CISA desarrolla herramientas defensivas para equipos de seguridad



¿Necesita una herramienta para buscar ataques en su purple? La agencia DHS refuerza las ofertas en su caja de herramientas de código abierto.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Continúa ampliando su cartera de herramientas de seguridad de código abierto y scripts de administración en su biblioteca de código abierto en línea.

En el último lanzamiento de software package, la agencia lanzó una herramienta, el Programa de respuesta a incidentes y búsqueda de CISA (CHIRP), que ayuda en la recopilación de evidencia forense e indicadores de compromiso (IoC) de los sistemas locales. El programa inicialmente puede detectar IoC conocidos asociados con el compromiso de SolarWinds Orion descubierto en diciembre de 2020. El lanzamiento de la herramienta se develop tres meses después de que la agencia lanzara una herramienta similar, Sparrow, para recopilar datos forenses de sistemas en la nube.

Si bien muchas organizaciones tienen los recursos para crear y mantener su propio conjunto de herramientas y scripts internos, las herramientas CISA podrían satisfacer una demanda de empresas más pequeñas y equipos de seguridad que desean verificar que no han pasado por alto un compromiso, dice Tim Conway, líder del program de estudios de sistemas de handle industrial en el Instituto SANS.

«Donde estas herramientas pueden ser útiles es para aquellas organizaciones que no tienen acceso a recursos internos o herramientas comerciales y gastarían bastante dinero en consultores o productos para los que no presupuestaron», dice.

En standard, CISA ha publicado más de una docena de herramientas y cientos de scripts que sus administradores y equipos de seguridad utilizan con frecuencia. Además de Sparrow y CHIRP, la agencia federal ha lanzado una herramienta de análisis de tráfico de red llamada Malcolm, una herramienta de escaneo de dominios para detectar problemas con HTTPS y una utilidad para escanear dominios para cumplir con las mejores prácticas de correo electrónico. Una lista ordenada por popularidad de las herramientas. se puede encontrar en Github.

CHIRRIDO está escrito en Python para Windows. Inicialmente, el valor predeterminado es centrarse en los IOC asociados con la violación de SolarWinds Orion, como el malware conocido como Teardrop y Raindrop que carga un implante de baliza de Cobalt Strike, una plataforma de prueba de penetración legítima que se ha vuelto cada vez más common entre los atacantes. El programa también identifica scripts de exfiltración de credenciales, algunas técnicas utilizadas por el malware para persistir en entornos y una variedad de técnicas de enumeración y movimiento lateral.

«Las aplicaciones proporcionadas como CHIRP pueden ser excelentes recursos para organizaciones más pequeñas que aún no tienen acceso a herramientas comerciales o de código abierto similares o los recursos disponibles para personalizar y aprovechar las herramientas existentes», dice. «Desde una perspectiva de aprendizaje, es importante proporcionar información sobre qué recursos están disponibles para los profesionales de la seguridad y la experiencia práctica de laboratorio sobre cómo usarlos».

Por supuesto, los atacantes a menudo adoptan las herramientas de los investigadores de ciberseguridad y los equipos de seguridad como una forma de facilitar el desarrollo y esconderse entre la actividad legítima, y ​​estas herramientas probablemente hayan sido analizadas por atacantes sofisticados y estatales. Técnicas como «vivir de la tierra», donde los atacantes utilizan herramientas de administración, se han vuelto extremadamente populares.

Los defensores a menudo filtran mucha información, como requisitos de manage de seguridad e información de infraestructura. Ahora los atacantes podrán recopilar más información sobre las herramientas que utilizan los defensores para proteger sus redes.

«He escuchado referencias a lo largo de mi carrera de que estamos en una partida de ajedrez con adversarios, y si lo estamos, parece una de las partidas de ajedrez más extrañas que se juegan», dice Conway. «Los defensores están proporcionando una visibilidad clara de todas nuestras piezas y de dónde estamos en el tablero … mientras tanto, solo podemos descubrir dónde están algunas de las piezas adversarias en el tablero después de que hayan estado allí durante unos meses o años. Creo que debemos tomar algunas medidas para ayudar a que el juego sea un poco más equilibrado «.

Si bien la franqueza de CISA es encomiable, a Conway le preocupa que la agencia esté exponiendo información valiosa sobre las herramientas y técnicas de los defensores. Llegar a las empresas a través de centros de análisis e intercambio de información (ISAC) u otras organizaciones relacionadas con el sector puede mitigar parte del riesgo, dice.

«Sería bueno dedicar un tiempo a pensar en cómo falla esto, antes de que suceda, y comenzar asumiendo que estos recursos podrían tener un efecto adverso en un sistema en certain», dice, «y asumiendo que los adversarios apuntarían a los repositorios de herramientas o ejecutarían campañas de ataque contra organizaciones de infraestructura crítica que estén interesadas en obtener las herramientas «.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Looking at, MIT&#39s Technologies Assessment, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial