¿Cómo pueden las empresas protegerse contra amenazas de seguridad desconocidas?

0 88 7 minutos de lectura

Aproveche los datos de la máquina, así es como.

por Joe Goldberg, evangelista jefe de seguridad en Splunk
A medida que las organizaciones de todo el mundo adoptan los canales en línea para comercializar, los malos de Internet están siendo recompensados con más vías para violar las empresas. Las redes abiertas, los portales de pago en línea e incluso los dispositivos de punto de venta están dejando a las organizaciones abiertas a amenazas más avanzadas y persistentes.
Tales amenazas provienen de hacktivistas, ciberdelincuentes, personas internas malintencionadas y estados nacionales. Con la ayuda de la velocidad, la persistencia y la inteligencia, penetran hábilmente en una organización y exfiltran datos confidenciales sin alertar a las herramientas de software de seguridad tradicionales.
Las herramientas de software de seguridad de las empresas no detectan amenazas debido al aumento del spear phishing y la ingeniería social que se aprovecha de las debilidades humanas para atravesar incluso perímetros más duros. Los perpetradores también confían en malware personalizado que cambia constantemente para evitar ser detectados por las soluciones anti-malware actualmente en el mercado. Una vez dentro de una organización, los piratas informáticos pueden usar herramientas como registradores de claves y descifradores de contraseñas para obtener credenciales legítimas y privilegiadas y moverse con impunidad. Los piratas informáticos suelen infectar docenas de máquinas con una variedad de puertas traseras, por lo que erradicarlas es difícil.
El ciberdelito está en auge y las empresas, con razón, se sienten en desventaja.
Son malas noticias, pero hay una solución.
En lugar de ondear la bandera blanca y admitir la derrota, hay varias formas en que las empresas pueden tomar medidas para crear estrategias de seguridad más sofisticadas para derrotar estas amenazas avanzadas. Una forma es detectar actividad anormal en una red, cualquier cosa que se desvíe de la línea de base de lo que se esperaría para un usuario promedio o una dirección IP. Si puede concentrarse en estas desviaciones y valores atípicos, podrá detectar y vencer mejor las amenazas.
Para detectar los valores atípicos, primero necesita una forma de agregar los datos de la máquina o los registros generados por su infraestructura de TI, tanto en la red como en el punto final. Es vital que se recopilen estos datos de máquina no estructurados porque proporcionan todos los detalles del evento de fuentes de seguridad como firewalls, anti-malware, IDS, así como fuentes no relacionadas con la seguridad como registros de eventos de Windows, DNS, registros web y registros de correo electrónico. Estos datos podrían ser terabytes de datos por día y se ajustan a la definición de «big data»: datos de tal variedad, velocidad y volumen que abruman los almacenes de datos tradicionales. Se necesita una plataforma de big data para indexar esta enorme cantidad de datos de máquina no estructurados.
En segundo lugar, necesita una forma de realizar correlaciones avanzadas y análisis estadístico de estos datos en tiempo real. Esto ayudará a conectar los puntos y exponer las huellas digitales diminutas de una amenaza avanzada que se esconde en un mar de datos de eventos aparentemente inofensivos. También se deben configurar alertas e informes en tiempo real para resaltar las amenazas potenciales a medida que ocurren. Las amenazas avanzadas pueden tener diferentes formas y tamaños, según su fuente y creador, y es difícil saber qué anomalías buscar. A fin de configurar búsquedas efectivas para detectar amenazas, debe comprender cuáles son sus activos y empleados más valiosos, y comprender cómo pueden ser blanco de ellos para identificar ataques. Las plataformas de big data poseen la flexibilidad necesaria para realizar estas correlaciones y análisis avanzados, así como la integración con la información de activos y empleados.
¿Cómo se ve un valor atípico que representa una amenaza avanzada en los datos de la máquina? No existe una lista breve y mágica de los eventos que representan una amenaza avanzada. Los profesionales de la seguridad deben «pensar como un criminal» y ser creativos para construir correlaciones en tiempo real que identifiquen el comportamiento.
Sin embargo, se puede perdonar a las empresas por no saber por dónde empezar. Gran parte de las pautas de seguridad son hipotéticas o se basan en «lo que no se debe hacer». Por lo tanto, demos vida a este consejo con ejemplos del mundo real de cómo las empresas utilizan los datos de las máquinas para ayudar a detectar amenazas de seguridad desconocidas.
