cyber endpoints bkg

SANS e Infocyte detallan un nuevo enfoque basado en DFIR para la caza de amenazas

Si un atacante tuviera un punto de apoyo en su red hoy, ¿lo sabría?

Ya sea que sus defensas hayan sido evadidas con éxito o que un analista haya malinterpretado una alerta crítica, lo más probable es que el atacante se haya atrincherado a largo plazo. El acto de buscar estas amenazas bien ocultas y persistentes se llama caza de amenazas.

La semana pasada, la experta forense Alissa Torres del SANS Institute y Chris Gerritz, cofundador de Infocyte, organizaron un seminario virtual sobre análisis forense del estado: Un nuevo enfoque para la caza de amenazas. En él, discutieron cómo adaptar las técnicas de análisis forense digital y respuesta a incidentes (DFIR) para detectar de forma escalable y proactiva amenazas desconocidas en toda la red de una empresa. Si te perdiste el seminario web, aquí tienes algunos puntos destacados.

En primer lugar, Alissa y Chris aclararon lo que quieren decir con"caza de amenazas", ya que se ha convertido en un término de moda que se utiliza para describir todo, desde EDR hasta Análisis de Conducta, y todo lo que se encuentra en medio:

Definición: La búsqueda de amenazas es el proceso de búsqueda proactiva e iterativa a través de las redes para detectar amenazas que han evitado los controles de seguridad existentes.

Objetivo: Reducir el tiempo de espera de los atacantes

Esto condujo a un debate sobre las dos mentalidades comunes cuando se trata de las operaciones de seguridad actuales:

1. Reactivo: Alerta > Investigación

  • El equipo de la Sec recibe una alerta IDS sobre: tráfico anómalo hacia/desde un host
  • El equipo de la Sección investiga y analiza que el anfitrión

2. Proactivo: Suponer incumplimiento > Cazar

  • El cazador busca a través de las fuentes de datos disponibles o encuesta directamente a cada anfitrión.
  • Hunter busca anomalías, malware o actividad de cuenta no autorizada

El consenso, dada su experiencia en la búsqueda de compromisos ocultos tanto en el ámbito empresarial como en el militar, fue que las organizaciones necesitan adoptar una postura proactiva para combatir las amenazas avanzadas y persistentes de hoy en día. Las últimas estadísticas de la industria apoyan esto. Por ejemplo, el mes pasado, The Black Report, un libro blanco que contiene tácticas específicas utilizadas por hackers, expertos en ciberseguridad y CISO y OSC para atacar y defender sistemas, encontró que las tácticas defensivas ampliamente utilizadas son poco fiables y que el 60% de los hackers son capaces de infiltrarse en los objetivos en un plazo de 12 horas. Un 81% adicional pudo identificar y extraer datos confidenciales en 24 horas. El informe también encontró que las organizaciones pueden tardar días, semanas o meses en detectar una intrusión discreta, citando un tiempo de respuesta promedio de 250 a 300 días.

El seminario en línea proporcionó una visión técnica detallada de los métodos de detección más comunes comprometimientoutilizados por los equipos de seguridad y respuesta a incidentes y ejemplos de cómo utilizarlos para el triaje, entre otros:

  • Escaneo antivirus
  • Anomalías de tráfico en la red
  • Escaneo de hosts con indicadores (IOCs)
  • Triaje de registros / Búsqueda histórica de eventos / Análisis de comportamiento
  • Recopilación y análisis de datos forenses empresariales (apilamiento)

También exploraron métodos prácticos para aplicar las técnicas DFIR (Enterprise Forensic Data Collection & Analysis/Stacking) a la caza de amenazas a escala empresarial utilizando una metodología denominada Forensic State Analysis (FSA). La FSA arma a los cazadores con una metodología eficaz y eficiente para cazar sin depender únicamente de una sofisticada infraestructura de seguridad, sensores o grandes datos. El webinar ofrece una amplia visión general de cómo las empresas pueden cazar a gran escala con la FSA, porque, como dijo Alissa:

"La detección de malware sigiloso e invasivo en un sistema es una
victoria en la BATALLA.
Desarrollar un método de detección empresarial es una victoria en WAR".

Vea el seminario en línea para obtener más información sobre los pros y los contras de cada enfoque de detección y sobre cómo mejorar la velocidad y la eficacia de un programa de caza empresarial utilizando FSA e Infocyte HUNT.

Publicado en ,