6 mejores prácticas para SecOps a raíz de la campaña de amenazas Sunburst


1. Los atacantes tienen un plan, con objetivos y resultados claros en mente. ¿Tienes uno?

Claramente este fue un adversario motivado y paciente. Pasaron muchos meses en la planificación y ejecución de un ataque que no period increíblemente sofisticado en sus tácticas, sino que utilizaba múltiples métodos de ataque semi-novedosos combinados con procesos persistentes, sigilosos y bien orquestados. En un mundo en el que siempre necesitamos encontrar formas de ir un paso por delante de los adversarios, ¿qué tan bien preparado está su SOC para brindar el mismo nivel de visibilidad y respuesta consistentes, metódicas y bien orquestadas cuando un adversario de este tipo llama a su puerta? ?

Planifique, pruebe y mejore continuamente sus procesos SecOps con ejercicios efectivos de formación de equipos púrpura. Intente pensar como un atacante sigiloso y prediga qué fuentes de telemetría serán necesarias para detectar el uso sospechoso de aplicaciones legítimas y soluciones de computer software confiables.

2. Los ataques modernos abusan de la confianza, no necesariamente de las vulnerabilidades. Serenfocado en amenazas. Realice un modelo de amenazas e identifique dónde están los riesgos. Aproveche los datos de BCP y piense en sus proveedores de identidad (controladores de dominio de Advertisement, Azure Advertisement, and so forth.) como «joyas de la corona».

Suponga que sus activos más críticos están bajo ataque, especialmente aquellos que aprovechan aplicaciones de terceros donde los privilegios elevados son un requisito para su funcionamiento eficaz. Otorgar privilegios administrativos sin restricciones a las cuentas de servicio parece una mala notion, porque lo es. Acceso con privilegios mínimos, microsegmentación y el filtrado del tráfico de entrada / salida debe implementarse en apoyo de un programa de Confianza Cero para aquellos activos específicamente que permiten el acceso externo por parte de un tercero «de confianza».

3. Los IOC son cada vez menos útiles porque los atacantes no los reutilizan, a veces incluso dentro de la misma víctima. Concéntrese en las TTP y los comportamientos.

El mundo de la investigación de amenazas ha ido más allá de los indicadores atómicos, los hashes de archivos y las listas de vigilancia de dominios y direcciones IP maliciosas en los que la mayoría de los proveedores de inteligencia de amenazas todavía dependen. Piense más allá de los indicadores de compromiso. Deberíamos confiar menos en listas estáticas de artefactos pero en lugar centrado en indicadores heurísticos y de comportamiento. El análisis de solo eventos puede identificar fácilmente el fruto más fácil de los patrones de ataque de productos básicos, pero los adversarios más sofisticados lo harán más difícil. Los servidores C2 efímeros y las entradas de DNS de un solo uso por activo (no la empresa de destino) fueron algunos de los comportamientos más bien planificados (aunque relativamente simples) observados en el ataque Sunburst. Monitor cuidadosamente para cambios en la configuración de activos como el registro de salida / ubicación o incluso la ausencia de nuevos mensajes de auditoría en un período de sondeo determinado.

4. Cuidado con la falacia del ataque perfecto. Los atacantes no pueden innovar en toda la cadena de ataques. Identifique los lugares donde tiene más posibilidades de detectar su presencia (es decir, escalada de privilegios, persistencia, descubrimiento, evasión de defensa, and so on.)

