Cómo los metadatos de purple pueden transformar el compromiso …



Escuche más atentamente y los metadatos de su red entregarán strategies que los malos contaron para mantener en secreto

En el clásico de culto de 1979 Cuando un extraño llama, una niñera recibe numerosas llamadas telefónicas de un hombre extraño, solo para descubrir que las llamadas provienen de ¡dentro de la casa!

De hecho, la noción de un extraño al acecho dentro de su hogar es aterradora. Para la empresa moderna, sin embargo, se ha convertido en la nueva normalidad. Aún más aterrador, la mayoría de las empresas no tienen idea de que su red se ha visto comprometida en primer lugar.

Según un estudio de IBM, toma la empresa típica 197 días para identificar una violación en su purple y 69 días para contenerlo. A pesar de la profusión de herramientas de monitoreo de red y análisis de tráfico en el mercado genuine, los equipos de seguridad no pueden distinguir la débil señal de una incursión legítima en la pink sobre el ruido de las alertas perpetuas.

Pero como cualquier detective de televisión te dirá, un felony siempre deja algo atrás. Y al igual que un equipo forense de CSI podría usar luminol para detectar pequeñas cantidades de sangre en la escena del crimen, los analistas de seguridad pueden aprovechar la gran cantidad de metadatos de crimson para identificar y aislar un compromiso de pink.

El medio es el mensaje
Llevando la metáfora de una casa un paso más allá, las puertas y ventanas representan ambos puntos de entrada y salida para un intruso potencial. Las direcciones IP de pink, los servidores proxy y los buzones de correo electrónico son las puertas y ventanas de la red empresarial que los exploradores digitales explotan para obtener acceso y filtrar datos. Pero debido a que estos intrusos deben usar la pink en sí, tampoco pueden evitar dejar rastros de su presencia en forma de metadatos de pink.

Los metadatos a menudo se definen como datos sobre datos o información que los hace útiles. Cada fotografía digital incluye metadatos que ofrecen información detallada sobre la foto: cuando se tomó, el tipo de cámara utilizada, incluso sus coordenadas GPS, todas adjuntas al archivo digital como metadatos, lo que nos proporciona una forma sencilla de ordenar y organizar nuestra foto. bibliotecas

Del mismo modo, los metadatos se adjuntan a los diversos dispositivos de components y software que toda infraestructura de red necesita para ejecutarse. Desde servidores de correo electrónico y de aplicaciones hasta firewalls de purple y puertas de enlace en la nube, los metadatos de cada sistema proporcionan un hilo de información reveladora. Por sí solo, ese hilo particular person de datos puede no decirle mucho. Pero juntar suficientes puntos y dar un paso atrás, una imagen clara comienza a surgir.

Conversión de metadatos de crimson en Intel útil
Para los equipos de seguridad, los metadatos de pink representan un recurso de inteligencia de amenazas critical pero subutilizado que los analistas deben comenzar a incorporar en su caja de herramientas de detección de compromisos. Algunas de las principales fuentes de metadatos de red que pueden correlacionarse con inteligencia de amenazas procesable incluyen:

  • Datos DNS: El Sistema de nombres de dominio (DNS) traduce direcciones IP numéricas y asigna dispositivos y servicios a la purple subyacente. Los metadatos de las consultas DNS proporcionan una capa contextual critical que registra cada intento de conexión desde el dispositivo de un adversario a la infraestructura de una organización y se puede utilizar para discernir la ruta específica que está utilizando un atacante para infiltrarse en una red.
  • Flujos de pink: Comprender cómo se mueven los paquetes a través de la crimson puede ofrecer información valiosa sobre qué dispositivos están siendo controlados por un atacante y si están utilizando o no la pink para moverse lateralmente.
  • Registros de acceso de proxy perimetral y firewall: En los casos en que un ataque evita la resolución del dominio, los restos de una conexión de confrontación a menudo se pueden encontrar enterrados en los registros de acceso de los firewalls o servidores proxy de la crimson.
  • Filtro Spambox: A menudo se pasan por alto, los metadatos archivados del filtro spambox pueden proporcionar información valiosa sobre el tipo de ataque que recibe una organización más revelador, si los usuarios finales están siendo atacados por ataques similares, entonces es más probable que la organización se vea comprometida.

Si bien gran parte de los metadatos de esta crimson han estado disponibles durante años, su aprovechamiento en algo útil no ha sido práctico por varias razones. Hasta hace poco, el costo de almacenar y procesar todos estos datos ha sido prohibitivo. Sin embargo, a medida que los servicios de nube pública han madurado, el costo de almacenamiento ha disminuido exponencialmente: de $ 12.40 por gigabyte en 2000 a menos de $ .004 hoy.

Mientras tanto, la potencia informática ha aumentado en un component de 10.000 durante este mismo período de tiempo, creando el escenario perfecto para la recopilación y administración de grandes y crecientes volúmenes de metadatos. La evolución de la infraestructura de la nube pública no solo ha hecho feasible el almacenamiento y el procesamiento de metadatos de purple, sino que también puede gestionar estas complejas cargas de trabajo en tiempo serious.

Cuando combina estos factores con los últimos avances en poderosos algoritmos de inteligencia synthetic y aprendizaje automático que pueden correlacionar estos conjuntos de datos a escala, puede comenzar a reconocer el enorme potencial que pueden obtener los equipos de seguridad que están bajo una presión cada vez mayor para identificar e identificar rápidamente aislar casos confirmados de compromiso en su crimson.

Ya es hora de que dejemos de preguntarnos si un atacante se está escondiendo en algún lugar de la crimson más bien, necesitamos aprovechar todos los datos y herramientas a nuestra disposición para identificar estos compromisos en minutos, no en meses.

Contenido relacionado:

Ricardo Villadiego es el fundador y CEO de Lumu, una compañía de seguridad cibernética enfocada en ayudar a las organizaciones a medir compromisos en tiempo actual. Antes de LUMU, Ricardo fundó Simple Options, un proveedor líder de soluciones de prevención de fraude que fue adquirido por Cyxtera en 2017 como … Ver biografía completa

Más ideas





Enlace a la noticia unique