Uncategorized

Guía del cazador para amenazas cibernéticas

Es momento de enfrentar los hechos: Los atacantes cibernéticos son lo suficientemente sigilosos para evadir sus sistemas de monitoreo. Si está sentado a la espera de que se suenen las alarmas de seguridad, es probable que sea tarde.

Más de $ 75 millones de dólares se gastan en servicios de seguridad, pero  las empresas aún siguen siendo víctimas, información sensible es robada, y las consecuencias pueden ser devastadoras.

empresa

Lo que es peor, las empresas  descubren que han sido vulneradas  semanas o meses después del compromiso inicial,  por lo general tardan entre  120 a 200 días en promedio para detectar un ataque.

Bajo este concepto, no hace falta decir, que los enfoques existentes sobre detección de amenazas no están funcionando.

Es el momento de que tome las riendas de la seguridad de su empresa y de caza a las amenazas y  actividades maliciosas en su entorno.

A continuación les presentamos un plan para rastrear amenazas.

Cacé en su propio patio trasero            

bird-of-prey-628657_1920Cazar amenazas, o ciberhunting, es un conjunto de tecnologías y técnicas que pueden ayudar a encontrar infiltrados internos y externos antes de que causen demasiado daño a su entorno. La caza  de amenazas implican:  técnicas manuales y mecánicas asistidas.  El énfasis está en  investigar todas las piezas en su contexto.

La automatización de seguridad puede ayudar a recoger datos de segmentos de red y el procesamiento de las máquinas a su disposición puede acelerar el análisis de la informacion, pero al final, depende de usted el montar una serie de actividades de caza de amenaza, dice Kris Lovejoy, presidente y CEO de la Acuity Solutions y ex gerente general de IBM Security Services.

“La caza de amenaza es un proceso defensivo, no  ofensivo”, añade Lovejoy.

Mientras que una caza exitosa requiere pensar como un hacker, eso no significa que usted debe estar trazando ataques de nuevo a la máquina de origen, sumergirse en foros, o participar en prácticas cuestionables para descubrir problemas potenciales. La caza de amenazas a nivel empresarial es puramente defensiva. Se caza mediante la formación de hipótesis acerca de cómo un atacante puede entrar en la red, y a continuación, se busca la evidencia dentro de su entorno para probar o refutar estas hipótesis.

Construir una línea de base de conocimientos

La evaluación de riesgo de seguridad es una faceta central de la caza de amenazas, y el proceso se puede dividir en tres fases.

En primer lugar, hay que entender que amenazas tienen mayores posibilidades de atacar  a su organización, ya sean adversarios persistentes, malwares, u o cualquier otro tipo de ataque.

En segundo lugar, debe identificar sus vulnerabilidades, tales como software o procesos susceptibles a errores humanos sin parchear.

En tercer lugar, debe evaluar el impacto que una amenaza puede tener al explotar sus vulnerabilidades. Una vez que se puedan calcular estos riesgos, se puede dar prioridad a cazar las amenazas según estos resultados.

“Si soy un banco y sé que los criminales son propensos a ir tras mi base de datos para llegar a las cuentas, necesito proteger a esa base de datos en primer lugar,” dice Lovejoy.

Antes de que pueda comenzar la caza, es necesario comprender el entorno en el que está de caza. Esto se remonta a la administración básica de TI, tales como tener una idea clara de la cantidad de sistemas, softwares y las versiones que estos están ejecutando, y quién tiene acceso a cada uno.

La arquitectura de la red, el proceso de gestión de parches, y el tipo de defensas que tiene en su empresa son las piezas de información críticas en la comprensión de sus amenazas.

lab-385348_1920

Los equipos de TI necesitan conocer las debilidades para identificar los posibles puntos de entrada. Se debe adoptar el adoptar el modo de pensar de su adversario es clave en la determinación de sus próximos movimientos.

Mantener una red de inteligencia de amenazas actualizada es una manera de recibir información sobre el tipo de ataques que golpean las organizaciones de similar tamaño en el mismo sector. Si un número de competidores ha sido atacado de una forma en particular, tiene sentido dar prioridad a la investigación de posibles ataques basados en esa forma particular.

Es esencial determinar lo que más podría interesar a un atacante acerca de su organización en este momento. Esto podría ser un producto nuevo en el cual su organización está trabajando en o rumores sobre una posible adquisición.

Cuando se sabe lo que puede despertar el interés de los potenciales atacantes, se puede predecir mejor cuáles son las técnicas que utilizarán y cómo van a recorrer la red para conseguir lo que quieren.

Un mapa de la cadena de destrucción

Hace algunos años, Lockheed Martin explico la “cadena mortal cibernética “, la que divide a los ataques dirigidos en siete fases distintas:

  • Reconocimiento
  • Fabricación de armamento
  • Entrega
  • Explotar
  • Instalación
  • Mando y control
  • Acción

Los atacantes generalmente se mueven por cada uno de los pasos, desde el compromiso inicial al robo. Un ataque dirigido toma tiempo para desarrollarse, la detección de la infracción y bloqueado del ataque tan pronto como sea posible minimiza el daño.

Durante el reconocimiento, los delincuentes recopilan información sobre posibles objetivos y posibilidades de ataque. En el caso de una adquisición, un atacante recopilará información sobre los ejecutivos y asistentes que potencialmente podrían estar trabajando en el trato. Con base en la información recopilada, los delincuentes desarrollan un curso de acción.

