Incidentes Asociados
"Comúnmente se le conoce como sobrecarga de información. Un profesional de seguridad de la información lanza una amplia red con la esperanza de detener el malware antes de que penetre demasiado en la red, pero al igual que la luz de un sensor de movimiento, a veces la alerta atrapa a una ardilla en lugar de a un ladrón. .
Rob Kerr, director de tecnología de Haystax Technology, citó la brecha de 2013 en Target, como un ejemplo en el que los ladrones robaron unos 40 millones de tarjetas de crédito de Target al acceder a datos en los sistemas de punto de venta (POS). Target luego revisó ese número para incluir el robo de datos privados de 70 millones de clientes.
“Hubo muchos pasos en falso antes de que ocurriera la filtración, pero uno importante fue que Target no detectó las alertas internas; solo se enteró de la filtración cuando el Departamento de Justicia se puso en contacto con ellos”, dijo.
Kerr dijo que había dos problemas diferentes relacionados con el problema de la alerta: mientras el ataque estaba en curso, el software de monitoreo (FireEye) alertó al personal en Bangalore, India, quien a su vez notificó al personal de Target en Minneapolis. No se tomó ninguna medida porque estas alertas se incluyeron con muchas otras alertas probablemente falsas. Kerr recuerda que también parecía que al menos algunos de los sistemas de alerta de infiltración de red de la empresa se apagaron para reducir los falsos positivos.
Una encuesta realizada por FireEye encuestó a ejecutivos de seguridad de nivel C en grandes empresas de todo el mundo y encontró que el 37 por ciento de los encuestados recibe más de 10,000 alertas cada mes. De esas alertas, el 52 por ciento fueron falsos positivos y el 64 por ciento fueron alertas redundantes.
“Esto representa una gran carga para las empresas, ya que alrededor del 40 por ciento de ellas revisan manualmente cada alerta”, dijo Kerr.
En la mayoría de las empresas, varias soluciones de supervisión y detección analizan constantemente los datos de actividad de la red y del usuario en busca de anomalías que puedan indicar que se está produciendo un evento malicioso. Cada vez que el sistema recibe un golpe, se genera una alerta que generalmente requiere que un analista humano verifique que se trata de una amenaza de buena fe o que la aclare como no aplicable o demasiado menor.
El problema que esto crea es la sobrecarga de analistas, señala Kerr. “En otras palabras, el sistema no puede proporcionar suficiente contexto por adelantado para filtrar la anomalía antes de que genere una alerta, por lo que le corresponde al analista hacerlo manualmente. Este es un gran problema porque hay miles de datos sobre los inicios de sesión en la red, la actividad de la impresora y los registros de acceso al edificio. Por lo tanto, habrá una alerta cuando Bob, que generalmente trabaja de 9 a 5 todos los días, vuelva a ingresar a la oficina a las 7:30 una noche e imprima un archivo grande un domingo, accediendo a un servidor de archivos que normalmente está fuera de su alcance. .”
El Estudio comparativo de capacidades de seguridad de Cisco 2017 encontró que, debido a varias limitaciones, las organizaciones pueden investigar solo el 56 por ciento de las alertas de seguridad que reciben en un día determinado. La mitad de las alertas investigadas (28 por ciento) se consideran legítimas; menos de la mitad (46 por ciento) de las alertas legítimas se solucionan. Además, el 44 por ciento de los gerentes de operaciones de seguridad ven más de 5000 alertas de seguridad por día.
Kerr agregó que la combinación de filtrar actividades menores y resaltar los riesgos de mayor prioridad tiene el efecto neto de proporcionar suficiente contexto para disminuir drásticamente los falsos positivos y las cargas que imponen a los equipos de analistas con exceso de trabajo.
Uno de los puntos clave de un informe reciente de Rapid7 fue que reducir la fatiga de alerta siempre debe ser un objetivo, pero hay más. Una mejor relación señal-ruido significa que es más probable que los respondedores y los analistas vean tendencias significativas. Una tendencia es que los atacantes aún dependen en gran medida de la interacción del usuario. Por ejemplo, los lunes festivos, las alertas disminuyeron significativamente, lo que los analistas de Rapid7 atribuyeron a la falta de empleados que interactuaran con correos electrónicos maliciosos, archivos adjuntos, etc.
