Separación de señal y ruido

El tiempo es dinero.
Y a los analistas no les sobra.

Personas y máquinas están al límite intentando asimilar enormes volúmenes de datos. El plazo medio para contener un ataque de ciberseguridad para la mayoría de las empresas aún va de 6 horas a una semana. Los analistas usan automatización, aprendizaje humano-automático y otros análisis avanzados, pero ¿en qué deben centrarse?

Póngase en el lugar de un analista de un SOC encargado de la respuesta a incidentes. Vea si en el caso siguiente es capaz de seleccionar los mejores indicios para la investigación. Se registrará cuánto tiempo tarda en responder.

Introducción

Situación

Se roban las credenciales de un usuario en un punto de acceso Wi-Fi gratuito y se usan para acceder a la red protegida.

Descripción

Ahora las credenciales están en poder de una organización delictiva que pretende infiltrarse en la red corporativa, causar daños, obtener datos y, en definitiva, empañar la reputación de la empresa para afectar a su cotización en bolsa.

El analista de seguridad de nivel I debe gestionar muchas alertas de seguridad y es posible que sea difícil decidir cuáles resolver primero e identificar cuáles son una amenaza real. A continuación se incluye una alerta que encontraría un analista típico al comenzar el día.

Decisiones

¿Cuál sería el punto de inicio recomendado para la investigación de una alarma sobre un posible caso de robo de credenciales de red, en este panel de incidentes de seguridad?

  • A. Total de eventos
  • B. Total de eventos correlacionados
  • C. Gravedad media - Eventos correlacionados
  • D. Distribución de eventos
  • E. Direcciones IP de origen
  • F. Direcciones IP de destino
  • G. Eventos

La respuesta correcta es "Average Severity – Correlated Events" (Gravedad media - Eventos correlacionados) porque está buscando lo que considera más peligroso. Los demás indicadores son irrelevantes.

En el siguiente paso en la investigación inicial después de que se cree la alarma, el analista de seguridad identifica los inicios de sesión anómalos desde varias geolocalizaciones con la ayuda de McAfee Enterprise Security Manager utilizando la vista Suspicious Geo Login Events (Eventos de inicio de sesión desde geolocalizaciones sospechosos). Mientras tanto, se crea una incidencia gracias a la integración con la solución ServiceNow Security Operations para el seguimiento de las resoluciones de este incidente de seguridad detectado.

Tras el paso inicial durante la investigación, parece que la cuenta de Jason Waters ha sufrido un ataque con 3 inicios de sesión desde distintos países en un breve espacio de tiempo.

¿Debe continuar investigando el analista de seguridad estas actividades sospechosas?

  • Sí, investigar
  • No, son irrelevantes

La respuesta correcta es "Sí", ya que tres inicios de sesión desde distintos países en un breve espacio de tiempo es algo sospechoso.

Tras examinar la dirección IP de la cuenta afectada, parece que se ha utilizado para ejecutar un ataque de malware sin archivos a través de inyección de Microsoft Powershell con el fin de conseguir acceso a la red protegida.

Decisiones

¿Cuáles serían las dos medidas más recomendables como parte de la respuesta al incidente?

  • A. Cerrar todos los endpoints de la red de la empresa.
  • B. Continuar la investigación para identificar la presencia de desplazamiento lateral y si se ha insertado algún archivo de malware en el equipo de la víctima mediante inyección de PowerShell.
  • C. Cambiar las reglas del cortafuegos entrantes para cerrar el acceso a la red corporativa desde el exterior.
  • D. Crear una regla de correlación que se active cuando se produzca una conexión desde un país registrado.
  • E. Desactivar el acceso de la cuenta afectada.
0

En ataques con inyección de PowerShell hay altas probabilidades de desplazamiento lateral. Por lo que, lógicamente, querrá desactivar la cuenta comprometida.

Como parte de la investigación detallada, el analista de seguridad recurre a McAfee Investigator para descubrir más detalles sobre procesos e instrucciones, e identificar cualquier posible desplazamiento lateral del ataque en curso.

Si aún no ha visto el video sobre cómo amplía la investigación McAfee Investigator, vaya al botón "Ver video" más adelante. A continuación, siga por la próxima pantalla de la investigación.

Como parte de la investigación detallada, el analista de seguridad recurre a McAfee Investigator para descubrir más detalles sobre procesos e instrucciones, e identificar cualquier posible desplazamiento lateral del ataque en curso.

Decisiones

¿Cuáles serían las tres siguientes medidas recomendables como parte de la respuesta al incidente?