Toda la telemetría NO es igual. El análisis del comportamiento de los eventos de autenticación en apoyo de las detecciones de UEBA puede ser increíblemente efectivo, pero eso supone que los datos de identidad están disponibles en el flujo de eventos. Basado en mi experiencia, Los datos SIEM generalmente producen solo entre el 15 y el 20% de los eventos que incluyen datos de identidad útiles, mientras que casi el 85% de los eventos de acceso a la nube contienen estos datos contextuales ricos, un subproducto de la creciente adopción de IAM y las prácticas de SSO. Los eventos generados a partir de activos críticos (joyas de la corona) son de interés obvio para los analistas de SecOps tanto para la detección como para la investigación, pero no pierda de vista esos activos en la periferia tal vez un RDP caja de salto sentado en la DMZ que también sincroniza la confianza con los servidores Advertisement empresariales, ya sea en las instalaciones o en la nube. Encuentre formas de aislar activos con privilegios elevados o aquellos que ejecutan aplicaciones de terceros «confiables» mediante microsegmentación donde el análisis del comportamiento se puede realizar más fácilmente. Aprovechar el análisis volumétrico del tráfico de la crimson para identificar patrones potencialmente anormales supervisar las solicitudes entrantes y salientes (DNS, HTTP, FTP, and so on) para detectar cuándo se ha realizado una nueva sesión hacia / desde un origen / destino desconocido, o cuando la edad de registro del dominio de destino parece sospechosamente nueva. Aprenda cómo se ve «normal» a partir de estos activos mediante la referencia y las huellas digitales, de modo que la actividad inusual se pueda bloquear o, al menos, escalar a un analista para su revisión.

5. Diseñe sus defensas para obtener visibilidad, detección y respuesta para aumentar las capacidades de protección. Aproveche EDR, XDR y SIEM para la búsqueda de amenazas históricas y en tiempo serious.

La única forma de obtener información sobre los comportamientos de los atacantes, y cualquier posibilidad de detectar e interrumpir ataques de este estilo, requiere una extensa telemetría de una amplia gama de sensores. Las cuadrículas de sensores de punto ultimate brindan telemetría de alta fidelidad sobre todas las cosas en-dispositivo pero rara vez se implementan en los activos del servidor y tienden a ser «ciego a la red«. Los SIEM se han aprovechado tradicionalmente para consumir y correlacionar datos de todas las fuentes de datos de terceros, pero es probable que no tengan la capacidad (o escala) de consumir todos los eventos de endpoint / EDR, dejándolos en gran parte «ciego al punto last«. A medida que más activos y aplicaciones empresariales se trasladen a nube, Tenemos aún una tercera fuente de telemetría de alto valor que debe estar disponible para los analistas de SOC para su detección e investigación. La búsqueda de amenazas solo se puede realizar de manera efectiva cuando los profesionales de SecOps tienen acceso a una amplia gama de en tiempo true e histórico telemetría de una red de sensores diversa que abarca toda la empresa. Necesitan la capacidad de buscar comportamientos, no solo eventos o artefactos, en todo el espectro de activos y datos empresariales.

6. En el # de hoyciberdefensajuego se trata de TIME.

El tiempo puede ser la mejor ofensa de un atacante, a veces debido a la velocidad con la que pueden penetrar, reconocer, localizar y exfiltrar datos confidenciales, un proverbial saqueo de «aplastar y agarrar». Apenas sutil y rápidamente notado por el crimen tan obvious que es. Sin embargo, en el caso de Sunburst, el adversario utilizó el tiempo para su ventaja, esta vez realizando cambios minuciosamente pequeños y sutiles en el código de la cadena de suministro de program para convertir en arma una aplicación confiable, esperando que se implemente en un amplio espectro de empresas y agencias gubernamentales. , realizando un reconocimiento silencioso del activo afectado y los que lo rodean, y aprovechando las comunicaciones C2 bajas y lentas a través de un protocolo confiable como DNS. Cualquiera de estas actividades podría fácilmente ser pasada por alto incluso por el SOC más observador. Esto crea un ciclo de detección aún más largo, lo que permite a los atacantes potenciales un tiempo de permanencia más prolongado.

Este blog site es un resumen de la Conversación SOCwise el 25 de enero de 2020. ¡Esté atento al próximo!

Para obtener más información sobre Sunburst ataque, visite nuestros otros recursos sobre el tema:

Weblogs:

Artículo de la base de conocimientos de McAfee (Cobertura de producto)

Artículo de la base de conocimientos de McAfee (Insights Visibility)





Enlace a la noticia original