Escenario uno
Uno de nuestros clientes financieros más importantes detectó recientemente un comportamiento sospechoso al identificar que un usuario interno había iniciado sesión en un punto final de Windows con un nombre predeterminado de «administrador». Todos los usuarios deben tener un nombre de usuario único, en lugar de «root» o «administrador». Esto levantó una bandera roja con Seguridad de TI.
Al mismo tiempo, el software anti-malware basado en terminales de los clientes detectó malware que se ejecuta en el mismo terminal. Malware significa “software malicioso” y es una señal de alerta porque los piratas informáticos lo utilizan a menudo como parte del proceso de robo de datos.
Finalmente, el cliente utilizó una herramienta de prevención de pérdida de datos (en este caso, el producto Snort Intrusion Detection Prevention) para identificar los números de tarjetas de crédito sin cifrar que dejan la organización desde la máquina de ‘administrador’ anterior a un servidor de comando y control sospechoso. Esta pérdida de datos de las tarjetas de crédito fue una señal de alerta importante para la empresa de que algo había salido mal.
El hecho de que estos tres eventos ocurrieran en la misma máquina en un período corto de tiempo indica que un pirata informático inició sesión de manera inapropiada en la máquina, probablemente utilizando credenciales creadas o escaladas incorrectamente. Probablemente luego pusieron malware en la máquina, tal vez una puerta trasera para conectarse de forma remota a la máquina más tarde, y luego extrajeron los datos de la tarjeta de crédito de la máquina. Es posible que las tarjetas de crédito se hayan utilizado con fines ilegales o fraudulentos.
Entonces, ¿qué hizo esta empresa? Tomaron este patrón de pérdida de datos en tres fuentes de datos diferentes y lo convirtieron en una búsqueda de correlación para detectar y alertar automáticamente sobre este patrón en tiempo real en caso de que reapareciera. También adjuntaron un script simple a esta alerta para bloquear automáticamente todas las conexiones externas de la máquina infectada. De esta manera, los futuros robos de datos podrían detectarse y bloquearse de inmediato. El cliente también realizó una búsqueda histórica para ver si otras máquinas internas se habían conectado a la IP externa del servidor de comando y control, y vio varias. Se asumió que estas máquinas estaban comprometidas y fueron remediadas apropiadamente.
Esta detección y reparación de amenazas ayudó a eliminar el costo real relacionado con la pérdida de tarjetas de crédito de los clientes, incluida la reemisión de tarjetas de crédito, mala publicidad, clientes insatisfechos que se llevan sus negocios a otra parte, demandas de clientes, multas por incumplimiento de PCI, y la lista continúa.
Escenario dos
Otro de nuestros clientes ha utilizado Splunk para prevenir ataques de spear-phishing a empleados internos.
La empresa en cuestión estaba utilizando Splunk para analizar los datos de su máquina y ayudar a realizar un seguimiento de todos los dominios de correo electrónico externos que enviaban correos electrónicos a la empresa, todos los sitios web externos visitados por empleados internos y todos los servicios y ejecutables que se ejecutan en máquinas internas. Al hacer esto, la empresa logró inteligencia sobre la cantidad de correos electrónicos recibidos de cada dominio externo y la cantidad de veces que los empleados visitaron dominios web externos.
Esta información ayudó a la empresa a identificar la secuencia de eventos que llevaron al robo de información confidencial. El día del ataque, un correo electrónico llegó a un empleado interno desde un dominio de correo electrónico externo que nunca o raras veces se había visto antes. Ese mismo empleado luego visitó un sitio web que nunca o rara vez había sido visitado por empleados internos. Al mismo tiempo, se puso en marcha un servicio en la máquina del empleado que nunca o rara vez se vio en la organización.
Estos tres eventos que ocurrieron en la misma máquina en un corto período de tiempo indicaron que un pirata informático había realizado un ataque de spear-phishing. Esto luego llevó al empleado a visitar un sitio con malware, probablemente un juego de herramientas de acceso remoto, que se instaló en la máquina del empleado. Después de experimentar el evento e identificar la causa, el cliente pudo configurar una búsqueda personalizada en nuestra plataforma, lo que significaba que serían alertados automáticamente si esta combinación de eventos volviera a ocurrir.
