Los entornos empresariales cambian constantemente, se introducen nuevas herramientas, se eliminan las antiguas y se realizan estos cambios de configuración para dar soporte a los cambios, lo que puede introducir nuevas vulnerabilidades en el entorno. Ejemplos recientes incluyen la vulnerabilidad de F5 CVE-2020-5902 que afectó a la Interfaz de Usuario de Gestión de Tráfico (TMUI) del BIG-IP de F5; este puerto nunca debería ser accesible públicamente y debería requerir que los usuarios se autentiquen de forma segura y se conecten a la LAN primero antes de poder acceder. En Vectra AI, hemos visto casos en los que no ha sido así y se ha accedido y explotado la TMUI.
En 2020 se produjo un enorme cambio en el trabajo a distancia debido a COVID-19 y los equipos de operaciones se apresuraron a hacerlo:
Soportar este tipo de cambio, especialmente para una empresa que no está preparada para ello, introduce multitud de quebraderos de cabeza en materia de seguridad.
En un cambio sísmico como este, el objetivo principal de la empresa es garantizar que las operaciones no se interrumpan, lo que deja a los equipos de seguridad con menos influencia sobre la implementación y atrapados en el soporte de una solución no diseñada con la seguridad en mente. Sin una supervisión adecuada, las vulnerabilidades pueden quedar expuestas y los atacantes se aprovecharán.
Hay muchos ejemplos de por qué la caza es importante, y los dos que comentamos a continuación subrayan la necesidad de los programas de caza.
Exploremos cómo los equipos de seguridad pueden aprovechar Vectra Detect y sus metadatos de red para buscar comportamientos maliciosos. Además, aunque hacemos referencia a Vectra Recall en este documento, las técnicas descritas para Vectra Recall pueden implementarse fácilmente aprovechando los datos de Vectra Stream.
La caza de amenazas consiste en reservar tiempo para investigar en profundidad la idiosincrasia de su propia red.
El objetivo de una caza de amenazas no es sólo encontrar actores maliciosos dentro de su red que las detecciones basadas en el comportamiento de Vectra no hayan detectado necesariamente o encontrar actividad precursora. También se trata de encontrar actividad en la red que no sea necesariamente maliciosa, pero que podría infringir su postura de seguridad o ser innecesariamente insegura. Principalmente, la caza de amenazas es una experiencia de aprendizaje que le ayuda a comprender lo que está ocurriendo en su red. Esto debería simplificar las investigaciones futuras, puesto que ya se tiene una idea de lo que ocurre en la red.
Como organización, es posible que desee documentar sus hallazgos para compartir conocimientos dentro de la empresa. Tal vez quieras reservar un tiempo cada semana o cada mes para cazar amenazas en equipo, con un debate al final en el que el equipo discuta lo que ha descubierto y lo que ahora sabes sobre tu organización que no sabías antes. Podría ser que hay un servidor que realiza copias de seguridad de una franja de archivos a través de SMB a la 1 de la madrugada todos los días, o podría ser que algunos servidores en un centro de datos envían una gran cantidad de datos externamente en el puerto 46780 para un uso comercial legítimo. Estos hallazgos le ahorrarán tiempo en el futuro, ya que puede descartar y excluir rápidamente casos de uso legítimos conocidos para centrarse en cualquier cosa nueva y preocupante.
Desde el punto de vista de un investigador, existen dos fuentes principales de pruebas durante una investigación: las pruebas de punto final y las pruebas de red. La mejor manera de describir la diferencia entre estas dos fuentes es la analogía del robo de un coche. Hay múltiples etapas desde el robo del coche, el viaje de placer y finalmente la conclusión, que podría ser un accidente de coche. Estar en la escena del crimen es estupendo, pero no permite hacerse una idea completa. ¿Cómo encontró el ladrón el coche? ¿De dónde venía? ¿Qué ruta siguió el coche? La única forma de ver la imagen completa es combinar todos los elementos.
Mientras que las pruebas en puntos finales son mejores para ver el lugar inicial de la brecha, los datos de red son mejores para ver el panorama completo y conectar los puntos. Imagina que estás en un helicóptero observando el robo de un coche y viendo cómo el coche entra y sale del tráfico, por las calles y a través de la ciudad. Lo veremos todo, y veremos exactamente dónde termina.
A continuación se ofrece una referencia rápida de los metadatos disponibles y los atributos comunes a cada flujo de metadatos.
La caza lleva mucho tiempo, por algo la mayoría de las organizaciones rehúyen de ella; desde el punto de vista de un directivo, es difícil aprobar el tiempo del analista cuando no se garantiza un resultado. En nuestra opinión, hay dos cosas que suelen resultar de una caza exitosa.
