Secretos de un analista de seguridad: Garantizar una cobertura 24/7

Cuando trabajo en Sophos Rapid Response, nuestro servicio de respuesta a incidentes, desgraciadamente es muy común que me encuentre con equipos de TI que intentan reconstruir su red tras un ciberataque.  Al hablar con estos administradores, a menudo resulta que, aunque tenían un software de seguridad instalado, o bien se había cometido un error de configuración que permitió al atacante entrar en la red, o bien se pasó por alto un indicador de compromiso que podría haber alertado al equipo de la posible brecha antes de que se llevara a cabo el ataque.

Cualquier atacante que haya tratado de penetrar en tu red probablemente disponga de buenas herramientas, esté bien financiado y sea muy versado en el arte de la penetración de redes y sistemas. A menudo vemos que los atacantes han invertido una cantidad significativa de tiempo:

  • Investigando su objetivo
  • Realizando un reconocimiento tanto dentro como fuera de la red
  • Identificando los dispositivos (o incluso las personas) que pueden ser el objetivo
  • Llevando a cabo campañas de ingeniería social contra esos objetivos para obtener información adicional, como nombres de usuario y credenciales que les permitan profundizar en la red

En la mayoría de las violaciones que investigamos, podemos identificar que los atacantes estuvieron en la red durante un tiempo significativo antes del ciberincidente por las huellas que dejan. Este “tiempo de permanencia” puede ser de días, semanas o incluso meses, lo que permite al atacante incrustarse completamente en tu red antes de lanzar el ataque que tenga en mente. Podría ser un ataque de ransomware o un despliegue masivo de software de minería de criptomonedas.

Sin embargo, en la mayoría de los casos, habrá algún indicio de que estaban activos en tu red un tiempo significativo antes del propio incidente. Debido a la extrema presión a la que están sometidos los administradores de TI y los equipos de seguridad, es fácil entender cómo se pasan por alto estas señales o cómo el sistema no estaba configurado correctamente para protegerse y alertar de estas amenazas.

Para mitigar este riesgo, es necesario contar con una solución de seguridad de varias capas que se supervise y gestione adecuadamente. A saber:

  1. Un producto de seguridad para endpoints de última generación con todas las funciones y que ofrezca varias capas de protección diferentes
  2. Una sólida plataforma de gestión para el producto de seguridad protegido por contramedidas como la autenticación multifactorial (MFA)
  3. Un equipo que pueda supervisar eficazmente la infraestructura de seguridad y llevar a cabo una caza de amenazas proactiva y reactiva las 24 horas del día, los 7 días de la semana, todos los días del año, porque, como señalan el FBI y CISA, la mayoría de los ataques se producen cuando los atacantes saben que los equipos de TI y de seguridad probablemente no están supervisando sus entornos, por ejemplo, los fines de semana y los días festivos (2)
  4. El conocimiento dentro de ese equipo para tomar las decisiones correctas rápidamente cuando se trata de analizar las amenazas y responder a los incidentes identificados en su red

Mientras que los puntos uno y dos son fáciles de conseguir, puede haber dificultades para cumplir el tercer y cuarto requisito. En los últimos años hemos asistido a un aumento masivo de la carga de trabajo de los equipos de seguridad. Los equipos de TI experimentaron un aumento del 63% en la carga de trabajo no relacionada con la seguridad y un aumento del 69% en la carga de trabajo de ciberseguridad durante el último año [1]. Esto repercute en el funcionamiento cotidiano de un equipo de TI, ya que el 61% ha informado de un aumento de los tiempos de respuesta a los casos de TI. Los equipos de TI, sobrecargados, a menudo tienen que hacer malabares con la creciente carga de trabajo de seguridad mientras mantienen la red segura.

Además, existe una enorme escasez de competencias en el sector de las TI. El 54% de los administradores de TI creen que, incluso con todas las herramientas a su disposición, los ciberataques son ahora demasiado avanzados para que su equipo de TI pueda hacerles frente por sí solos [1].  Por lo tanto, incluso si tu organización tiene el presupuesto para invertir en tu equipo de seguridad, cubrir esos puestos puede ser difícil. Una vez que te das cuenta de que necesitas emplear a seis personas como mínimo para dar cobertura las 24 horas del día, el reto se multiplica.

