Separando o sinal do ruído

Tempo é dinheiro.
O tempo dos analistas é pouco e precioso.

Pessoas e máquinas são levadas ao limite no processamento de volumes imensos de dados. A média de tempo para a contenção de um comprometimento da segurança cibernética na maioria das empresas ainda varia entre seis horas e uma semana. Os analistas podem utilizar automação, parceria homem-máquina e outras análises avançadas, mas a questão passa a ser onde focar sua atenção.

Coloque-se no lugar de um analista de SOC trabalhando com resposta a incidentes. Teste suas habilidades no cenário a seguir para saber se você consegue selecionar os melhores indícios para investigação. Você também será cronometrado para determinarmos a rapidez de suas respostas.

Introdução

Situação

As credenciais dos usuários da rede corporativa foram roubadas em um hotspot de Wi-Fi “gratuito” e estão sendo utilizadas para acesso à rede protegida.

Resumo

Agora, uma organização criminosa detém as credenciais e deseja infiltrar a rede corporativa, causar danos, vazar dados e, enfim, prejudicar a reputação da empresa para reduzir o valor de suas ações.

O analista de segurança de nível I lida com vários alertas de segurança e nem sempre é óbvio qual deve ser examinado primeiro, o que dificulta a identificação de uma ameaça verdadeira. Veja a seguir um alerta que um analista típico pode encontrar no começo do dia.

Ponto de decisão

Qual seria o ponto de partida sugerido para investigações adicionais após um alarme ser recebido em um possível caso de credenciais de rede roubadas dentro desse dashboard de incidentes de segurança?

  • A. Total de eventos
  • B. Total de eventos correlacionados
  • C. Gravidade média - Eventos correlacionados
  • D. Distribuição dos eventos
  • E. IPs de origem
  • F. IPs de destino
  • G. Eventos

A resposta certa é "Average Severity – Correlated Events" (Gravidade média - Eventos correlacionados) porque você está procurando o que é considerado de maior risco. Todos os outros indicadores são irrelevantes.

Como etapa seguinte na investigação inicial após o alarme ser gerado, o analista de segurança identifica logons anormais, originários de diversas localizações geográficas, com a ajuda do McAfee Enterprise Security Manager, utilizando a visualização Suspicious Geo Login Events (Eventos de logon com localização geográfica suspeita). Enquanto isso, um caso é criado utilizando a integração com a solução ServiceNow Security Operations, para rastreamento da resolução desse incidente de segurança detectado.

Após a etapa inicial da investigação, parece que a conta de Jason Waters foi comprometida com três logons bem-sucedidos, originários de três países diferentes em um curto período de tempo.

O analista de segurança precisa investigar mais essas atividades suspeitas?

  • Sim, investigue
  • Não - É ruído

A resposta certa é "Sim" porque três logons em um curto período de tempo originários de três países diferentes é algo altamente suspeito.

Em seguida, ao se examinar o endereço IP da conta violada, parece que esta foi utilizada para executar um ataque de malware sem arquivo por meio de injeção de Microsoft Powershell para obtenção de acesso à rede protegida.

Ponto de decisão

Quais seriam as duas melhores ações subsequentes no contexto das tarefa de resposta a incidentes?

  • A. Desligar todos os endpoints da rede coporativa
  • B. Continuar a investigação com o objetivo de determinar se houve movimentação lateral e se algum arquivo de malware foi injetado na máquina da vítima pela injeção de PowerShell
  • C. Alterar as regras de entrada do firewall para fechar o acesso à rede corporativa pelo lado de fora
  • D. Criar uma regra de correlação que seja acionada quando uma nova conexão originária de todos os países registrados for estabelecida com êxito
  • E. Desativar o acesso da conta comprometida
0

Movimentação lateral é algo altamente suspeito em uma injeção de PowerShell. Obviamente, também é desejável desativar a conta comprometida

Como parte de uma investigação detalhada, o analista de segurança entra no McAfee Investigator para expor mais detalhes sobre processos e direcionalidade enquanto a investigação transcorre e para identificar qualquer movimentação lateral possível do ataque em andamento.

Se você ainda não assistiu o vídeo sobre como o McAfee Investigator estende a investigação, role para baixo até o botão “Assistir o vídeo”. Em seguida, prossiga para a próxima tela da investigação.

Como parte de uma investigação detalhada, o analista de segurança entra no McAfee Investigator para expor mais detalhes sobre processos e direcionalidade enquanto a investigação transcorre e para identificar qualquer movimentação lateral possível do ataque em andamento.

Ponto de decisão

Quais seriam as três ações recomendadas subsequentes no contexto de resposta a incidentes?