Una búsqueda exitosa implica examinar cada fase de la cadena de destrucción y la evaluación de tácticas y técnicas que los atacantes pueden emplear. Eso puede implicar la minería de publicaciones en las redes sociales para determinar si cualquier persona que trabaje en una posible adquisición se ha identificado a sí mismos como encargado del trato.

Activamente a la caza de amenazas

Sus suposiciones e hipótesis sobre posibles ataques proporcionan un buen lugar para comenzar su búsqueda. Una caza exitosa implica examinar un segmento específico de la red, sin tratar de ver todo lo que puede ir mal. Se trata sobre realizar una búsqueda detallada, sobre un punto en específico para los obtener los indicadores específicos de un posible ataque, en lugar de obtener una vista de pájaro de la seguridad del sistema.

La mayoría de los esfuerzos de inteligencia de amenazas se centran en los indicadores de compromiso que no ayudan con la caza de amenazas. Los factores tienden a ser barato, frágiles, y pueden ser cambiados a bajo costo. Considere la posibilidad de nombres de dominio o el nombre un documento de Word origen del ataque. Es trivial para los atacantes para generar nuevos nombres de dominio y cambiar los archivos que están adjuntos en un correo electrónico y eludir los filtros de seguridad. En su lugar, los cazadores deben centrarse en los patrones de ataque, Lovejoy recomienda.

sniper-1009657_1920

Por ejemplo, debe estar atento ante los intentos de abrir una sesión de escritorio remoto para crear nuevas cuentas de administrador dentro de un directorio activo. No importa cómo se llamen  las nuevas cuentas, lo que debe buscar son cuentas nuevas cuyos orígenes sean inexplicables.

Los cortafuegos de última generación, plataformas de detección de anomalías, y  registros de información, proporcionan una gran cantidad de información, al igual que las plataformas de análisis de riesgos y sistemas de detección de amenazas de la red.

En muchos casos, hay un efecto de silo, con la información bloqueada dentro de cada sistema, lo que hace difícil para los defensores para ver todas las piezas relacionadas.

Las fuerzas de caza de amenazas deben romper con la tendencia de aislar los sistemas. Cuando un proceso toca diferentes segmentos y sistemas, se debe prestar atención a la forma en que los procesos se relacionan entre sí.

Construir respuesta de seguridad

Una vez que se encuentren indicios de una infracción, los cazadores de amenazas deben hacerse a un lado para permitir que los equipos tradicionales de respuesta a incidentes se hagan cargo. El trabajo del cazador es de hacer conjeturas en cuanto a donde los atacantes pueden estar dentro de la red, pero no son necesariamente los que tienen la experiencia necesaria para bloquear los atacantes.

El departamento de respuestas a incidentes será el encargado de mitigar el ataque y responder a los problemas.

hacker_2621842b

Puede ser tentador crear equipos de búsqueda especializados, ya que identifican las áreas problemáticas y encuentran los ataques, pero que no debe ser a expensas de la administración básica de TI, monitoreo de red, y  estrategias de defensa en profundidad.

La caza de riesgos comienza con el supuesto “He sido violada” y busca evidencia para apoyar esta hipótesis. Una vez que se encuentran las pruebas de la violación a la seguridad  y el daño debe ser contenido, entran en acción los departamentos de respuesta a incidentes y análisis forense. Estas son un conjunto de habilidades muy distintas, y ambos son necesarios. Los defensores necesitan todos estos elementos para trabajar juntos.

Detener el cáncer

La caza de amenazas no es un concepto nuevo, y muchas organizaciones ya han adoptado alguna forma de la práctica como parte de su plan general de seguridad. En una reciente encuesta del Instituto SANS, el 86 por ciento de los profesionales de TI dijeron que habían implementado procesos de caza de amenazas en sus organizaciones y el 75 por ciento de caza amenaza reivindicado habían reducido su superficie de ataque.

Al igual que con todos los demás aspectos de la seguridad de la información, hay un tiempo y lugar para la caza de amenazas. Las empresas deben mirar el modelo de madurez de caza desarrollada por Sqrrl Data’s Bianco, para juzgar si están listos para comenzar la caza.

El modelo define la madurez en base a tres factores: la calidad de los datos recogidos, las herramientas disponibles para el acceso y análisis de los datos, y las habilidades de los que realizan el análisis. Un analista con la habilidad suficiente que posea datos de alta calidad puede compensar las deficiencias en su conjunto de herramientas, pero en su mayor parte, las organizaciones deben centrarse en los tres factores.

Piense en la empresa como un sistema biológico que ha sido infectado, y la caza amenaza como una forma de descubrir hasta qué punto la infección se ha extendido y qué tipo de daño que está causando.

“La caza de amenazas es la captura del cáncer en las primeras etapas, antes de que haga metástasis y te mata”, dice Lovejoy.

http://www.infoworld.com/article/3094359/security/threat-hunters-guide-to-securing-the-enterprise.html#tk.ifw-infsb

noticia
Previous post

08Ago2016.- PAKISTÁN: Atacante suicida explota en hospital

noticia
Next post

09Ago2016.- Aumenta movimiento contra Google tras borrar a Palestina del mapa

admin

admin

No Comment

Leave a reply