Papel unificado de SASE Caza de ciberamenazas

¿Qué es la caza de amenazas?

La caza de amenazas es un enfoque de defensa proactivo para detectar amenazas que eluden las soluciones de seguridad existentes.

¿Por qué la caza de amenazas?

Las funciones de cortafuegos, IDS/IPS, SWG, ZTNA, CASB ayudan a proteger los activos de la empresa frente a las amenazas conocidas.
Los proveedores de seguridad desarrollan protecciones para las amenazas conocidas y despliegan esas protecciones actualizando regularmente los servicios de seguridad con diversas fuentes de protección.
Las protecciones incluyen impedir que los usuarios visiten sitios maliciosos, detener exploits mediante firmas y detener conexiones a/desde direcciones IP, dominios que se sabe que alojan C&C o con mala reputación.
Casi todas las funciones de seguridad protegen también los activos deteniendo los flujos no deseados mediante ACL (listas de control de acceso).
La sofisticación de los actores de las amenazas aumenta significativamente año tras año debido a los patrocinios estatales y a los beneficios financieros.
Las empresas que se ven afectadas por amenazas desconocidas deben tener una forma de detectar cualquier compromiso para contener los daños.
Según el informe 2022 M-trends, el tiempo medio de permanencia (el tiempo de permanencia es el número de días que un atacante está presente en un entorno víctima sin ser detectado) es de 21 días en 2021.
En algunas regiones geográficas, la media es de hasta 40 días.
Lo más preocupante es que el 47% de las veces, las víctimas llegan a conocer las amenazas a través de notificaciones externas.
Las víctimas llegan a conocer los compromisos a través de extorsiones de los atacantes, de la divulgación pública de información confidencial y unas pocas veces de sus clientes.
Es importante que las empresas detecten la presencia de amenazas de forma proactiva e interna para reducir los daños y tomar medidas correctoras antes.
Este proceso de detección de las amenazas presentes en el entorno es la «caza de amenazas».

¿Cuáles son los métodos del cazador de amenazas?

La caza de amenazas la realizan los analistas de seguridad.
Aunque la práctica de la caza de amenazas existe desde hace tiempo, en teoría no es nueva.
Los cazadores tienden a buscar anomalías, crear hipótesis y realizar análisis más profundos para identificar cualquier signo de compromiso.
Lo que realmente ha cambiado en los últimos años es el aumento de la colaboración entre los cazadores de diferentes empresas, como el intercambio de tácticas, técnicas y procedimientos (TTP) y el acceso a fuentes abiertas y comerciales de inteligencia sobre amenazas.
Esta riqueza de información está ayudando a los cazadores a cazar de forma más eficaz.
La inteligencia sobre amenazas es valiosa, pero la gran cantidad de datos puede resultar abrumadora para que los cazadores la criben.
Es importante que los cazadores filtren para obtener los informes más relevantes en función de los activos, el software, los sistemas de hardware y los servicios en la nube que utiliza la empresa.
Una vez filtrados, los cazadores de amenazas pueden utilizar los TTP para identificar patrones en su entorno.
Los cazadores de amenazas recopilan información utilizando una combinación de métodos, entre los que se incluyen:

  • Basado en análisis: Las anomalías observadas en el tráfico de la red, el tráfico del protocolo, el tráfico iniciado por el usuario, el tráfico de la aplicación, el comportamiento de inicio de sesión del usuario, el comportamiento de acceso del usuario, el punto final y el comportamiento de la aplicación pueden ser buenos indicadores para iniciar la caza.
  • Impulsado por la inteligencia: Las fuentes de inteligencia sobre amenazas, como la reputación de IP/dominio/archivo/URL de entidades comerciales y de código abierto, pueden ayudar a los cazadores a buscar estos indicadores en su entorno e iniciar la caza si se observan.
  • Impulsados por el conocimiento de la situación: Los resultados de las evaluaciones periódicas de los riesgos de la empresa y los análisis de las joyas de la corona de los activos pueden ayudar a los cazadores a crear hipótesis e iniciar la caza.