  • A. Añadir esta nueva alerta y cualquier otro evento de seguridad relevante al incidente abierto que hay en curso.
  • B. Determinar si los archivos desconocidos son maliciosos en función de su valor hash.
  • C. Determinar si el archivo desconocido es malicioso según su detonación en McAfee Advanced Threat Defense.
  • D. Cambiar el hash del archivo para evitar su propagación en caso de que el resultado sea positivo.
  • E. Verificar si McAfee Advanced Threat Defense ha detectado otros archivos desconocidos.
0

Deberá continuar recopilando telemetría sobre este incidente, por lo que la respuesta A es la medida correcta. También debe determinar el comportamiento del archivo mediante ATD, por lo que C es también una respuesta correcta. Y debe ser proactivo y determinar si ATD ha captado un comportamiento similar en otros archivos últimamente. Por lo tanto, las respuestas A, C y E son acciones recomendadas.

El analista de seguridad utiliza ahora McAfee Advanced Threat Defense donde se ha detonado el archivo sospechoso que se implantó durante la inyección de PowerShell.

El archivo ha sido identificado como malicioso durante el análisis profundo en un entorno aislado.

Decisiones

¿Acciones recomendadas después de este paso?

  • A. Poner el archivo de hash en la lista negra en McAfee Enterprise Security Manager para agilizar su detección.
  • B. Modificar las directivas predeterminadas de protección de acceso y prevención de exploits en todos los endpoints de la empresa para prevenir la ejecución de PowerShell no autorizada.
  • C. Añadir las IP de origen detectadas durante la filtración a las listas de vigilancia de McAfee Enterprise Security Manager para tenerlas bajo supervisión
  • D. Todas las anteriores
  • E. Ninguna de las anteriores

Las medidas adecuadas son: poner el archivo de hash en la lista negra, modificar las directivas de endpoints para evitar la ejecución de PowerShell no autorizada y añadir las IP de origen a las listas de vigilancia de SIEM.

Modificar las directivas predeterminadas de protección de acceso y prevención de exploits en todos los endpoints de la empresa para prevenir la ejecución de PowerShell no autorizada utilizando McAfee ePolicy Orchestrator junto con McAfee Endpoint Security.

Resultados

Criterios empleados

  • Tiempo empleado en la solución:
  • Decisiones adecuadas:

El estudio de Ponemon de 2017, Cost of Data Breach Study (Estudio del costo de las fugas de datos), identificó que el tiempo medio hasta la identificación de fugas de datos maliciosos era de 214 días, y el tiempo medio hasta su contención era de 77 días. Cada día que pasa un incidente de fuga de datos sin detectar en su entorno cuesta dinero. ¿Cuánto?

¿Aproximadamente 1 millón de dólares por fuga de datos? Es lo que, según Ponemon, se ahorra al reducir el tiempo medio hasta la identificación (MTTI) a menos de 100 días y el tiempo medio hasta la contención (MTTC) a menos de 30 días.

Además, a continuación se incluyen otros cálculos realizados por McAfee sobre el ahorro que ofrece un equipo de respuesta ante incidentes con la formación adecuada, que utilice McAfee Enterprise Security Manager, McAfee Investigator, McAfee Advanced Threat Defense, McAfee ePolicy Orchestrator, McAfee Active Response y McAfee Dynamic Endpoint:

Valor del tiempo ahorrado en investigaciones de incidentes:
44 000 $USD al año
Ahorro por reducción de interrupciones de TI:
47 000 $USD al año
Reducción de personal encargado de correlaciones de registros:
84 000 $USD al año
Ahorro anual total:
175 000 $USD al año

*Las funciones y ventajas que ofrecen las tecnologías de McAfee dependen de la configuración del sistema y es posible que necesiten la activación de hardware, software o servicios. Las demostraciones documentan el rendimiento de los componentes en una prueba concreta, en sistemas específicos. Las diferencias en el hardware del sistema, el software o la configuración afectarán al rendimiento real. Consulte otras fuentes de información para evaluar el rendimiento si se plantea realizar la compra. Los casos de reducción de costos y tiempo que se describen son ejemplos de cómo un producto determinado de McAfee, en las circunstancias y configuraciones especificadas, puede afectar a costos futuros y ofrecer un ahorro de tiempo y dinero. Las circunstancias y los resultados variarán. McAfee no garantiza ninguna reducción de costos. Ningún sistema informático puede ser totalmente seguro.

Análisis de la gestión del valor

  • ¿Le interesa conocer este tipo de análisis aplicado a sus circunstancias operativas particulares?
  • Facilítenos la información de contacto y un representante de McAfee se pondrá en contacto con usted para preparar un análisis adaptado a su organización que pueda compartir con sus colegas.
Siguiente
Acerca de nosotros | Sala de redacción | Desarrollo profesional | Blog | Póngase en contacto con nosotros | Nota legal

Copyright © McAfee, LLC