in

El Pentágono se asocia con GreyNoise para investigar los escaneos de Internet



El Departamento de Defensa otorgó recientemente a GreyNoise Intelligence un contrato potencial de 5 años por $ 30 millones para ayudar a la agencia a identificar y comprender la actividad de exploración y ataque en Internet. El contrato amplía la colaboración de GreyNoise con la Unidad de Innovación de Defensa desde marzo.

Si considera que todas las máquinas de Internet están bombardeadas con solicitudes de red y otros tipos de actividad de comunicación, Internet es un lugar ruidoso. Sin embargo, solo una parte del tráfico se consideraría una parte legítima de una transacción o en respuesta a algún tipo de actividad de la aplicación. Eso no significa que el resto del tráfico sea malo, la mayoría es basura.

Los actores de amenazas pueden escanear Internet para averiguar qué puertos están abiertos o qué servicios podrían estar ejecutándose. O podría ser un escaneo de rutina realizado por una aplicación comercial. Juntas o maliciosas, las herramientas de seguridad las señalan para indicar eventos inusuales, lo que presenta a los analistas de seguridad la difícil tarea de filtrar los ataques dirigidos de las actividades de análisis que se consideran oportunistas o inofensivas.

Sepa cuales no son importantes

Aquí es donde brilla GreyNoise. La red de sensores basada en Internet de la empresa recopila datos de escaneo y analiza el origen para proporcionar a los analistas el contexto de los escaneos. Los investigadores de amenazas pueden buscar picos en el escaneo para detectar nuevos brotes de actividad de gusanos, o los atacantes pueden escanear los sistemas en busca de vulnerabilidades conocidas (y sin parchear). Los analistas de seguridad pueden filtrar con confianza la actividad irrelevante o inofensiva y concentrar sus energías en descubrir e investigar amenazas reales.

Ser capaz de identificar qué ignorar es uno de los casos de uso más comunes de GreyNoise, dice el fundador y CEO Andrew Morris. Una organización puede recibir una alerta de seguridad sobre una dirección IP desconocida que intenta comunicarse con un sistema de alta calidad. Dependiendo de la sensibilidad del sistema de destino, la advertencia se podría escalar para una mayor investigación y posibles medidas correctivas. Un analista puede buscar la dirección IP en GreyNoise y, si determina que se trata de un análisis oportunista en lugar de un ataque dirigido, el equipo puede degradar la prioridad de la alerta. Los investigadores pueden centrarse en otras amenazas más urgentes.

Muchos de los comportamientos anómalos que enfrentan las organizaciones son típicamente «aleatorios / oportunistas / sin rumbo y en Internet», dice Morris. «Si bien los ataques oportunistas pueden tener éxito y causar daños, esto es estadísticamente raro en redes reforzadas», dice.

GreyNoise es utilizado con fines de defensa por múltiples equipos y funciones en todo el Departamento de Defensa, dijo la compañía.

Menos advertencias, más ahorro de tiempo

Los analistas se enfrentan a cientos de alertas todos los días, y si dedican su tiempo a investigar alertas que no son importantes, este es el momento en que el analista pasa desapercibido o actúa en un ataque dirigido real.

GreyNoise afirma que los clientes reducen la carga de alarmas en un 25%; en muchos casos, la reducción puede ser de hasta un 38%, dice Morris.

Conocer la diferencia entre un ataque dirigido y un ataque oportunista les ahorra a los analistas mucho tiempo, especialmente en redes grandes, dice Morris. El tiempo real que se ahorra depende del volumen de notificaciones de la organización y la hora de cierre del ticket (o triaje). Para una pequeña empresa con un número relativamente pequeño de alertas, el ahorro de tiempo de un volumen de alerta reducido puede no parecer mucho, pero para una empresa más grande con un volumen de alerta mayor, el ahorro de tiempo es «masivo», dice Morris.

«Para un centro de operaciones de seguridad (SOC), es ideal que los analistas de seguridad sepan de qué preocuparse, ya que significa menos tiempo para procesar alertas que no son de amenazas y más tiempo para buscar actividades sospechosas», Dusty Miller, ingeniero de la empresa de seguridad Hurricane. Labs, escribió recientemente una publicación de blog sobre cómo la compañía está usando GreyNoise.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¡Compruebe su sitio administrado de WordPress! – Pura seguridad

El hack de GoDaddy revela cuentas de 1.2 millones de clientes