Cualquier analista que dedique tiempo a una cacería aprenderá inevitablemente de la experiencia, y necesitará investigar y probar su teoría. Esto significa que están explorando un nuevo tema a medida que se sienten más cómodos con el uso de la plataforma Vectra AI , lo que puede traducirse en tiempo invertido durante las investigaciones. Conocerán la sintaxis de Lucene, cómo apilar datos con Visualize y los campos de metadatos disponibles.
Junto con esta investigación, también comprenderán mejor su propio entorno, ya que cada red corporativa tiene un conjunto específico de políticas y herramientas que utilizan. Entender lo que es normal ayudará a identificar lo que es anormal. A medida que un analista dedique tiempo a la búsqueda, aumentará su comprensión, lo que se traducirá en eficacia.
Un resultado tangible será un modelo personalizado, de modo que el conocimiento y la comprensión del entorno puedan aplicarse para crear un modelo personalizado a medida que funcione para su organización. Esto permitirá habilitar el modelo personalizado en Vectra Detect e integrarlo en el flujo de trabajo diario de los analistas, lo que aumentará la cobertura de los ataques y la eficacia.
En el dinámico entorno de amenazas actual, la búsqueda proactiva de amenazas no solo es beneficiosa, sino que es esencial para mantener unas defensas de ciberseguridad sólidas. Las soluciones avanzadas deVectra AI permiten a los equipos de seguridad descubrir y abordar eficazmente las amenazas ocultas, mejorando la resistencia de su organización frente a los ciberataques. Póngase en contacto con nosotros hoy mismo para saber cómo podemos ayudarle en sus iniciativas de detección de amenazas y reforzar su seguridad.
La caza de amenazas es la búsqueda proactiva de ciberamenazas que acechan sin ser detectadas en una red. A diferencia de las medidas de seguridad tradicionales que se basan en alertas, la caza de amenazas implica la búsqueda activa de indicadores de compromiso (IoC) para identificar actividades maliciosas.
La caza de amenazas es crucial porque ayuda a las organizaciones a identificar y mitigar las amenazas antes de que causen daños. Permite a los equipos de seguridad ir un paso por delante de los atacantes descubriendo malware oculto, amenazas persistentes y amenazas internas que eluden los métodos de detección tradicionales.
La caza eficaz de amenazas requiere una combinación de capacidades técnicas, incluidos conocimientos de arquitectura de redes, principios de ciberseguridad y familiaridad con las técnicas de ataque más recientes, así como capacidades analíticas para interpretar datos e identificar patrones de actividad maliciosa.
Vectra AI facilita la búsqueda de amenazas proporcionando capacidades de detección basadas en IA que identifican automáticamente comportamientos indicativos de amenazas avanzadas. Esto permite a los equipos de seguridad centrar sus esfuerzos en investigar los riesgos de alta prioridad, agilizando el proceso de búsqueda de amenazas.
Entre las herramientas y tecnologías más utilizadas en la caza de amenazas se encuentran los sistemas de gestión de información y eventos de seguridad (SIEM), las plataformas de detección y respuesta de puntos finales (EDR), los análisis avanzados y los feeds de inteligencia sobre amenazas para recopilar y analizar datos de diversas fuentes.
Las organizaciones pueden desarrollar una estrategia de caza de amenazas definiendo objetivos claros, reuniendo un equipo cualificado de caza de amenazas, aprovechando soluciones de seguridad avanzadas como Vectra AI y actualizando continuamente su base de conocimientos con la inteligencia sobre amenazas más reciente.
El aprendizaje automático desempeña un papel fundamental en la caza de amenazas al automatizar la detección de anomalías y patrones que puedan indicar una amenaza, lo que permite a los equipos de seguridad centrarse en un análisis más profundo y en la investigación de riesgos potenciales.
Aunque algunos aspectos de la caza de amenazas pueden automatizarse, como la recopilación de datos y el análisis preliminar, la compleja naturaleza de la identificación e interpretación de indicadores sutiles de peligro requiere experiencia e intuición humanas.
Los retos incluyen la necesidad de personal cualificado, la enorme cantidad de datos que hay que analizar, la distinción entre falsos positivos y amenazas auténticas, y la adaptación continua a la evolución de las tácticas de los atacantes.
La caza de amenazas mejora la postura general de seguridad al identificar vulnerabilidades y amenazas en una fase temprana, lo que permite mitigarlas a tiempo, reducir la superficie de ataque de la organización y mejorar la eficacia de las medidas de seguridad existentes.