Entonces, ¿cómo pueden los datos de la máquina ayudar a detectar ataques desconocidos?
Durante los dos escenarios que hemos analizado aquí, los datos de la máquina de productos cruzados se correlacionaron para conectar los puntos y encontrar la aguja proverbial en el pajar. Un ejemplo utilizó «datos de seguridad» y el otro utilizó datos «que no son de seguridad».
Entonces, ¿qué pasa con los productos tradicionales de gestión de eventos e información de seguridad (SIEM)? Desafortunadamente, el problema con ellos es que no pueden agregar y correlacionar las enormes cantidades de datos que estamos discutiendo. Su esquema fijo, bases de datos SQL y dispositivos físicos limitan severamente su escala, lo que pueden ingerir y qué tan rápido pueden buscarlo. Además, sus capacidades inflexibles de búsqueda y generación de informes limitan las correlaciones o análisis avanzados para detectar amenazas avanzadas.
En respuesta, en los últimos años, han surgido nuevas plataformas de seguridad de big data como una nueva arma para las organizaciones con visión de futuro. Estas plataformas han nivelado el campo de juego y han hecho posible la detección temprana de amenazas avanzadas. Estos sistemas pueden escalar hasta 100 terabytes o más por día e ingerir todo tipo de datos de máquina, sin un almacén de datos SQL o un esquema fijo. También aprovechan la búsqueda distribuida para búsquedas y alertas rápidas en tiempo real, usan estadísticas, matemáticas y líneas de base para detectar anomalías y desviaciones, escalan horizontalmente agregando más indexadores o nodos e instalan en hardware básico. Splunk y Hadoop son dos tecnologías que lideran la carga en este espacio.
Las organizaciones líderes que adoptan big data incluyen CedarCrestone, que aloja entornos ERP. CedarCrestone descubrió que era casi imposible obtener sus datos de registro en un SIEM tradicional y luego analizar y correlacionar esos datos. Así que recurrió a una plataforma de seguridad de big data para poder ingerir fácilmente los datos de esta máquina para monitorear amenazas conocidas y desconocidas, y también realizar investigaciones de seguridad completas. La identificación de amenazas desconocidas incluye el monitoreo de puertos y servicios que han cambiado o parecen no estar autorizados o configurados incorrectamente; estas son las posibles huellas digitales de una amenaza avanzada.
Estas plataformas de big data no solo ayudarán a detectar amenazas avanzadas, sino que también se pueden utilizar para análisis forense, investigaciones de incidentes y detección de fraudes. Con todos los datos históricos indexados en estas plataformas, extenderlos a otros casos de uso complementarios es lógico y sencillo. Incluso pueden extenderse a casos de uso que no son de seguridad, como operaciones de TI o administración de aplicaciones.
Si bien no existe una «fórmula milagrosa» para la detección avanzada de amenazas, la inteligencia que proviene de los ‘macrodatos’, y específicamente de los datos de las máquinas, se convertirá en parte integral para cambiar el equilibrio de poder entre las amenazas avanzadas y los negocios, lo que introducirá un campo de juego más nivelado a través del capacidad para acelerar los tiempos de respuesta e identificar los riesgos de seguridad antes de que tengan un impacto importante. Esta nueva arma de inteligencia es vital para detectar y derrotar a los hacktivistas, los ciberdelincuentes, los iniciados malintencionados y los estados nacionales, amenazas de rápida evolución que son más difíciles de detectar y están aumentando en número.

Para obtener más información sobre el autor y Splunk, visite www.splunk.com

¿Cómo pueden las empresas protegerse contra amenazas de seguridad desconocidas?

Aproveche los datos de la máquina, así es como.

Deja una respuesta Cancelar la respuesta

No pagaremos, dicen los tribunales de apelación de Texas después del ataque de ransomware

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Aproveche los datos de la máquina, así es como.

Publicaciones relacionadas

Los trabajadores de la red eléctrica que publican selfies están exponiendo inadvertidamente información crítica

Protección de Docker con controles CIS

Problemas de seguridad de cara a 2020

Hackers rusos finalmente notados

Deja una respuesta Cancelar la respuesta

No pagaremos, dicen los tribunales de apelación de Texas después del ataque de ransomware