Uso de la telemetría de aplicaciones para revelar información privilegiada y …



Los datos de los procesos de aplicación y otros sistemas dejan un rastro de migajas de amenazas que pueden usarse para detectar y apagar ataques.

La identificación adecuada de los indicadores de compromiso (IoC), ya sea generados por negligencia equivocada, un cambio operativo bien intencionado o los actos de un intruso malicioso o un atacante externo a través de credenciales de cuenta comprometidas, a menudo ocurre solo después de que la filtración de datos ha tenido éxito.

Afortunadamente, la infraestructura de TI (en particular, procesos de aplicación, cargas de trabajo, sesiones y conexiones de crimson) no miente. Cuenta la historia con un rastro de migajas de amenaza que se pueden observar mucho antes de que la violación haya causado el daño. Y para encontrar y recolectar esas migajas, el monitoreo dirigido de la infraestructura de TI y el comportamiento de las aplicaciones sigue siendo la forma más efectiva de detectar y, con suerte, cerrar los ataques en curso.

Consideremos qué migajas específicas, o telemetría, son las mejores para usar y cómo pueden ayudar a las organizaciones a responder a las amenazas antes en la cadena de exterminio.

Procesos
Todo comienza con un proceso. Considere un script de shell o una aplicación Java: el tiempo, el identificador de proceso (pid), los argumentos y la suma de comprobación del proceso son factores importantes.

Por ejemplo, en la fuerza bruta u otros ataques más sofisticados, un cambio deshonesto en el comportamiento del proceso ofrece el primer IoC, como el resultado de un atacante que vive en la tierra. Por lo tanto, la implementación de técnicas con la fidelidad para detectar el comportamiento del proceso no autorizado es una defensa crítica de primera línea.

Crimson
Las aplicaciones comerciales modernas se distribuyen en toda la empresa y sus centros de datos e instancias en la nube. Con su tráfico de red fluyendo a través de estos diferentes entornos, entre sus API, con plataformas de World wide web de las cosas y ahora aprovechando contenedores y microservicios, las métricas de pink sin contexto son inútiles. Es esencial tener una comprensión profunda del tráfico de crimson entre procesos y entre aplicaciones para obtener y desarrollar el contexto necesario para comprender qué es ordinary y qué no.

Por ejemplo, muchas de las violaciones de alto perfil más recientes con exfiltración han explotado el compromiso de las credenciales de cuenta de servicio privilegiadas, no humanas. Una forma de detectar este tipo de ataque es graficar el tráfico de pink hacia y desde una aplicación o servicio comercial, así como su actividad de proceso subyacente, es decir, sus pid, comandos ejecutados y argumentos, e incluso cambios resultantes en sus conexiones de purple. El acceso a estos datos de collection de tiempo con alertas en tiempo true para los forenses principales y finales puede ayudar a garantizar que los equipos de infosec no lleguen tarde a la fiesta.

Application
Observar solo los datos del proceso es insuficiente y no importa si se trata de la variedad comercial estándar (COTS) o del sistema de soporte operativo (OSS). En cambio, es necesario verificar y validar que ningún archivo de recurso de aplicación website (WAR), binarios, secretos o configuraciones hayan sido comprometidos. Esto se puede lograr mediante escaneos del sistema de archivos y pruebas enfocadas contra manifiestos o sumas de verificación.

Sin embargo, una mejor práctica es construir esta capacidad en la cadena de herramientas. Una amenaza emergente conlleva el riesgo de contaminar los sistemas de construcción, tal vez por parte de una fuente o tal vez a través de una dependencia ascendente. Poner en práctica medidas para monitorear el program que se construye e implementa es crítico. Un ejemplo desafortunado de esto sería un compromiso de una biblioteca de la que depende la biblioteca de contraseñas seguras de Ruby. Por lo menos, las organizaciones deben medir la propiedad, los permisos y las sumas de verificación y generar seguridad en la cadena de herramientas para obtener métricas durante la prueba, el lanzamiento y la operación.

Identidad
Muchas organizaciones ya implementan controles en los usuarios y tal vez incluso estén utilizando UEBA. Sin embargo, muchos usuarios no existen en el directorio y no forman parte de los procesos de administración de usuarios. Sistema y cuentas de servicio de sistemas de basura. Sin embargo, son la columna vertebral de la infraestructura que presta servicios a servidores website, de aplicaciones y RDBMS. Estas son las cuentas que deben observarse con contexto para evitar tomar medidas en una cuenta de la que dependen los servicios comerciales.

Por ejemplo, si bien un usuario de Apache nunca debe iniciar sesión, el usuario de Oracle debería poder hacerlo, pero solo un pequeño número de usuarios en la lista blanca y desde ubicaciones predeterminadas y controladas.

Sistemas
Las filosofías de Infosec y del atacante son ortogonales, mientras que el punto last es la unidad de medida para TI, la moneda del atacante son los datos del objetivo. Y los atacantes buscan explotar cualquier debilidad en la crimson, la interfaz de usuario, las API o los sistemas operativos para llegar a ella. Para realinear, las organizaciones deben observar un servicio completo y cómo interactúan los servicios.

Para ilustrar, ¿debería investigarse el hecho de que la CPU se disparó en un servidor de aplicaciones o, por el contrario, que se cayó? La única forma de hacer esa determinación es conociendo el contexto. ¿Hubo un cambio planificado o se lanzó un nuevo producto o geografía? ¿Se está ejecutando una campaña? Una vista de nivel macro es la única forma de evitar falsos positivos. Aprovechar la información de la automatización de la prestación de servicios ayuda a que las organizaciones sean más conscientes de los cambios, al agregar más profundidad al contexto de los eventos.

Cementemos esto con otro ejemplo. En preparación para el lanzamiento de un producto, una organización preaprovisiona cuatro veces más capacidad en su nivel de servidor net y de aplicaciones y redistribuye la carga usando HAProxy. Antes del lanzamiento, no se generan alertas de seguridad y, por lo tanto, la organización desconoce que ahora hay capacidad adicional. El día del lanzamiento, hay un gran aumento en el volumen de los servidores de bases de datos, lo que podría indicar que se han violado las defensas del perímetro y se ha accedido a los datos confidenciales de los clientes.

Reuniéndolo
Tomados de forma aislada, cada una de las métricas discutidas pierden su valor sin contexto. La imagen completa de las relaciones entre las aplicaciones y sus plataformas de components subyacentes, sistemas operativos, conexiones de red, rendimiento, procesos y las identidades y el tiempo de uso son necesarios para detectar amenazas a medida que se desarrollan.

Contenido relacionado:

Andy Hawkins es CTO de campo en TrueFort y un reconocido experto en devops, IoT, ingeniería de software program y confiabilidad de sitio / SRE. Ha desempeñado funciones de liderazgo ejecutivo en operaciones técnicas en empresas líderes como SignalFx, Chef, Pivotal y Opsware. Ver biografía completa

Más suggestions





Enlace a la noticia primary