil.
La aplicación automática puede ser útil para reducir la propagación lateral y dar a los equipos de seguridad con recursos limitados más tiempo para investigar los incidentes. También es útil como herramienta temporal, especialmente para las organizaciones que no disponen de personal de seguridad las 24 horas del día para realizar investigaciones inmediatas.
Si ya se está investigando un incidente, la aplicación automática puede ayudar al personal de respuesta a incidentes a aplicar políticas de seguridad coherentes a múltiples víctimas. Alternativamente, si el incidente es un ataque conocido con buenas prácticas establecidas, los equipos de seguridad pueden utilizar la aplicación automática para seguir rápidamente los pasos de corrección aprobados. Un ejemplo es un ataque de ransomware conocido con procedimientos de recuperación prescritos. Por supuesto, este escenario requiere un diagnóstico de alta confianza para confirmar que se trata de un ataque o atacante conocido.
Las acciones automáticas de aplicación de la ley pueden impedir que un agresor pase a la siguiente fase de la cadena letal. En este caso, el cumplimiento se aplica quirúrgicamente a una actividad y una cuenta específicas del agresor, lo que reduce el riesgo adicional.
En resumen, cuando se aplica con criterio, la aplicación automática puede ayudar a evitar que una mala situación empeore y ganar más tiempo para las investigaciones de seguridad.
Consideraciones para la aplicación manual
La aplicación manual requiere que un ser humano tome la decisión final y desencadene la acción. Esto lleva a preguntarse: si se tiene acceso a las mismas alertas, información y datos forenses, ¿por qué esperar a que un humano "pulse el botón"?
En la mayoría de los casos, el momento es la diferencia clave.
No responder inmediatamente a los ciberataques activos tiene sus ventajas. Y aunque la aplicación automática también puede configurarse para que se active después de un tiempo determinado, la aplicación manual permite una flexibilidad temporal sin restricciones.
Una consideración clave para utilizar la aplicación manual es dejar que los ataques se desarrollen para obtener más información. A menudo, los equipos de seguridad pueden recopilar datos adicionales permitiendo que el atacante piense que no ha sido descubierto.
De hecho, cierta información sólo está disponible tras observar el comportamiento de los atacantes durante periodos de tiempo más prolongados. ¿Qué otras herramientas y tácticas utilizan? ¿Qué datos buscan y dónde los filtran? Investigar un ataque requiere tiempo y cierta "libertad" dentro de la red para el atacante.
Recuerde también que los atacantes cambiarán de táctica si se actúa o se actúa demasiado pronto. Esto requiere que las acciones se tomen de forma meditada. La aplicación manual permite a los equipos de seguridad la flexibilidad de tomar decisiones dinámicas basadas en las acciones del atacante. Al acumular más puntos de datos y correlacionar los datos forenses, los equipos también pueden aplicar la ley con más confianza y precisión.
Por último, la aplicación manual permite a los equipos de seguridad actuar con mayor precisión quirúrgica. En lugar de aplicar la misma acción en todos los casos similares, los equipos pueden activar selectivamente la acción para usuarios específicos, minimizando el impacto en el usuario. Por ejemplo, en lugar de un restablecimiento masivo de contraseñas, tal vez sólo los empleados de una determinada ubicación geográfica necesiten nuevas credenciales.
Requisitos para una aplicación sin problemas
Independientemente de si utiliza la aplicación automática, manual o una combinación de ambas, deben darse ciertos factores para garantizar que la aplicación no crea más problemas de los que resuelve. Teniendo en cuenta que los atacantes cambian de táctica en función de las acciones de aplicación, una aplicación eficaz debe, en última instancia, sacar a los atacantes de la organización y mantenerlos fuera. Estos son los criterios clave para una solución de aplicación de la ley sin problemas.
La confianza es la clave
Para aplicar la normativa con confianza, debe estar seguro de que la información de seguridad en la que basa sus decisiones es exacta. Esto significa que la detección debe basarse en un sistema de alta fidelidad que agregue puntos de datos para garantizar la precisión. Detalles como conocer el tipo de amenaza, el nivel de riesgo y la certeza son cruciales para tomar decisiones de aplicación precisas. Poder correlacionar información de otras herramientas de seguridad, como cortafuegos y SIEM, también aumenta la confianza y la precisión.
Hacer cumplir todas las áreas necesarias
La mayoría de las empresas tienen datos en cloud, en sus propias instalaciones o alojados en infraestructuras de socios. Las pilas de seguridad empresarial también abarcan una amplia variedad de tecnologías, como herramientas de detección de puntos finales, controles de acceso a la red y cortafuegos. Considere soluciones de aplicación con un sistema de cuentas centralizado que pueda aplicar las medidas adecuadas en toda la infraestructura de la empresa: en las instalaciones, en entornos híbridos y en múltiples tecnologías.
Una solución que protege y refuerza las cuentas de socios o contratistas también evita que esas cuentas se conviertan en objetivos de ataques.
Hazlo fácil
El tipo de medida coercitiva también es importante. Elija acciones coercitivas que permitan un impacto preciso y fiable, como la coerción basada en cuentas. A diferencia de la aplicación basada en la red, como las listas negras o los restablecimientos de TCP, la aplicación basada en cuentas es eficaz, precisa y no genera trabajo innecesario para otros departamentos.
Presentación de la aplicación de bloqueo Vectra
Lockdown permite a los profesionales de la seguridad activar la aplicación automática y manual directamente desde la plataforma Vectra AI . Utiliza una combinación de umbrales de puntuación de privilegios, puntuación de amenazas a cuentas y puntuación de certeza de cuentas para bloquear cuentas, hosts y cargas de trabajo cloud específicas. Los administradores de seguridad pueden configurar estos umbrales, así como la duración del bloqueo.
Como siempre, hay otras opciones de aplicación disponibles a través de las integraciones de Vectra con socios de orquestación y respuesta de seguridad (SOAR).
La plataformaVectra AI es la forma más rápida y eficaz de detectar y responder a los ciberataques, garantizando que los atacantes sean expulsados y permanezcan fuera de los entornos empresariales.
Con la confianza de expertos y empresas de todo el mundo
