Por qué su programa de monitoreo permite que los atacantes ganen 

Existe una versión de monitoreo de amenazas que parece impresionante en el papel pero falla en la práctica. Y, sin embargo, los atacantes permanecen en el entorno durante semanas o meses sin ser detectados, moviéndose lateralmente, extrayendo datos y preparando una carga útil.  El problema no es la falta de seguimiento.

Es la función.  El replanteamiento más importante disponible para los líderes de SOC y MSSP es tratar el monitoreo de amenazas no como una capacidad sino como la columna vertebral operativa sobre la que se ejecuta todo lo demás: los equipos de ingeniería de detección escriben reglas, pero el monitoreo es lo que les dice si esas reglas están funcionando, dónde es escasa la cobertura y qué comportamientos de los atacantes se están escapando.  La clasificación de alertas no puede funcionar sin un flujo continuo de señales contextualizadas y priorizadas. Los analistas que reciben alertas ruidosas y poco enriquecidas o pasan por alto amenazas reales o se agotan persiguiendo positivos fantasmas.   La caza de amenazas depende del seguimiento para establecer líneas de base de comportamiento, exponer anomalías que valga la pena investigar e identificar lagunas en la cobertura de detección que los cazadores puedan investigar.  La investigación forense se basa en que el monitoreo haya capturado la telemetría correcta (registros, flujos de red, actividad de terminales) para reconstruir lo que sucedió durante un incidente.  La priorización de vulnerabilidades utiliza cada vez más inteligencia sobre amenazas en vivo, alimentada a través de infraestructura de monitoreo, para decidir qué vulnerabilidades se están explotando activamente en este momento, en lugar de hacerlo solo de manera teórica.  Para los MSSP, los compromisos con los clientes viven y mueren mediante el monitoreo de la calidad. Para evaluar la efectividad del monitoreo, considere estas preguntas: ¿Reduce de manera confiable el tiempo medio de detección (MTTD)?  ¿Las alertas más peligrosas se elevan rápidamente o se pierden en la inundación?  ¿Las detecciones reflejan tácticas adversas reales observadas en la naturaleza?  ¿La inteligencia sobre amenazas se convierte en detecciones automáticamente o requiere un esfuerzo manual?  ¿Puede el sistema adaptarse rápidamente a nuevas campañas?  Si las respuestas van en la dirección equivocada, el seguimiento no sólo es ineficiente, sino que aumenta activamente el riesgo. ANY.RUN opera uno de los entornos de pruebas interactivos de análisis de malware más grandes del mundo, utilizado por más de 600 000 profesionales de seguridad en más de 15 000 organizaciones en todo el mundo.   Cada sesión de análisis genera datos estructurados sobre amenazas (COI, indicadores de ataque (IOA), indicadores de comportamiento (IOB) y TTP asignados a MITRE ATT&CK) que reflejan lo que está activo en este momento, no lo que se documentó hace meses.   Vea un ejemplo de análisis de sandbox: el troyano Moonrise detonado en el Sandbox ANY.RUN's Threat Intelligence Feeds canaliza los IoC y los datos contextuales directamente a la infraestructura de detección de los clientes en tiempo real, ampliando la cobertura a amenazas que la organización aún no ha encontrado en su propio entorno.  Fortalezca la supervisión con inteligencia nueva y validada que reduzca el tiempo de respuesta y minimice las interrupciones del negocio.  La integración está diseñada para minimizar la fricción.

La búsqueda proactiva de amenazas mediante TI Lookup (búsqueda de TTP o patrones de comportamiento vinculados a un actor de amenazas dirigido al sector de la organización) puede mostrar indicadores que aún no han aparecido en feeds automatizados.  Esos indicadores se pueden agregar manualmente a las reglas de detección, ampliando la cobertura antes de que haya una actualización del feed. Quieren un proveedor que detecte las amenazas tempranamente, valide la cobertura contra campañas conocidas y demuestre una postura proactiva que extienda la cobertura de detección a las amenazas emergentes antes de que se conozcan ampliamente.

Consultar publicación original ↗