Los cazadores de amenazas utilizan una combinación de los métodos anteriores para acotar la caza a iniciar.
Como parte del proceso de caza, los analistas se basan en sistemas de observabilidad para realizar análisis más profundos con el fin de identificar cualquier amenaza.
Si se encuentra alguna amenaza, los cazadores con éxito pueden publicar TTPs para ayudar a otros cazadores.

¿Cuál es el papel de SASE en la caza de amenazas?

Los indicadores de compromiso (IoC) son pistas que pueden utilizarse para identificar y detectar actividades maliciosas en una red o un punto final.
A menudo son utilizados por los cazadores de amenazas para crear hipótesis sobre posibles incidentes de seguridad y centrar sus investigaciones.
Los IoC incluyen elementos como direcciones IP, nombres de dominio, URL, archivos y direcciones de correo electrónico que están asociados a actores maliciosos conocidos o a malware conocido.
Diversas anomalías como el tráfico, el comportamiento de los usuarios, el comportamiento de los servicios y otros acoplados también son buenos indicadores de preocupación para que los cazadores creen hipótesis sobre posibles incidentes de seguridad.
El análisis en profundidad es el siguiente paso en la caza de amenazas y se utiliza para recopilar más información sobre un posible incidente, como el alcance, el impacto y los orígenes del ataque.
Este tipo de análisis suele implicar el uso de varias herramientas y técnicas para extraer y analizar datos de diversas fuentes, como el tráfico de red, los registros del sistema y los datos de los puntos finales.
Se espera que las soluciones SASE ayuden a los cazadores de amenazas tanto en la fase de identificación como en la de investigación.
Y se espera que la parte de observabilidad más completa de las futuras soluciones SASE cuente con funciones como el análisis del comportamiento, la supervisión en tiempo real y las alertas.

Identificación mediante indicadores de compromiso e indicadores de preocupación

A continuación se muestran algunas de las anomalías e IoC de amenazas que las soluciones SASE pueden ayudar a los cazadores de amenazas a iniciar la caza.
A continuación se ofrecen algunos ejemplos de cómo SASE/SDWAN puede ayudar a encontrar las anomalías de tráfico.

  • Patrones de tráfico inusuales en comparación con los observados anteriormente.
    Pueden incluir anomalías en el volumen de tráfico y el número de conexiones para lo siguiente.

    • Tráfico de empresa de sitio a sitio
    • Tráfico hacia/desde los sitios a Internet
    • Tráfico hacia/desde las aplicaciones
    • Tráfico en varios protocolos
    • Tráfico hacia/desde los usuarios
    • Tráfico hacia/desde segmentos
    • Y con la combinación de los anteriores – Sitio + Aplicación + Usuario + Protocolo + Segmento.

Las soluciones SASE, con seguridad de red, pueden ayudar a encontrar varios tipos de anomalías y exploits:

  • Anomalías de los accesos a las aplicaciones empresariales respecto a patrones anteriores o patrones de referencia como
    • Accesos a aplicaciones internas desde ubicaciones geográficas antes desconocidas
    • Acceso a aplicaciones internas de usuarios que raramente acceden a ellas
    • Acceso de los usuarios a las aplicaciones internas a horas intempestivas
    • Acceso a varios recursos críticos de la aplicación (como los recursos de administración) por parte de usuarios privilegiados desde ubicaciones geográficas desconocidas hasta entonces, de usuarios que raramente los administran, a horas extrañas
    • Accesos denegados a aplicaciones y recursos por parte de los usuarios.
  • Anomalías de los accesos a Internet y SaaS respecto a patrones anteriores o patrones de referencia como las anomalías de acceso descritas anteriormente.
    • Acceso a varias categorías de URL por usuarios individuales
    • Acceso a sitios de Internet no visitados previamente por los usuarios
    • Utilización del ancho de banda y número de anomalías en las transacciones HTTP por usuario
    • Acceso de los usuarios a los sitios en horas no laborables.
    • Accesos denegados a sitios/categorías de Internet
    • Acceso a diversas funciones de varios servicios SaaS por usuario.
  • Varios tipos de exploits: Según el informe de M-Trends, el «vector de infección inicial» utilizado por los atacantes es explotar las vulnerabilidades del software y la configuración.
    Muchos actores de amenazas instalan primero distintos tipos de malware aprovechando las vulnerabilidades del software.
    Los marcos de explotación populares como Metasploit, BEACON agrupan múltiples scripts de explotación conocidos.
    Estos marcos parecen ser populares entre los actores de amenazas.
    Cualquier exploit observado en el tráfico puede ser un buen indicador de que algo malo va a ocurrir.
  • Anomalías de protocolo: Cualquier dato anómalo del protocolo, aunque sea legítimo desde el punto de vista de la especificación del protocolo, puede ser un buen indicio de preocupación.
    A continuación se ofrecen ejemplos de anomalías en los protocolos DNS y HTTP.

    • En caso de DNS
      • No es normal ver muchos subdominios en el dominio consultado
      • No es normal ver un dominio muy largo
      • No es normal ver una mezcla de mayúsculas y minúsculas en el nombre del dominio.
      • No es normal ver caracteres no alfanuméricos.
      • No es normal ver otras consultas que no sean A, AAAA, PTR.
    • En caso de HTTP:
      • No es normal ver URI muy largas y un gran número de parámetros de consulta.
      • Codificaciones URI que no se utilizan habitualmente.
      • No es normal ver muchas cabeceras de solicitud y cabeceras de respuesta.
      • No es normal ver sentencias SQL, comandos shell y scripts en parámetros de consulta URI, cabeceras de petición y cuerpos de petición
      • No es normal ver transacciones HTTP sin una cabecera de solicitud host.
      • No es normal ver caracteres CRLF en URIs y cabeceras.
      • No es normal ver varios parámetros con el mismo nombre
      • Y muchos más…
    • Acceso a sitios de mala reputación : Un único incidente de acceso o múltiples accesos a sitios con direcciones IP, dominios y URL de mala reputación son también buenos indicadores de preocupación para iniciar la caza.

Investigación

Como parte de la caza, los cazadores esperan que los sistemas SASE les ayuden a profundizar en la investigación, al menos desde la perspectiva de la red.
Los cazadores, para una visibilidad e investigación completas de extremo a extremo, también podrían necesitar trabajar con sistemas de observabilidad de endpoints, aplicaciones, virtualización y plataformas de contenedorización.
Las expectativas sobre la observabilidad de SASE de los cazadores para las investigaciones se centran sobre todo en capacidades de búsqueda más profundas.
Por ejemplo, al detectar tráfico de exploits, a los cazadores les gustaría investigar si la máquina/software que fue explotado está realizando alguna conexión a otros sistemas internos que normalmente no realiza este sistema o si descargó algún archivo de otros sistemas que normalmente no se espera y si este sistema está cargando algún malware a otros sistemas, etc.

Resumen

La caza de amenazas se está convirtiendo en una práctica habitual en muchas empresas.
Normalmente implica la detección de indicadores de compromiso (IoC) y la investigación mediante plataformas de observabilidad para puntos finales, aplicaciones, virtualización y Secure Access Service Edge (SASE).
Se necesita un SASE unificado que combine la red de área amplia definida por software (SDWAN), varias funciones de seguridad de redes y amenazas y una observabilidad completa para permitir una gestión integral del ciclo de vida de la caza de amenazas.

  • Blog CTO Insights

    La serie de blogs Aryaka CTO Insights proporciona liderazgo de pensamiento para temas de red, seguridad y SASE.
    Para conocer las especificaciones de los productos Aryaka, consulte Aryaka Datasheets.