El informe de Rapid 7 también señala que si diseña indicadores basados solo en la información disponible actualmente, en lugar de buscar inteligencia adicional o agregar un contexto específico de la industria y la empresa, el resultado serán alertas de baja calidad. En otras palabras: si bien la mayoría de las alertas se activan a partir de actividades maliciosas conocidas, la calidad de estas alertas depende completamente de los indicadores establecidos.
A medida que todo el proceso cambia, esta es la forma de abordar el aprendizaje remoto, rápidamente
Rebekah Brown, líder de inteligencia en Rapid7, dijo que es difícil compilar una lista de alertas comunes que sean buenas para todos, todo el tiempo. “Incluso algunas que parecen opciones obvias, es decir, alertar sobre hashes asociados con ransomware, pueden no ser aplicables universalmente. Por ejemplo, si son hashes que encriptan sistemas basados en Windows, no serían relevantes en una organización que solo usa Mac”, dijo.
Agregó que un cliente necesita identificar qué amenazas son relevantes para él debido a los sistemas que usa, los datos que tiene y su perfil de amenaza. Por ejemplo, una empresa minorista que se ocupa de las ventas en línea y en la tienda querría alertar sobre:
Amenazas a su plataforma de comercio electrónico, que pueden provenir de una fuente de amenazas que recopila datos sobre la fuerza bruta y otros ataques contra esa plataforma específica.
Amenazas a los sistemas POS
Amenazas reportadas por un grupo de intercambio de información específico de la industria, como el R-CISC
Amenazas generales para los sistemas Windows, incluidos ransomware, robo de credenciales o malware
Alertas personalizadas basadas en cosas que han visto en su entorno antes.
Brown dijo que hay tres fuentes principales para las detecciones: fuentes de amenazas (principalmente de trampas y sensores de red), informes de amenazas (principalmente de investigaciones de IR o iniciativas de investigación) y detecciones internas (de incidentes anteriores).
Las listas básicas que a Brown le gusta usar incluyen el intercambio de amenazas de Facebook, Openbl_1d (lista de bloqueo abierta 1 día), Ransomware_feed de Abuse.ch y la lista negra de SSL de Abuse.ch.
Errores comunes
Kerr compartió errores comunes de análisis de seguridad que desencadenan falsos positivos. Son los siguientes:
-
Más alertas de las que puede procesar. Los sistemas de análisis de seguridad presentan un desafío para las organizaciones de seguridad. Pueden alertar sobre casi cualquier evento, y la mayoría de las veces esas alertas son para eventos benignos. La respuesta natural es apagar a los delincuentes más ruidosos. Apague demasiados y puede perderse eventos que son importantes. Las buenas herramientas de análisis de seguridad utilizan el contexto para brindarle lo mejor de ambos mundos: menos alertas y de mayor calidad.
-
Alertar solo por cosas que están sucediendo en este momento. Los sistemas de análisis de seguridad suelen estar configurados para alertar cuando algo obviamente malicioso está ocurriendo. Pero esperar hasta que vea actividad maliciosa pone a su equipo de seguridad en modo de respuesta incluso antes de que comience. Las buenas herramientas de análisis de seguridad son como focos y le permiten ver el comportamiento negativo antes de que comience para que pueda tomar medidas proactivas para detenerlo.
-
Solo mirar datos de red. Los sistemas de análisis de seguridad a menudo están configurados para ver solo datos de red. Estos datos están fácilmente disponibles y conectarlos a su sistema generalmente es sencillo. Sin embargo, muchos eventos de red potencialmente maliciosos son probablemente eventos benignos que activaron su sistema de análisis de seguridad. La información adicional es esencial para borrar las alertas y su equipo de seguridad dedica su tiempo a recopilar datos para borrar las alertas. Las buenas herramientas de análisis de seguridad se integran con otras fuentes de datos internas y externas para eliminar alertas engañosas basadas en el contexto.
-
No priorizar las alertas. El tiempo es nuestro bien más preciado. Los sistemas de análisis de seguridad que no priorizan las alertas de manera efectiva desperdician el tiempo de su equipo al pedirles que eliminen las alertas de bajo valor cuando las alertas muy importantes permanecen al final de su cola. Los buenos sistemas de análisis de seguridad llevan a su equipo a los eventos que más necesitan atención a través de una fuerte priorización.
