Los cazadores de amenazas humanos son esenciales para frustrar los ataques de día cero



Los ataques de día cero que explotan vulnerabilidades de software sin parches experimentaron un crecimiento exponencial el año pasado. Según investigadores de ciberseguridad como el Proyecto de seguimiento de día ceroEn 2021 se registraron más de 80 exploits de día cero, frente a 36 en 2000. Ya hay 22 exploits de este tipo registrados para la primera mitad de 2022.

Tan pronto como se conoce una vulnerabilidad, los ciberdelincuentes se apresuran a explotarla antes de que el desarrollador de application pueda escribir, probar y lanzar un parche. Esa ventana puede ser de horas, pero es más probable que dure días o semanas. Por lo tanto, es importante que tenga cazadores de amenazas (humanos, no algoritmos de aprendizaje automático) que busquen proactivamente su infraestructura en busca de signos de un ataque exitoso.

El riesgo de ser víctima de un ataque de día cero es appreciable y las consecuencias reales. Un estudio del Ponemon Institute encontró que el 80 % de las filtraciones de datos exitosas se originaron con exploits de día cero. Las vulnerabilidades explotadas se encuentran en el software común de la empresa, incluidos Microsoft Windows y Business, Google Chrome, Adobe Reader, Apple iOS y Linux.

Con la vulnerabilidad basada en Java Apache Log4j de 2021, podemos agregar a la lista cientos de millones de dispositivos y una amplia gama de sitios net, servicios para consumidores y empresas, y aplicaciones.

El primer paso para proteger a cada organización es practicar una excelente higiene de TI: manténgase al día con los parches y la actualización de todo el software package. Es la medida de volver a lo básico que a muchas empresas les encanta pasar por alto o posponer. Por supuesto, puede llevar mucho tiempo y recursos probar e implementar parches de computer software, y el proceso puede interrumpir las operaciones comerciales. Pero es una protección crítica y mucho menos costosa que una violación de datos.

La invisibilidad de la novedad

Un perímetro fuerte y los controles perimetrales basados ​​en firmas, como el computer software antivirus y la prevención de intrusiones, no brindan una protección completa. Eso es porque solo pueden detectar amenazas conocidas. No ven las huellas de los ataques de día cero, cuando los ciberdelincuentes son los primeros en descubrir y explotar una vulnerabilidad de software. Es por eso que los kits de explotación de día cero tienen precios muy altos en el mercado negro, que van desde decenas de miles de dólares hasta millones. Funcionan así de bien.

Una vez que un ciberdelincuente ha utilizado un exploit de día cero para penetrar en una red sin ser visto, puede tomarse su tiempo y desplegar el arma de su elección, desde virus y gusanos hasta malware y ransomware y ejecución remota de código. Pueden moverse lateralmente en la purple, robar identidades y robar datos. Mientras no sepas que están ahí, es como entregar las llaves de las joyas de la corona.

El papel de la caza de amenazas

Es esa invisibilidad lo que hace que la búsqueda proactiva de amenazas sea un componente esencial del enfoque en capas de la seguridad. Ha sido posible en parte porque hemos sido inteligentes al usar el aprendizaje automático para liberar los escasos recursos humanos de seguridad cibernética al reducir la cantidad de alertas que necesitan intervención humana en un 90 %. Algunos en la industria han interpretado este éxito como que los algoritmos pueden eliminar a los humanos de la ecuación de seguridad, y que los algoritmos pueden hacer el trabajo por nosotros, incluida la búsqueda de amenazas.

El aprendizaje automático aporta ventajas significativas a la gestión de la ciberseguridad, pero nunca reemplazará por completo a los humanos en el centro de operaciones de seguridad. Las máquinas manejan tareas de gran volumen, como la eliminación de falsos positivos y repeticiones, extremadamente bien. El aprendizaje automático puede ayudarlo cuando busca amenazas conocidas, incluidas amenazas avanzadas y «bajas y lentas», donde sabe qué indicadores de compromiso (IoC) debe buscar.

Sin embargo, la inteligencia humana, la intuición, el pensamiento estratégico y la resolución creativa de problemas son esenciales en la búsqueda proactiva de amenazas de día cero donde se desconocen los IoC y el cazador está buscando las indicaciones sutiles de que otro ser humano está maliciosamente activo en su entorno.

Este enfoque es intensivo en investigación. El analista puede crear una hipótesis y luego validarla en función de los patrones observados o la actividad anómala en los registros de datos de seguridad y los registros de análisis de comportamiento de usuarios y entidades (UEBA). De acuerdo a CISAestos pueden incluir modificaciones de archivos fallidas, aumento de la actividad de la CPU, incapacidad para acceder a los archivos, comunicaciones de crimson inusuales, privilegios de administrador comprometidos, robo de credenciales, aumentos en los volúmenes de lectura de la base de datos y acceso geográfico irregular.

Las empresas pueden desarrollar habilidades de caza de amenazas internamente o adquirirlas como un servicio administrado. De cualquier manera, estos defensores humanos y su experiencia proactiva en la búsqueda de amenazas son las nuevas élites en la industria de la seguridad. Con el respaldo de datos de registro integrales, inteligencia de amenazas y herramientas como la foundation de conocimientos MITRE ATT&CK, los cazadores de amenazas humanos son esenciales para combatir los ataques de día cero, los ataques de múltiples etapas y los piratas informáticos maliciosos y lentos.



Enlace a la noticia initial