Lo que realmente piensa un analista de amenazas sobre la inteligencia


Cuando era analista de amenazas, hace demasiado tiempo para que pudiera ponerlo por escrito, recuerdo la emoción del descubrimiento en la cúspide del aburrimiento de la investigación. Todos conocemos ese meme:

Y a lo largo de los años, las pistas de investigación se volvieron un poco más sustanciales. Comenzaría de una de varias formas, pero la más común comenzó a través de una alerta como resultado de la activación de las reglas de correlación SIEM. En esta situación, ya sabíamos lo que estábamos buscando … el SIEM se había configurado para alertarnos sobre coincidencias de expresiones regulares, X seguido de Y, y otra logística común a menudo mal llamada «análisis avanzado». A medida que fuéramos más maduros, ingeríamos fuentes de Menace Intelligence de fuentes de terceros. Ansiosos y entusiastas por la búsqueda, buscábamos vorazmente a través de una avalancha de falsas alarmas (sí, el IPS encontró un ataque perimetral contra Lotus Notes, pero habíamos estado usando MS Exchange durante más de 5 años) y falsos positivos (no, eso es no Duqu … solo alguien que no puede recordar sus credenciales Advertisement).

Y la notion de que estas fuentes de inteligencia pudieran impulsar una mecánica completamente nueva en el SOC, a la que ahora nos referimos cariñosamente como Menace Hunting, fue increíblemente enriquecedora. Nos permitió ir más allá de lo que ya fue analizado (y probablemente pasado por alto) por el SIEM y otras tecnologías de handle de seguridad. Es cierto que tuvimos que asumir que la amenaza ya estaba presente y que el evento ya había establecido un punto de apoyo en la organización, pero nos permitió comenzar a descubrir a escala empresarial los indicadores de que quizás estábamos comprometidos. Quiero decir, recuerde que necesitamos saber que existe un problema antes de poder manejarlo. Pero nuevamente, los datos de amenazas incorrectos (una vez recibí una lista de DLL de Windows como IoC en una campaña bastante grande) y los datos de amenazas demasiado poco importantes (otro proveedor enumeró los hash asociados con el malware polimórfico) nos llevaron a un agujero de conejo en el que estábamos muy felices. para salir.

Entonces, ¿todos esos datos de amenazas disfrazados bajo el promoting de “Inteligencia de amenazas” realmente nos ayudaron a descubrir amenazas que de otra manera actuarían en las sombras como un ladrón en la noche? ¿O simplemente desvió nuestra atención a una actividad que en gran medida no period interesante, mientras que las amenazas reales eran simplemente otra aguja en una pila de agujas?

En la mayoría de las organizaciones maduras, Menace Intelligence es un componente fundamental de la estrategia SecOps. Por supuesto que es debe ser. ¿De qué otra manera podría defenderse de una cantidad tan copiosa de amenazas que intentan atacar desde todos los ángulos? Tenemos consideraciones ontológicas. ¿Qué actores de amenazas se dirigen a mi sector vertical o geografía? ¿He descubierto alguno de los indicadores de campaña asociados? Y, lo más importante, ¿me protegerán mis controles existentes? Ninguno de los cuales podría abordarse sin una capacidad de inteligencia de amenazas.

Recuerdo haber trabajado con un cliente que estaba comenzando a expandir sus recursos de operaciones de seguridad, y estaba ansioso y emocionado de incorporar capacidades de inteligencia de amenazas. La junta estaba presionando al CISO para que aumentara el alcance de la responsabilidad de su organización de respuesta, y los medios de comunicación estaban empezando a hacer picadillo a cualquier negocio comprometido por los actores de amenazas. La presión estaba activa y la inteligencia comenzó a fluir … como una manguera de incendios. Aproximadamente un mes después de que comenzó, hablamos durante el almuerzo cuando fue interrumpido al menos 3 veces por escaladas. «¿Qué está pasando?», Le pregunté. Me dijo que ahora lo llamaban día y noche sobre hallazgos para los cuales su equipo carecía de un contexto y comprensión completos. Seguramente, tenían más datos de amenazas, pero si le preguntabas, esa función no incluía «inteligencia».

Se supone que la inteligencia de amenazas le ayudará a filtrar las señales del ruido. En algún momento, sin contexto y comprensión, es probable que sea más ruido.

Considere la jerarquía del conocimiento: datos, información, conocimiento y sabiduría.

La inteligencia es definida por dictionary.com como “conocimiento de un evento, circunstancia, etc., recibido o impartido Noticias información.» Si pensamos en Threat Intelligence como una forma de datos que alimentan sus operaciones de seguridad con una lista de partes o elementos atómicos que en sí mismos sirven poco en el contexto, el SOC se verá obligado a reaccionar regularmente. Con millones de indicadores que se envían diariamente en forma de hashes de archivos, nombres, URL, direcciones IP, dominios y más, estos datos no son útiles.

Cuando los datos se correlacionan en forma de contexto utilizando una ontología, como la agrupación por tipos específicos de malware, obtenemos lo suficiente para clasificar las relaciones como información. Cuando sabemos que ciertas familias de malware y malware exhibirán grupos de indicadores, podemos preparar mejor nuestros controles, mecanismos de detección e incluso los esfuerzos de respuesta a incidentes y los libros de jugadas. Pero, aún así, carecemos del contexto adecuado para comprender si, en typical, este malware o familia de actividades de malware se aplicará a mi organización. Todavía necesitamos más contexto.

Entonces, en este punto formamos una historia completa. Es bueno saber que el malware existe y exhibe un comportamiento clave, pero es aún mejor si sabemos qué actores de amenazas tienden a usar ese malware y de qué manera. Estos actores de amenazas, como la mayoría de las empresas, operan en proyectos estructurados. Esos proyectos o campañas buscan encontrar un resultado. Están dirigidos a tipos específicos de negocios a través de la industria. Al momento de escribir este artículo, COVID-19 ha creado un vacío tan dramático en la industria farmacéutica que existe una carrera para crear la primera vacuna. El «ganador» de tal carrera obtendría increíbles recompensas financieras. Por lo tanto, es lógico que APT29 (también conocido como Cozy Bear), que hackeó notoriamente el DNC antes de las elecciones de 2016 en EE. UU., Apuntaría a las empresas farmacéuticas de I + D. Ahora, el CONOCIMIENTO de todo esto permite deducir que si yo fuera una empresa de I + D farmacéutica, especialmente una que trabaja en una vacuna COVID-19, debería ver cómo se comporta normalmente APT29 y hacer algunas preguntas muy importantes: ¿qué procedimientos hacen? normalmente siguen, qué tácticas son típicamente presenciadas y en qué orden / tiempo, qué técnicas se ejecutan mediante qué procesos, and many others. Si pudiera responder a todas estas preguntas, podría ser reactivo, proactivo e incluso prescriptivo:

  • Asegúrese de que existan reglas de prevención de exploits para .lnk drops
  • Protección contra robo de credenciales de McAfee habilitada para proteger la pila LSASS
  • Supervise la actividad de PSExec y correlacione con otros indicadores APT29
  • Supervisar / Bloquear para acceder a las claves de ejecución del registro
  • et al.

Sin embargo, parece que el único instrumento que falta en esta carrera por el contexto y la comprensión es la previsibilidad. Sin duda, podemos predecir con el conocimiento que tenemos si podemos ser objetivo o no pero ¿no es mucho más difícil predecir cuál puede ser el resultado de tal ataque? Desde el punto de vista operativo, es posible que haya oído hablar de simulacros o ejercicios de mesa. Estas son actividades operativas efectivas requeridas por funciones como Continuidad del negocio y Recuperación ante desastres. Pero, ¿qué pasaría si pudieras tomar el conocimiento que obtuviste de otros en la industria, compilado con la huella de seguridad vinculada a tu entorno real, y abordar el elefante en la sala que todo CISO menciona al inicio de la «Inteligencia de amenazas»?

¿Estaré protegido?

– Cada CISO, alguna vez

Este nivel de contexto y comprensión es lo que conduce a la Sabiduría. No espere hasta que la amenaza toque tierra en su organización. Mi abuelo siempre decía: «Un hombre inteligente (informado) aprende de sus propios errores, pero un hombre sabio aprende de los demás». Creo que eso también es cierto con SecOps y Threat Intelligence. Una vez que podamos correlacionar lo que sabemos sobre la vertical de nuestra industria, los actores de amenazas, las campañas y los factores geográficos y sociopolíticos con la capacidad de nuestra propia organización para detectar y prevenir amenazas, seremos realmente sabios. ¡Gracias, papá!

La sabiduría en lo que respecta a la investigación contra las amenazas no es necesariamente nueva. La Jerarquía del conocimiento ha sido un modelo en Ciencias de la Computación desde aproximadamente 1980. Lo nuevo es la capacidad de McAfee para proporcionar una introspectiva completa del panorama de las partes interesadas. McAfee tiene uno de los mayores lagos de datos de inteligencia sobre amenazas con más de mil millones de puntos de recolección una enorme capacidad de investigación avanzada de amenazas responsable de convertir los datos recopilados del lago de datos, las consultas de respuesta a incidentes y las investigaciones subterráneas en información y conocimiento procesables y una de las carteras de juegos de ciberseguridad más grandes que proporciona información sobre su base general de ciberseguridad. Esta posición única ha abierto el camino para la creación de MVISION Insights. MVISION Insights proporciona un contexto en el que tenemos el conocimiento de las campañas y los actores que potencialmente se dirigen a su vertical. Luego, puede alertarle cuando su configuración de command de seguridad existente no esté ajustada para prevenir tal amenaza. Luego le prescribe los cambios de configuración apropiados necesarios para ofrecer dicha protección.

MVISION Insights permite que una organización responda inmediatamente a la pregunta: «¿Estoy protegido?» Y, si no está protegido, prescribe para su entorno configuraciones apropiadas que lo defenderán contra los vectores de amenazas importantes para usted. Esta metodología de vincular los datos de amenazas con el contexto de la información de la campaña y el conocimiento de su configuración de control de seguridad permite a MVISION Insights ofrecer una perspectiva novedosa sobre la efectividad de su panorama de seguridad.

Cuando pienso en todas las investigaciones que me llevaron a la madriguera del conejo, me pregunto con qué habrían estado ocupados mis días si hubiera tenido tal capacidad. Ciertamente, hay un elemento de «diversión» en el descubrimiento. Me encantó la caza, pero creo que tener la capacidad de armarme rápidamente con el contexto y la comprensión de lo que estaba buscando y por qué estaba buscando habría acelerado esos momentos (lea horas o días). ¡Estoy emocionado de discutir y demostrar cómo McAfee united states of america MVISION Insights para convertir el conocimiento en sabiduría!

Para probar MVISION Insights, consulte la Vista previa de MVISION Insights de McAfee.





Enlace a la noticia authentic