¿Por qué la caza de amenazas con XDR es importante?


La tecnología de respuesta de detección extendida supone una violación en todos sus puntos finales, redes, aplicaciones SaaS, infraestructura en la nube y cualquier recurso direccionable por la red.

Albert Zhichun Li, científico jefe de seguridad, Stellar Cyber, también contribuyó a este artículo.

¿Alguna vez has jugado a las escondidas? Si es así, es posible que ya comprenda cómo se relaciona con la caza de amenazas de ciberseguridad. Para aquellos que no han oído hablar del juego, el objeto requiere al menos dos personas, donde un individuo encuentra un escondite y el otro intenta encontrarlo. La persona encargada de buscar a las otras personas generalmente cuenta hasta 30, lo que les da a las personas que se esconden la oportunidad de correr, esconderse e intentar permanecer sin ser detectadas. Es un juego de persistencia, agudeza visible y audible, y revisión metódica de escondites conocidos anteriores.

En el ámbito de la seguridad cibernética, el escondite es una analogía para la caza de amenazas, y el uso de herramientas modernas como XDR (respuesta de detección extendida) hace que la tarea sea mucho más fácil que peinar gigabytes, terabytes o incluso petabytes de datos de eventos.

Que es XDR? XDR es un enfoque mejorado para la detección y respuesta de punto final tradicional (EDR). Proporciona un modelo que detecta ataques en puntos finales, redes, aplicaciones de software como servicio, infraestructura en la nube y realmente cualquier recurso direccionable por la crimson. Proporciona visibilidad en todas las capas de la purple y la pila de aplicaciones y proporciona detección avanzada y correlación automática y aprendizaje automático para revelar eventos tradicionalmente perdidos por las soluciones SIEM utilizando solo la correlación. Además, proporciona supresión inteligente de alertas para filtrar el ruido que afecta a la mayoría de las organizaciones. Si considera nuestro modelo de escondite, XDR ofrece un enfoque proactivo para:

  • Maximizar la eficiencia de los datos recopilados de las inversiones existentes en seguridad y tecnología de la información mediante la recopilación de los datos correctos y la transformación de los datos con información contextual.
  • Identificar amenazas ocultas utilizando modelos de comportamiento sofisticados a través del aprendizaje automático.
  • Identificar y correlacionar amenazas a través de múltiples capas de la purple o la pila de aplicaciones.
  • Minimizando la fatiga profesional de la seguridad de la información al proporcionar alertas precisas para la investigación.
  • Proporcionando las capacidades forenses necesarias para integrar múltiples señales y construir el panorama basic de los ataques rápidamente, para que los profesionales de seguridad puedan completar las investigaciones con prontitud y con alta confianza para los indicadores de compromiso.

Desde la perspectiva de seguridad de una organización, XDR permite a los equipos prevenir ciberataques conocidos, identificar nuevas amenazas y fortalecer el proceso de seguridad general al encontrar literalmente al atacante escondido en su purple. Se convierte en una mejor manera para que un profesional de seguridad se convierta en el «buscador» eficiente en este nuevo juego de escondite. Y finalmente, permite a los usuarios sacar provecho de una respuesta automatizada en XDR que representa un cambio potencial en el juego para capturar y expulsar a un atacante una vez que son identificados dentro de una organización.

Para ejecutivos y nuevos profesionales de seguridad, apliquemos el sistema de escondite y XDR a la búsqueda de amenazas. La búsqueda de amenazas es el acto de ciberseguridad de procesar información y búsquedas orientadas a procesos a través de redes, activos e infraestructura para amenazas avanzadas que están evadiendo las soluciones y defensas de seguridad existentes. Los firewalls, las soluciones de prevención de intrusiones y la administración de registros están diseñados para detectar y proteger contra amenazas, incluso si son amenazas de día cero y nunca antes se habían visto. La caza de amenazas es la capa por encima de esto. ¿Qué amenazas se están ejecutando activamente en mi red y las herramientas de seguridad mencionadas anteriormente pasan por alto, y cómo puedo encontrarlas? XDR asume la premisa básica de que el entorno ya se ha visto comprometido y existe una amenaza dentro de él. En un entorno típico, ¿cómo puede determinar si existe una amenaza y dónde se esconde con solo una solución de agregación y correlación de eventos? Siendo realistas, no puedes, y ahí es donde XDR entra en juego para nuestra analogía de las escondidas.