  • A. Adicionar esse novo alerta e quaisquer outros eventos de segurança relevantes ao incidente aberto em andamento
  • B. Determinar se o arquivo desconhecido é malicioso com base no valor de hash do arquivo
  • C. Determinar se o arquivo desconhecido é malicioso com base na deflagração do arquivo no McAfee Advanced Threat Defense
  • D. Alterar o hash do arquivo para evitar qualquer disseminação posterior, caso o resultado seja positivo
  • E. Verificar se algum outro arquivo desconhecido foi condenado no McAfee Advanced Threat Defense
0

Como você deseja continuar coletando telemetria sobre esse incidente, A é uma ação correta. Você também precisa determinar o comportamento do arquivo com o ATD, portanto, C também é correta. Além disso, você deve ser proativo e determinar se o ATD capturou um comportamento semelhante por parte de outros arquivos recentemente. Então, A, C e E são ações recomendadas

O analista de segurança entra no McAfee Advanced Threat Defense, onde o arquivo suspeito, implantado durante a injeção de PowerShell, é condenado e deflagrado.

O arquivo é identificado como malicioso durante a análise profunda em área restrita (sandbox).

Ponto de decisão

Quais ações seriam recomendáveis após essa etapa?

  • A. Incluir o arquivo de hash na lista negra do McAfee Enterprise Security Manager para detecção antecipada
  • B. Modificar as políticas padrão de proteção de acesso e prevenção de explorações em todos os endpoints corporativos para prevenir a execução não autorizada de PowerShell
  • C. Adicionar às listas de observação do McAfee Enterprise Security Manager os IPs de origem detectados durante a infiltração, para monitoramento adicional
  • D. Todas as ações acima
  • E. Nenhuma das ações acima

Incluir o arquivo de hash na lista negra, modificar as políticas de endpoint para impedir a execução não autorizada de PowerShell e adicionar os IPs de origem em listas de observação do SIEM são boas ações.

Modificar as políticas padrão de proteção de acesso e prevenção de explorações em todos os endpoints corporativos para prevenir a execução não autorizada de PowerShell utilizando o McAfee ePolicy Orchestrator em conjunto com o McAfee Endpoint Security.

Resultados

Parâmetros de avaliação

  • Tempo gasto na resolução:
  • Decisões precisas:

O 2017 Cost of Data Breach Study (Estudo sobre o custo de violações de dados em 2017) do Ponemon Institute identificou que o tempo médio para identificação (MTTI) de violações de dados maliciosas é de 214 dias e que o tempo médio para contenção (MTTC) de violações de dados é de 77 dias. Cada dia que uma violação passa em nosso ambiente sem ser detectada custa dinheiro. Quanto?

Por exemplo, US$ 1 milhão por violação de dados. Esse é o valor que o Ponemon Institute afirma que se economiza, em média, reduzindo-se o MTTI para menos de 100 dias e o MTTC para menos de 30 dias.

Além disso, algumas das estimativas da própria McAfee sobre a economia obtida com uma equipe de resposta a incidentes treinada e utilizando o McAfee Enterprise Security Manager, o McAfee Investigator, o McAfee Advanced Threat Defense, o McAfee ePolicy Orchestrator, o McAfee Active Response e o McAfee Dynamic Endpoint:

Valor do tempo poupado em investigações de incidentes:
US$ 44.000 por ano
Economia com a redução das paralisações de TI:
US$ 47.000 por ano
Redução do gerenciamento de pessoal para correlações de logs:
US$ 84.000 por ano
Poupança anual total:
US$ 175.000 por ano

*Os recursos e vantagens das tecnologias da McAfee dependem da configuração do sistema e podem exigir a ativação de hardware, software ou serviços. As demonstrações documentam o desempenho dos componentes em um determinado teste e em sistemas específicos. Diferenças de hardware, software ou configuração afetam o desempenho real. Ao considerar a sua compra, consulte outras fontes de informação para avaliar o desempenho. Os cenários de redução de custo e tempo aqui descritos servem como exemplos de como um determinado produto da McAfee, nas circunstâncias e configurações especificadas, pode afetar os custos futuros e proporcionar economias de custo e tempo. As circunstâncias e os resultados podem variar. A McAfee não garante qualquer redução de custos. Nenhum sistema de computador é absolutamente seguro.

Análise de gerenciamento de valor

  • Interessado em ver mais análises desse tipo aplicadas às suas circunstâncias operacionais específicas?
  • Informe seus detalhes de contato aqui para que um representante da McAfee entre em contato com você para preparar uma análise sob medida para sua organização, que você pode compartilhar e discutir com seus colegas.
Avançar
Sobre nós | Sala de notícias | Carreiras | Blog | Contate-nos | Avisos Legais

Copyright © McAfee, LLC