comprometimientoevaluación del riesgo cibernético

Evaluaciones de comprometimiento  de seguridad cibernética frente a evaluaciones de vulnerabilidad

Evaluaciones de Seguridad (Riesgocomprometimiento) vs. Evaluaciones de Vulnerabilidad: ¿Cuál debería elegir primero?

Durante la reciente Conferencia Internacional sobre Seguridad e Inteligencia Cibernética, los ejecutivos de seguridad de la información -incluidos los CISO con amplia experiencia en defensa cibernética y los principales líderes en inteligencia de amenazas cibernéticas, respuesta a incidentes, búsqueda de amenazas y detección de puntos finales- dieron una conferencia sobre la importancia de ser proactivo frente a reactivo para detener los ataques cibernéticos.

Como parte de una estrategia de seguridad proactiva, el orador Nik Alleyne, director senior de ciberseguridad de Forsythe Solutions Group, recomendó evaluaciones de vulnerabilidad y pruebas de penetración regulares.

Aunque estas actividades del equipo rojo son herramientas importantes para evaluar la ciberseguridad y el riesgo general de TI, sólo responden a la mitad de la paradoja de la seguridad: "¿Puedo ser pirateado? No responden a la pregunta más vital, "¿Ya estoy pirateado?"

Con las crecientes regulaciones globales sobre la protección de datos en la empresa, desde GDPR en Europa hasta el nuevo marco NIST en los EE.UU., los administradores de seguridad de la información necesitan la capacidad de descubrir y abordar rápidamente las brechas de seguridad, las actividades maliciosas y los indicadores de (IOCscomprometimiento) ya presentes en sus entornos de TI.

Además, los analistas de seguridad deben ser capaces de validar rápidamente si su red y sus endpoints están libres de malware, actores de amenazas, APTs capaces de movimiento lateral y acceso no autorizado o remoto. Es precisamente por eso que la evaluación del riesgo de seguridad cibernética con una comprometimientoevaluación de seguridad es más importante que una exploración de vulnerabilidades, pruebas de penetración y/o análisis de tráfico de red.

¿Qué es una Evaluación de comprometimiento de Seguridad Cibernética?

Cualquier estrategia proactiva de seguridad cibernética debe incluir una evaluación de seguridad/riesgo de su ecosistema actual y el estado de su entorno de red. Los sofisticados actores de amenazas, las amenazas persistentes avanzadas y otros nuevos tipos de malware (por ejemplo, malware sin archivos y malware polimórfico) suelen residir en un entorno de TI durante meses, y a veces años, antes de ser detectados y reparados.

Como lo demuestra el creciente número de brechas de datos, las tecnologías existentes ya no son suficientes para evitar que las amenazas (y los actores de las amenazas) penetren en su perímetro. El informe de Hacker de 2017 Playbook™ Findings Report encontró que "los índices de éxito de las infiltraciones de malware superan el 60 por ciento, y la capacidad de moverse lateralmente con éxito hasta el 70 por ciento del tiempo".

Aunque las evaluaciones de vulnerabilidad y las pruebas de penetración buscan brechas de seguridad y vulnerabilidades, no detectan los compromisos existentes ni la actividad subyacente del atacante. Las empresas de hoy en día necesitan añadir comprometimientoevaluaciones a sus programas de seguridad para verificar proactivamente si una red ya ha sido violada y mitigar de forma más efectiva el riesgo, permitiendo una respuesta más rápida a los incidentes de seguridad y permitiendo a los administradores de la red actuar con rapidez y remediar los ataques cibernéticos casi en tiempo real.

Dado que una comprometimientoevaluación se centra en la identificación de compromisos previamente desconocidos, exitosos o en curso, las herramientas y técnicas utilizadas para realizar la evaluación deben ser capaces de identificar la actividad posterior a la infracción, el malware latente y oculto, el uso malicioso de las credenciales y el tráfico de Mando y Control (C2).

Esto difiere de las plataformas EDR tradicionales basadas en registros y de las soluciones de análisis de tráfico de red, que se centran en la detección temprana de ataques cibernéticos, vulnerabilidades y eventos de instalación de malware. Estas plataformas y técnicas intentan evitar que un ataque tenga éxito o atrape un ataque con la suficiente antelación como para reducir los daños (por ejemplo, la extracción de datos) durante una violación de datos.

Además de exponer las amenazas (riesgos, vulnerabilidades, atacantes, etc.) residentes en su entorno, una comprometimientoEvaluación de Infocitos incluye información procesable (por ejemplo, qué hacer con las amenazas encontradas y recomendaciones de respuesta para remediar las amenazas).