-
Alertas sin contexto. Cuando su equipo de seguridad procesa una alerta, lo primero que hará es buscar información adicional que proporcione el contexto que necesita para borrarla. Usarán una variedad de herramientas dentro y fuera de la red para evaluar la alerta y tomar la acción apropiada. Las buenas herramientas de análisis de seguridad ayudarán a ese flujo de trabajo al integrarse con otras fuentes de datos internas y externas para minimizar las alertas falsas y priorizar las alertas reales de manera más efectiva.
Configurar buenas alertas
Brown dijo que las empresas deben buscar informes que sean específicos de su industria, sector o región geográfica. Los informes son mejores en esto que los feeds. Aquí hay algunos que ella recomienda.
Los informes de US-CERT generalmente contienen al menos alguna información contextual, junto con indicadores basados en la red que se pueden usar para generar detecciones para el tráfico de la red (principalmente nodos c2; si ve esto, entonces ya tiene malware en su sistema), así como host detecciones basadas en malware, que suelen ser hashes de malware o nombres de archivo. Estos pueden ser bloqueados o monitoreados. Si están bloqueados, aún debe tener una forma de verificar esas alertas, es importante ver quién ha intentado atacarlo.
Los informes del DHS/FBI y otros .gov a menudo no son tan oportunos como cabría esperar, pero si el gobierno se está tomando el tiempo para publicar algo, vale la pena leerlo. Busque el momento en que se produjo el ataque o los datos. La mayoría de las veces, con estos informes, es bueno mirar hacia atrás en el tiempo en busca de indicadores en lugar de configurar alertas. Para cuando el gobierno haya lanzado algo, es probable que los atacantes hayan cambiado la infraestructura o hayan pasado a una nueva evolución de muestras de malware.
Los informes de amenazas comerciales a menudo son más oportunos que los informes gubernamentales, aunque también suelen llegar al final de una investigación, por lo que puede no valer la pena configurar alertas en busca de actividad futura, especialmente cuando se trata de indicadores basados en la red como IP. direcciones y dominios que a menudo no están activos por mucho tiempo. En su lugar, busque actividades o comportamientos del atacante para crear detecciones; por ejemplo, ¿un atacante usó un correo electrónico de phishing para que un atacante descargara un archivo, que luego lanzó un ejecutable (como vimos con la explotación reciente de CVE-2017-1099 )? En ese caso, bloquear o alertar sobre ejecutables lanzados desde documentos de Word sería una buena detección. Cuanto más pueda una detección buscar el comportamiento de un atacante en lugar de solo un indicador discreto asociado con una pieza de malware, más efectiva será esa detección.
Los blogs de investigadores son algunas de las mejores fuentes de inteligencia sobre amenazas. Por lo general, son oportunos y tienen buena información técnica, aunque no siempre brindan detalles de mayor nivel, como a qué industrias se dirigen o cuál sería el impacto de un ataque. Aún así, son algunos de los mejores lugares para obtener información sobre cómo se llevan a cabo los ataques.
“Cuando construyo detecciones a partir de blogs, busco sobre qué se puede alertar (IP, dominios, hash o comportamientos, como dónde se ejecuta una muestra de malware), el momento y con qué está relacionada la amenaza. Cuando tienes estas piezas, puedes entender cuál es la amenaza y qué hacer si ves algo alerta”, dijo Brown.
El informe de amenazas de Rapid 7 también encontró que los ataques aumentan en volumen durante las horas de la tarde y la noche. Esto puede correlacionarse con el momento en que la mayoría de los usuarios están activos, pero independientemente, los analistas deben conocer las horas del día en que se genera el mayor volumen de amenazas.
El informe también mostró que la mayoría de las alertas provienen de mala actividad conocida, como múltiples inicios de sesión simultáneos o malware. Sin embargo, los datos mostraron un gran aumento en las alertas personalizadas relevantes solo para algunas organizaciones. Esto puede ser útil para rastrear nuevas amenazas, pero también puede ser engañoso. Cuando hay grandes volúmenes de alertas generadas a partir de una sola regla en un período de tiempo corto, significa que tiene un gran problema con su red o que tiene un gran problema con la alerta personalizada.
Rapid 7 dijo que los atacantes siempre serán más rápidos, pero comprender el panorama de amenazas contribuirá en gran medida a acortar el tiempo para responder y remediar problemas críticos. La clave es saber cuándo debe actuar con rapidez y cuándo ceñirse a un plan de remediación lento y constante (y confiable).