in

Una estrategia de seguridad adaptativa es fundamental para detener los ataques avanzados.



Los centros de operaciones de seguridad (SOC) enfrentan amenazas que pueden evolucionar rápidamente desde un práctico ataque de teclado hasta un ataque de ransomware destructivo y a gran escala o incluso un ataque complejo de estado-nación. Es probable que la corrección actual de triaje y advertencias falle en tales situaciones.

Si bien las alertas son un buen punto de partida para la investigación, no ayudan a los defensores a resolver de manera eficiente la gravedad, el impacto y la propagación de un ataque. Los equipos de seguridad deben alejarse de las colas de alertas aisladas y dirigirse a incidentes que permitan manejar ataques completos de un extremo a otro.

Pasar de un sistema de resolución y clasificación basado en alarmas a uno que se base en la resolución integral de incidentes puede tener enormes beneficios, tales como: Enfoque de defensa en profundidad:

  • Una vista de incidentes permite a los analistas ver instantáneamente el panorama general y comprender la gravedad y el alcance del ataque, lo que ayuda a los SOC a priorizar los incidentes críticos y desarrollar un curso de acción informado. También reduce significativamente los elementos de trabajo en la cola del analista.
  • Las correlaciones le aseguran que la actividad es maliciosa, lo que agiliza y facilita la detección de incidentes. Descubrir que cualquier actividad en el incidente es maliciosa agrega una carga a todo el incidente, lo que ayuda a prevenir falsos positivos.
  • Los incidentes permiten a los analistas identificar «huecos» en la cadena de eliminación y llenarlos de manera contextual al mapear las advertencias de incidentes con técnicas y tácticas en la base de conocimiento de MITRE ATT & CK. Por ejemplo, si vemos acceso inicial y actividad de movimiento de página en un incidente, podemos usar esto para encontrar persistencia, mecanismos de comando y control, y tácticas de robo de credenciales que no eran lo suficientemente obvias como para activar alertas. Podemos revertir automáticamente la ruta de ejecución para encontrar el punto de entrada inicial y seguir caminando para descubrir el alcance total del ataque, lo que es crucial para decidir cómo contener la amenaza, desalojar al atacante y reparar el daño a los activos.
  • Dado que respondemos a incidentes y no a advertencias individuales, los libros de jugadas de SOC también pueden orientarse a incidentes completos. Esto elimina la necesidad de «perseguir» alertas individuales para obtener instrucciones y permite una guía continua de alto nivel que no cambia con cada nuevo tipo de alerta. Ahora que se ha determinado el impacto del incidente, los libros de jugadas pueden identificar, priorizar y orquestar claramente los pasos de contención para eliminar por completo al atacante en un solo paso.
  • Finalmente, el modelo de incidentes recopila todos los activos afectados en un depósito común para que la reparación se pueda llevar a cabo en su totalidad.

El SOC debe adaptar y escalar sus procesos a medida que evoluciona la protección contra amenazas. Realice cuatro acciones inmediatas para comenzar este viaje.

1. Cambie la clasificación de alertas a incidentes
Independientemente de si su SOC está utilizando un producto de seguridad SIEM o XDR para la clasificación inicial, asegúrese de que pueda mostrar incidentes correlacionados significativos además de advertencias. Priorice su cola de incidentes en función de parámetros que sean importantes para usted, como el riesgo potencial de esta amenaza, el alcance de las técnicas y el progreso de la cadena de eliminación, y la criticidad de los activos en cuestión.

Asigne sus guías de SOC a categorías de incidentes como phishing, ransomware y adware. Para cada categoría de incidente, defina lo que debe hacer el analista de SOC para identificar rápidamente si el incidente es una amenaza real o una falsa alarma y detener el progreso de inmediato.

Proporcione orientación para investigar alertas de incidentes individuales según la fase o la técnica. Asegúrese de que toda la actividad del atacante y los activos afectados en el incidente se descubran y registren; esto constituye la base del plan de resolución de incidentes.

Finalmente, después de observar todo el incidente, incluidos todos los activos y pruebas afectados, solicite acciones correctivas en todos los activos afectados para que pasen a un estado operativo limpio.

2. Automatizar
La asignación estructurada y permanente de los libros de jugadas de SOC a los incidentes permite la automatización coordinada de procesos. Algunas categorías de incidentes pueden manejarse de forma totalmente automática y resolverse de un extremo a otro sin la atención del SOC. Para otros, algunas partes se pueden automatizar (p. Ej., Clasificación inicial, remediación masiva) mientras que otras que requieren conocimientos especializados siguen siendo manuales (p. Ej., Investigación). La automatización debe usar el gráfico de eventos para determinar dónde y cómo se puede ayudar a los analistas, ahorrando trabajo manual repetitivo y permitiendo que el SOC se concentre en los incidentes más complejos y riesgosos.

3. Trae al equipo
Tómese el tiempo para explicar los beneficios de trabajar con incidentes correlacionados y cómo este enfoque está cambiando el juego para los defensores. Explore el marco MITRE ATT & CK y utilícelo para estructurar su guía de libro de jugadas de incidentes de SOC para que sea escalable y duradera. Si una nueva alerta detecta exfiltración y se le asigna la táctica o técnica apropiada, se aplica la guía existente y no hay necesidad de incorporar alertas especiales o nueva guía.

Registre las acciones tomadas en incidentes anteriores, integradas en sus herramientas de seguridad, y use estos datos para ayudar a los analistas a lidiar mejor con los nuevos incidentes y alinear los procesos a lo largo del tiempo. La extensión de estos conocimientos a la colaboración de la industria puede tener enormes beneficios para la empresa y la comunidad de seguridad en su conjunto.

4. Pruébelo antes de comprar
Busque un producto de seguridad que permita a su empresa hacer la transición a incidentes y respaldar el desarrollo de este proceso SOC. Debe implementar una correlación automática de alertas de incidentes, priorización, categorización de incidentes y la capacidad de mapear sus libros de jugadas de SOC con las tácticas y técnicas de MITRE ATT & CK a nivel de incidentes y alertas.

No se olvide de la personalización: cada organización tiene preferencias y procesos específicos. Encuentre productos que incorporen recomendaciones de acción basadas en el historial de incidentes dentro de la empresa y en toda la industria.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Parchear los más críticos, pasados ​​por alto y más difíciles

AV-Comparatives revela los resultados de las pruebas a largo plazo de 19 soluciones líderes en seguridad para endpoints