En el documento anterior estuvimos viendo sobre esta solución de medición de la postura de seguridad de manera permanente. También vimos que permite contar con mediciones en tiempo real de qué tan bien o qué tan mal está la seguridad en la empresa. Sin embargo, la evolución permanente que la delincuencia cibernética muestra día con día, nos obliga a no bajar la guardia en este sentido.
Esta misma solución incorpora otras maravillosas técnicas que permiten complementar el análisis de la postura de seguridad que las empresas necesitan, tales como la detección de ataques en correos electrónicos, protección de dispositivos de los usuarios, detección de movimiento lateral, integración con SIEM, enlace con otros mecanismos mediante API, etc
Empecemos con la protección de equipamiento de usuarios. La idea central de la protección de esta herramienta es mediante la simulación de un ataque dirigido a los equipos de los usuarios. Como sabemos, existe lo que se le llama “Cibercadena de la muerte”. Esta se refiere a los pasos que los atacantes siguen para poder conseguir penetrar un equipo de cómputo, para exfiltrar información, etc. En la siguiente gráfica podemos ver un modelo de dicho proceso.
La idea es la simulación de un ataque mediante la modelación del comportamiento de los adversarios cuando realizan la penetración y la simulación de varias fases de su ciclo de vida, técnicas y tácticas usadas por los atacantes. Cada escenario de ataque para equipos de usuarios es un plan de ataque que incluye la cadena de acciones de los adversarios. Como bloques de construcción de escenarios de ataque de equipos de usuario final, cada acción es mapeada a una técnica del marco ATT&CK para aterrizar dichos escenarios a una taxonomía común.
Esto va mucho más allá de solamente estar analizando las vulnerabilidades que los equipos pudieran tener, ya que en la práctica, la delincuencia hace uso de tráfico “legal” dentro de la red de usuarios, por lo que los equipos de protección dejarán pasar dicho tráfico.
Lo interesante aquí es que dicho tráfico describe un patrón de comportamiento orientado a comprometer los equipos de cómputo, y precisamente es lo que esta herramienta detecta para poder conseguir sus objetivos.
Esta técnica ofrece amplios beneficios tales como ahorro de tiempo mediante el incremento de claridad en la identificación del comportamiento de tráfico, además de descubrir los detalles de seguridad e información, compartiendo lenguaje común. Para poder llevar a cabo estas tareas, este mecanismo tiene que echar mano de distintas funcionalidades que enumero a continuación:
· Utilización de scripts granulares
· Ejecución de Malware sin el uso de archivos
· Descarga de archivos con repeticiones erróneas
· Fuga de información desde canales encubiertos
· Utilización de herramientas legítimas del sistema operativo así como sus comandos
· Técnicas de ataques con movimientos laterales
Hay varios tipos de escenarios de ataques:
El escenario de Malware. Este escenario es una simulación del ciclo de vida de un malware en particular. Mediante el uso de estadísticas y análisis dinámico, se identifican acciones de malware, incluyendo operaciones de archivos y registros, conexiones de red, comandos y otros procesos.
El escenario APT. Aquí se arman distintos árboles de decisión en cuanto a una serie de posibilidades de comportamiento de amenazas persistentes avanzadas. Se mapean distintas formas de comportamiento de grupos de APT para romper acciones de comando por comando.
Un escenario atómico. Este está incluye distintas acciones que simulan una técnica similar de una tarea específica en particular. Esto es, por ejemplo: el escenario del borrado de un archivo incluye la acción de borrar copias de dicho archivo empleando distintos métodos usados por los adversarios, tales como “vssadmin” y “wmic”.
Por último, esta herramienta ofrece reglas Sigma para proveer capacidades de detección de los equipos de cómputo. Estas reglas pueden ser convertidas directamente a reglas de ArcSight, Splunk y QRadar además de otros varios fabricantes. Sigma es definido como el mejor método para resolver problemas de registro de firmas. El formato es muy flexible, fácil de escribir y aplicable a cualquier archivo de registro que permite que las analíticas sean reusadas independientemente de la plataforma de SIEM.