Evaluar su estado de comprometimiento

¿Cómo evalúa el estado comprometido de su entorno? Si bien hay un puñado de metodologías personalizadas para llevar a cabo comprometimientoevaluaciones de seguridad cibernética, éstas a menudo se combinan con compromisos de servicios de respuesta que utilizan principalmente procesos manuales para revisar los registros y análisis de los sistemas de seguridad y las plataformas de registro de eventos, y que a veces tardan meses en completarse y están repletas de ruido, a saber, falsos positivos y falsos negativos.

Lo que se necesita ahora (y en el futuro) es un enfoque que utilice el escaneo automatizado para acelerar el proceso de evaluación de su entorno en busca de amenazas cibernéticas maliciosas.

Infocyte ha encontrado que los análisis independientes de los puntos finales de su red usando una metodología llamada Análisis de Estado Forense (FSA) es el enfoque más efectivo. Un enfoque basado en la FSA le permite hacerlo:

  • Identificar todos los endpoints (hosts, sistemas, servidores y cargas de trabajo) dentro de su entorno de red.
  • Analice los endpoints en busca de aplicaciones instaladas e identifique las vulnerabilidades.
  • Exponga amenazas desconocidas, activas o inactivas, como malware, código sospechoso, secuencias de comandos, arranques automáticos, inyecciones de memoria, procesos, etc.
  • Revisar los datos de inteligencia sobre amenazas recopilados y los datos procesables para una reparación rápida y una respuesta más rápida a los incidentes de ciberseguridad.
  • Identificar rápidamente puntos de entrada, puntos de salida y análisis de causa raíz (RCA), lo que permite a los respondedores de incidentes fijar y aislar al paciente cero (el primer equipo, host o sistema infectado).
  • Completar de forma rentable una evaluación completa de la seguridad cibernética comprometimientoy de los riesgos en cuestión de días, no de meses (como la mayoría de las soluciones de CA).
  • Realizar comprometimientoevaluaciones con la frecuencia que sea necesaria: diaria, mensual, trimestral, anual, etc.

Un enfoque holístico de la seguridad de las redes, la seguridad de los endpoints y el estado general de las TI

Alleyne también habló de la importancia de la "caza de amenazas cibernéticas" para apoyar un enfoque de la seguridad proactiva. La caza de amenazas cibernéticas es similar a una comprometimientoevaluación, pero en lugar de simplemente exponer las amenazas, los cazadores de amenazas buscan aislar, contener, erradicar y ejecutar la certificación posterior al incidente (para verificar que las amenazas son efectivamente eliminadas). Esencialmente, la búsqueda de amenazas es la respuesta a incidentes de seguridad cibernética, sin el incidente.

Establecer el estado inicial comprometimientode su entorno de TI es un gran comienzo, pero las organizaciones necesitan incorporar la detección continua posterior a la violación (también conocida como detección de amenazas) en las operaciones de seguridad como una medida proactiva. Este enfoque permite a los equipos de seguridad y operaciones crear un proceso iterativo para detectar infecciones que las tecnologías defensivas (EDR, AV, etc.) a menudo pasan por alto, y mitigar los daños que pueden ser causados por compromisos persistentes ocultos.

Infocyte facilita a las organizaciones la incorporación de comprometimientoevaluaciones de seguridad y la búsqueda continua de ciberamenazas en una estrategia proactiva de gestión de información y riesgos de TI.

Utilizando nuestra metodología FSA, pendiente de patente, para escanear cada punto final de su entorno (estaciones de trabajo, servidores, cargas de trabajo y dispositivos), la encuesta Infocyte HUNT valida todo lo que se ejecuta en ellos, lo que se puede activar para que se ejecute (a través de un mecanismo de inicio automático o de persistencia), y analiza la memoria volátil de cada sistema para descubrir signos de manipulación o procesos ocultos. La capacidad única de Infocyte de completar estas inspecciones sin agente, lo que significa que no requiere que el software esté preinstalado en los sistemas que está explorando, y es completamente independiente de la infraestructura de seguridad existente en la red, por lo que sus resultados no están contaminados.

Conclusión

Nuestras redes siempre tendrán un grado de vulnerabilidad, ya que las organizaciones luchan por mantener a determinados atacantes fuera de sus redes, y los atacantes expertos pueden permanecer ocultos durante meses, a veces años, antes de ser descubiertos. A menos que pueda medir el estado actual de comprometimiento de su red, su perfil de riesgo de ciberseguridad está incompleto.

Aprenda más sobre el uso de Infocyte HUNT para realizar comprometimientoevaluaciones de manera objetiva, rápida y asequible.

Publicado en