Sumérgete profundamente en los archivos de registro y las solicitudes de acceso
La búsqueda de amenazas y una solución XDR proporcionan una mejor inspección de los datos que ya se están recopilando. Esto incluye profundizar en los archivos de registro y las solicitudes de acceso, y procesar eventos de aplicaciones correlacionados a partir de soluciones y redes de regulate de aplicaciones. Luego, llevar XDR al siguiente nivel requiere automatizar una respuesta potencialmente en cualquier capa para contener o mitigar la amenaza detectada. Para determinar si una amenaza está realmente presente, considere estas hipótesis familiares:

  • Análisis avanzado a través del aprendizaje automático: A los comportamientos (o eventos atípicos) se les pueden asignar clasificaciones de riesgo y usarse para determinar si se está produciendo un patrón de alto riesgo.
  • Situacional: Se analizan objetivos de alto valor, incluidos datos, activos y empleados, en busca de anomalías y solicitudes inusuales.
  • Inteligencia: Correlación de patrones de amenazas, inteligencia de amenazas, malware, sesiones e información de vulnerabilidad de activos para llegar a una conclusión.

Por lo tanto, para que la caza de amenazas tenga éxito, debemos cumplir con los siguientes requisitos:

  • Las herramientas de consolidación, como un sistema XDR, recopilan todas las fuentes de datos aplicables para el reconocimiento de patrones. Como regla general, cuantos más datos de seguridad, mejor. Los datos adicionales siempre se pueden filtrar, purgar o suprimir.
  • Las herramientas para evaluaciones de riesgos, detección de intrusos y prevención de ataques están actualizadas y funcionan correctamente. Si estos sistemas están defectuosos, sus primeras líneas de defensa están en peligro y también lo están los datos que están recopilando.
  • Las fuentes de información pueden correlacionarse por cuenta de usuario y nombre de host de manera confiable. Los cambios en la dirección IP debido a DHCP e incluso la sincronización horaria (debido a una implementación deficiente de NTP) pueden alterar los resultados. Necesitamos confiar en los datos casi implícitamente y una infraestructura que funcione bien es un requisito previo.
  • Las joyas de la corona y las cuentas confidenciales se identifican adecuadamente para el modelado de datos. Esto incluye monitorear cuándo se usan, quién los está usando y qué acciones se están realizando.
  • Las amenazas al negocio, como un evento de incumplimiento de juego, se establecen y se utilizan para construir una hipótesis. Si un atacante hiciera «esto», ¿podría mi negocio recuperarse y cuál sería el costo?
  • La documentación, como mapas de purple, descripciones de procesos comerciales, gestión de activos, etcetera., es de gran importancia. La búsqueda de amenazas con XDR depende del elemento humano para correlacionar la información con el negocio actual. Sin poder asignar una transacción a su flujo de trabajo electrónico, una hipótesis es ciega sobre cómo ocurrió la amenaza y sigue siendo persistente.
  • La respuesta a la amenaza debe ser parte de un flujo de trabajo estándar y estar asegurada. Si el resultado deseado es poner en cuarentena un activo o cambiar la configuración de un cortafuegos, el método para la respuesta automatizada debe ser seguro, de modo que no se pueda aprovechar contra la empresa como un ataque de denegación de servicio.

Acerca de Albert Zhichun Li, científico jefe de seguridad, Stellar Cyber
Albert Zhichun Li tiene más de 15 años de experiencia en investigación de seguridad cibernética. Ha presentado más de 40 patentes en los EE. UU. Y ha publicado numerosos trabajos de investigación seminales en conferencias académicas sobre seguridad, IA y sistemas.

Contenido relacionado:

Con más de 20 años de experiencia en la industria de TI y autor de Privileged Assault Vectors y Asset Attack Vectors, Morey Haber se unió a BeyondTrust en 2012 como parte de la adquisición de eEye Digital Stability. Actualmente supervisa la visión de la tecnología BeyondTrust … Ver biografía completa

Más tips





Enlace a la noticia first