La caza de amenazas es una parte importante de cualquier programa de seguridad. Independientemente de lo bien diseñada que esté una herramienta de seguridad, debemos asumir que estas herramientas y defensas son imperfectas.
Los entornos empresariales cambian constantemente, se introducen nuevas herramientas, se eliminan las antiguas y se realizan cambios de configuración para soportar los cambios, lo que puede introducir nuevas vulnerabilidades en el entorno.
Ejemplos recientes incluyen la vulnerabilidad de F5 CVE-2020-5902 que afectó a la Interfaz de Usuario de Gestión de Tráfico (TMUI) del BIG-IP de F5; este puerto nunca debería ser accesible públicamente y debería requerir que los usuarios se autentiquen de forma segura y se conecten primero a la LAN antes de poder acceder.
En Vectra AI, hemos visto casos en los que este no era el caso y la TMUI ha sido accedida y explotada.
En 2020 se produjo un enorme cambio en el trabajo a distancia debido a COVID-19 y los equipos de operaciones tuvieron que apresurarse para:
- apoyar este nuevo entorno de trabajo
- asegurar a los usuarios en su paso de la oficina al hogar.
Apoyar este tipo de cambio, especialmente para una empresa que no está preparada para ello, introduce multitud de quebraderos de cabeza en materia de seguridad. En un cambio sísmico como este, el objetivo principal de la empresa es garantizar que las operaciones no se interrumpan, lo que deja a los equipos de seguridad con menos influencia sobre la implementación y atrapados en el soporte de una solución no diseñada con la seguridad en mente. Sin una supervisión adecuada, las vulnerabilidades pueden quedar expuestas y los atacantes se aprovecharán.
Hay muchos ejemplos de por qué la caza es importante, y los dos que comentamos a continuación subrayan la necesidad de los programas de caza.
Exploremos cómo los equipos de seguridad pueden aprovechar Vectra Detect y sus Metadatos de Red para cazar comportamientos maliciosos. Además, aunque hacemos referencia a Vectra Recall en este documento, las técnicas descritas para Vectra Recall pueden implementarse fácilmente aprovechando sus datos de Vectra Stream.
En este libro electrónico, aprenderá:
Cómo cazar IOC (Indicadores de Compromiso)
Es importante mantenerse alerta y estar al tanto de cualquier nuevo compromiso que se anuncie. Pero es igual de importante ser capaz de actuar ante nuevos indicadores de compromiso cuando oigas hablar de ellos. En esta sección, describiremos los IOC más comunes, lo que pueden indicar, por qué deberían importarte y cómo puedes buscar estos IOC en los metadatos de tu red.
Categorías de pasos de ataque en la Killchain
Describimos técnicas de ataque que puede buscar en sus metadatos de red. Hemos dividido estas técnicas en función del paso descrito en el marco MITRE ATT&CK con el que se relacionan.
Cómo automatizar la caza de amenazas
Las técnicas enumeradas en este documento pretenden ser una muestra representativa de los métodos que puede utilizar para cazar amenazas en su organización. Estos actúan como una capa adicional de seguridad más allá de las detecciones avanzadas basadas en el comportamiento de Vectra AI , que utilizan su experiencia de la red para obtener información de los metadatos de red enormemente valiosos que Vectra AI monitorea en su organización.
Con la confianza de expertos y empresas de todo el mundo