Asegura tu infraestructura atacándola tu mismo
Lo primero, protección de equipos de usuarios
En el documento anterior estuvimos viendo sobre esta solución de medición de la postura de seguridad de manera permanente. También vimos que permite contar con mediciones en tiempo real de qué tan bien o qué tan mal está la seguridad en la empresa. Sin embargo, la evolución permanente que la delincuencia cibernética muestra día con día, nos obliga a no bajar la guardia en este sentido.
Esta misma solución incorpora otras maravillosas técnicas que permiten complementar el análisis de la postura de seguridad que las empresas necesitan, tales como la detección de ataques en correos electrónicos, protección de dispositivos de los usuarios, detección de movimiento lateral, integración con SIEM, enlace con otros mecanismos mediante API, etc
Empecemos con la protección de equipamiento de usuarios. La idea central de la protección de esta herramienta es mediante la simulación de un ataque dirigido a los equipos de los usuarios. Como sabemos, existe lo que se le llama “Cibercadena de la muerte”. Esta se refiere a los pasos que los atacantes siguen para poder conseguir penetrar un equipo de cómputo, para exfiltrar información, etc. En la siguiente gráfica podemos ver un modelo de dicho proceso.
La idea es la simulación de un ataque mediante la modelación del comportamiento de los adversarios cuando realizan la penetración y la simulación de varias fases de su ciclo de vida, técnicas y tácticas usadas por los atacantes. Cada escenario de ataque para equipos de usuarios es un plan de ataque que incluye la cadena de acciones de los adversarios. Como bloques de construcción de escenarios de ataque de equipos de usuario final, cada acción es mapeada a una técnica del marco ATT&CK para aterrizar dichos escenarios a una taxonomía común.
Esto va mucho más allá de solamente estar analizando las vulnerabilidades que los equipos pudieran tener, ya que en la práctica, la delincuencia hace uso de tráfico “legal” dentro de la red de usuarios, por lo que los equipos de protección dejarán pasar dicho tráfico.
Lo interesante aquí es que dicho tráfico describe un patrón de comportamiento orientado a comprometer los equipos de cómputo, y precisamente es lo que esta herramienta detecta para poder conseguir sus objetivos.
Esta técnica ofrece amplios beneficios tales como ahorro de tiempo mediante el incremento de claridad en la identificación del comportamiento de tráfico, además de descubrir los detalles de seguridad e información, compartiendo lenguaje común. Para poder llevar a cabo estas tareas, este mecanismo tiene que echar mano de distintas funcionalidades que enumero a continuación:
Hay varios tipos de escenarios de ataques:
El escenario de Malware. Este escenario es una simulación del ciclo de vida de un malware en particular. Mediante el uso de estadísticas y análisis dinámico, se identifican acciones de malware, incluyendo operaciones de archivos y registros, conexiones de red, comandos y otros procesos.
El escenario APT. Aquí se arman distintos árboles de decisión en cuanto a una serie de posibilidades de comportamiento de amenazas persistentes avanzadas. Se mapean distintas formas de comportamiento de grupos de APT para romper acciones de comando por comando.
Un escenario atómico. Este está incluye distintas acciones que simulan una técnica similar de una tarea específica en particular. Esto es, por ejemplo: el escenario del borrado de un archivo incluye la acción de borrar copias de dicho archivo empleando distintos métodos usados por los adversarios, tales como “vssadmin” y “wmic”.
Por último, esta herramienta ofrece reglas Sigma para proveer capacidades de detección de los equipos de cómputo. Estas reglas pueden ser convertidas directamente a reglas de ArcSight, Splunk y QRadar además de otros varios fabricantes. Sigma es definido como el mejor método para resolver problemas de registro de firmas. El formato es muy flexible, fácil de escribir y aplicable a cualquier archivo de registro que permite que las analíticas sean reusadas independientemente de la plataforma de SIEM.
Categorías Populares
Instagram Feeds
[instagram-feed]
Popular Tags
Archivos
Nuestros Servicios