Por eso, los servicios de detección y respuesta gestionada (MDR), como Sophos Managed Threat Response (Sophos MTR), que proporcionan cobertura 24/7/365 para tu entorno, son soluciones ideales para muchas organizaciones. A la hora de seleccionar un servicio MDR para ampliar tu equipo, hay que tener en cuenta algunas cuestiones esenciales:

  • ¿Qué nivel de soporte proporciona el equipo? ¿Neutralizarán las amenazas por nosotros? ¿O nos informan sobre ellas?
  • ¿En qué consiste su remediación? ¿Se limitan a aislar el dispositivo para asegurarse de que el atacante no pueda moverse lateralmente por tu propiedad, o expulsan completamente al adversario?
  • ¿Cómo de experto es el equipo de caza de amenazas, neutralización y respuesta a incidentes?

Veamos cuál es la situación de Sophos en estas áreas.

Nivel de soporte

Sophos MTR trabaja con y junto a tu equipo de TI, integrándose y ampliando tu organización. Ofrecemos una gama de modos de respuesta para que puedas elegir cómo quieres trabajar con nosotros:

  • Notificar
    • El equipo de Sophos MTR informará de cualquier comportamiento preocupante y orientará sobre cómo remediarlo
  • Colaborar
    • El equipo de Sophos MTR se pondrá en contacto y trabajará con tu equipo para compartir la carga de remediar el comportamiento o la amenaza
  • Autorizar
    • El equipo de Sophos MTR reparará y neutralizará activamente las amenazas en tu entorno por ti
    • Informaremos a posteriori de las acciones realizadas
    • Si hay un incidente de seguridad crítico o un atacante activo en tu red, nos pondremos en contacto los contactos designados para informarles de que se está produciendo un incidente prioritario
  • Colaborar con la opción de Autorizar
    • Nos permite pasar al modo “Autorizar” si no hay respuesta a nuestras comunicaciones iniciales sobre un incidente o amenaza

Calidad de la remediación

Sophos cambia el paradigma con el nivel de acción que podemos (y vamos a) tomar para garantizar que tus sistemas sean seguros. Las herramientas a nuestro alcance incluyen

Acciones Descripción
Cambiar configuraciones Ajustar las configuraciones para gestionar una amenaza activa. No se limita a ajustar las políticas de amenazas, habilitar las funciones de protección de Sophos en dispositivos no protegidos, ajustar las exclusiones, etc.
Aislar Hosts Limitar la exposición que podría tener un activo comprometido
Bloquear archivos Bloquear archivos por hash dentro de un entorno para prohibir la ejecución de contenido malicioso
Ejecutar escaneo Iniciar el escaneo del sistema
Bloquear sitios web/IP/CIDR Bloquear un sitio web o una dirección IP específica a través del control web
Bloquear aplicaciones Bloquear una aplicación específica a través del control de la aplicación
Usar Live Terminal Si otras acciones de respuesta no son efectivas, el uso de Live Terminal puede darnos acceso directo al host.
SophosLabs El equipo de Sophos MTR tiene una línea directa con SophosLabs para recopilar los datos más actualizados sobre una amenaza concreta.

 

Quiero dedicar un momento a sumergirme en Live Terminal. Cuando nos enfrentamos a un atacante activo con acceso por teclado a nuestra red, a menudo la única forma de neutralizar y eliminar activamente a ese atacante de nuestra red es combatir el fuego con fuego. En estos casos, uno de nuestros analistas sénior de MTR solicitará la aprobación de la dirección y, a continuación, activará una sesión de Live Terminal directamente en los dispositivos pertinentes de su red. Dentro de esta sesión, tienen acceso completo a la línea de comandos (o al terminal para OSX y Linux) al dispositivo, lo que les permite realizar una defensa activa contra el atacante; además, si el analista de MTR necesita aislar el dispositivo, sigue siendo capaz de mantener su túnel seguro a su(s) dispositivo(s) y neutralizar y remediar activamente la amenaza.

Experiencia en seguridad

El equipo de MTR de Sophos está formado por cazadores de amenazas y profesionales de la seguridad certificados (SSCP, SCP) que suelen ser expertos en sus áreas elegidas (C|EH, C|TIA, ECSA) y fuentes de conocimiento completas en cada área de su pila de seguridad (CompTIA Security+, Network+, CySA+).  Cuando nos entregas las llaves de tu castillo, sabes que la responsabilidad no se toma a la ligera.

Resumiendo

La conclusión es que la caza y neutralización de amenazas es una tarea que se realiza las 24 horas del día, los 7 días de la semana, y que requiere ser realizado por expertos. Si no tienes la capacidad o los recursos y nociones internas para proporcionar este nivel de cobertura, amplía tu equipo con analistas de terceros. Elija un equipo que pueda trabajar contigo para elevar tus defensas y mantener a raya a los atacantes, incluso en mitad de la noche.

 

[1] Sophos: The IT Security Team: 2021 and beyond

[2] CISA – Ransomware Awareness for Holidays and Weekends

 

Dejar un comentario

Your email address will not be published.