Caza de amenazas

Los entornos empresariales cambian constantemente, se introducen nuevas herramientas, se eliminan las antiguas y se realizan estos cambios de configuración para dar soporte a los cambios, lo que puede introducir nuevas vulnerabilidades en el entorno. Ejemplos recientes incluyen la vulnerabilidad de F5 CVE-2020-5902 que afectó a la Interfaz de Usuario de Gestión de Tráfico (TMUI) del BIG-IP de F5; este puerto nunca debería ser accesible públicamente y debería requerir que los usuarios se autentiquen de forma segura y se conecten a la LAN primero antes de poder acceder. En Vectra AI, hemos visto casos en los que no ha sido así y se ha accedido y explotado la TMUI.

En 2020 se produjo un enorme cambio en el trabajo a distancia debido a COVID-19 y los equipos de operaciones se apresuraron a hacerlo:

1. Apoyar este nuevo entorno de trabajo
2. Asegurar a los usuarios en su paso de la oficina al hogar.

Soportar este tipo de cambio, especialmente para una empresa que no está preparada para ello, introduce multitud de quebraderos de cabeza en materia de seguridad.

En un cambio sísmico como este, el objetivo principal de la empresa es garantizar que las operaciones no se interrumpan, lo que deja a los equipos de seguridad con menos influencia sobre la implementación y atrapados en el soporte de una solución no diseñada con la seguridad en mente. Sin una supervisión adecuada, las vulnerabilidades pueden quedar expuestas y los atacantes se aprovecharán.

Hay muchos ejemplos de por qué la caza es importante, y los dos que comentamos a continuación subrayan la necesidad de los programas de caza.

Exploremos cómo los equipos de seguridad pueden aprovechar Vectra Detect y sus metadatos de red para buscar comportamientos maliciosos. Además, aunque hacemos referencia a Vectra Recall en este documento, las técnicas descritas para Vectra Recall pueden implementarse fácilmente aprovechando los datos de Vectra Stream.

Por qué es importante la caza de amenazas

La caza de amenazas consiste en reservar tiempo para investigar en profundidad la idiosincrasia de su propia red.

El objetivo de una caza de amenazas no es sólo encontrar actores maliciosos dentro de su red que las detecciones basadas en el comportamiento de Vectra no hayan detectado necesariamente o encontrar actividad precursora. También se trata de encontrar actividad en la red que no sea necesariamente maliciosa, pero que podría infringir su postura de seguridad o ser innecesariamente insegura. Principalmente, la caza de amenazas es una experiencia de aprendizaje que le ayuda a comprender lo que está ocurriendo en su red. Esto debería simplificar las investigaciones futuras, puesto que ya se tiene una idea de lo que ocurre en la red.

Como organización, es posible que desee documentar sus hallazgos para compartir conocimientos dentro de la empresa. Tal vez quieras reservar un tiempo cada semana o cada mes para cazar amenazas en equipo, con un debate al final en el que el equipo discuta lo que ha descubierto y lo que ahora sabes sobre tu organización que no sabías antes. Podría ser que hay un servidor que realiza copias de seguridad de una franja de archivos a través de SMB a la 1 de la madrugada todos los días, o podría ser que algunos servidores en un centro de datos envían una gran cantidad de datos externamente en el puerto 46780 para un uso comercial legítimo. Estos hallazgos le ahorrarán tiempo en el futuro, ya que puede descartar y excluir rápidamente casos de uso legítimos conocidos para centrarse en cualquier cosa nueva y preocupante.

Caza de amenazas con metadatos de red

Desde el punto de vista de un investigador, existen dos fuentes principales de pruebas durante una investigación: las pruebas de punto final y las pruebas de red. La mejor manera de describir la diferencia entre estas dos fuentes es la analogía del robo de un coche. Hay múltiples etapas desde el robo del coche, el viaje de placer y finalmente la conclusión, que podría ser un accidente de coche. Estar en la escena del crimen es estupendo, pero no permite hacerse una idea completa. ¿Cómo encontró el ladrón el coche? ¿De dónde venía? ¿Qué ruta siguió el coche? La única forma de ver la imagen completa es combinar todos los elementos.

Mientras que las pruebas en puntos finales son mejores para ver el lugar inicial de la brecha, los datos de red son mejores para ver el panorama completo y conectar los puntos. Imagina que estás en un helicóptero observando el robo de un coche y viendo cómo el coche entra y sale del tráfico, por las calles y a través de la ciudad. Lo veremos todo, y veremos exactamente dónde termina.

A continuación se ofrece una referencia rápida de los metadatos disponibles y los atributos comunes a cada flujo de metadatos.

El valor de la caza de amenazas

La caza lleva mucho tiempo, por algo la mayoría de las organizaciones rehúyen de ella; desde el punto de vista de un directivo, es difícil aprobar el tiempo del analista cuando no se garantiza un resultado. En nuestra opinión, hay dos cosas que suelen resultar de una caza exitosa.

1. Conocimientos

Cualquier analista que dedique tiempo a una cacería aprenderá inevitablemente de la experiencia, y necesitará investigar y probar su teoría. Esto significa que están explorando un nuevo tema a medida que se sienten más cómodos con el uso de la plataforma Vectra AI , lo que puede traducirse en tiempo invertido durante las investigaciones. Conocerán la sintaxis de Lucene, cómo apilar datos con Visualize y los campos de metadatos disponibles.

2. Comprensión del medio ambiente

Junto con esta investigación, también comprenderán mejor su propio entorno, ya que cada red corporativa tiene un conjunto específico de políticas y herramientas que utilizan. Entender lo que es normal ayudará a identificar lo que es anormal. A medida que un analista dedique tiempo a la búsqueda, aumentará su comprensión, lo que se traducirá en eficacia.

Un resultado tangible será un modelo personalizado, de modo que el conocimiento y la comprensión del entorno puedan aplicarse para crear un modelo personalizado a medida que funcione para su organización. Esto permitirá habilitar el modelo personalizado en Vectra Detect e integrarlo en el flujo de trabajo diario de los analistas, lo que aumentará la cobertura de los ataques y la eficacia.

En el dinámico entorno de amenazas actual, la búsqueda proactiva de amenazas no solo es beneficiosa, sino que es esencial para mantener unas defensas de ciberseguridad sólidas. Las soluciones avanzadas deVectra AI permiten a los equipos de seguridad descubrir y abordar eficazmente las amenazas ocultas, mejorando la resistencia de su organización frente a los ciberataques. Póngase en contacto con nosotros hoy mismo para saber cómo podemos ayudarle en sus iniciativas de detección de amenazas y reforzar su seguridad.