Threat Hunting Versus SIEM

Para reducir la exposición de ataque y mejora de la posición en seguridad informática, las organizaciones pueden adoptar dos posiciones: un enfoque reactivo y un enfoque proactivo. El enfoque reactivo involucra métodos tradicionales de detección (por ejemplo, IDS e IPS) y prevención (por ejemplo, firewalls y SIEM), mientras que el enfoque proactivo utiliza tácticas ofensivas, como las que se encuentran en un programa de caza de amenazas (threat-hunting).

La búsqueda de amenazas es el acto de rastrear y eliminar agresivamente a los atacantes de la red corporativa lo antes posible. La búsqueda de amenazas descubre ataques, reduce el delta de detección y evita que los adversarios comprometan sus sistemas críticos. Muchas organizaciones prefieren confiar en medidas como SIEM para protegerse; sin embargo, según una encuesta de TechBeacon, menos del 25% de las organizaciones obtienen el valor total de sus SIEM y solo el 32% obtienen más del 80% del valor que esperaban. Debido a las amenazas persistentes avanzadas (API) y las infracciones, las soluciones SIEM por sí solas no garantizan una protección confiable.

Por lo tanto, tanto un enfoque reactivo (como SIEM) como un enfoque proactivo (como la caza de amenazas) son indispensables y deben implementarse en paralelo para mejorar la postura de seguridad de las organizaciones. En este artículo, aprenderá cómo un plan SIEM junto con la búsqueda de amenazas puede complementarse entre sí para expandir la red de seguridad de una empresa.

¿Qué necesito saber sobre un sistema SIEM?

Un SIEM (Security Information and Event Management) es una solución de seguridad que permite a los profesionales de seguridad descubrir, monitorear, registrar y evaluar incidentes de seguridad en un entorno de TI en tiempo real y centralizar todos sus datos relevantes. Un sistema SIEM ofrece varias características, que incluyen alertas de seguridad, interpretación de registros, análisis avanzados, creación de perfiles, feeds de inteligencia de amenazas, análisis forense, paneles y agregación de datos. SIEM es la combinación de dos herramientas estrechamente relacionadas, a saber:

  • Gestión de la información de seguridad (SIM).
  • Gestión de eventos de seguridad (SEM).

SEM se utiliza para recopilar, agregar y realizar monitorización en tiempo real de registros y eventos, mientras que SIM realiza correlación, normalización y análisis e informes de datos registrados y registros de seguridad recopilados. La tecnología SIEM se utiliza para la detección de amenazas y la respuesta a incidentes mediante el uso de una adquisición en tiempo real y un análisis histórico de incidentes de seguridad de una amplia gama de fuentes de datos contextuales.

Con una solución SIEM, los profesionales de seguridad monitorizan las actividades de los usuarios, frustran las violaciones de datos, determinan la causa raíz de los incidentes de seguridad, mitigan los delitos cibernéticos y cumplen con el cumplimiento normativo. Tres tipos de SIEM incluyen:

  • SIEM interno.
  • SIEM gestionado.
  • SIEM basado en la nube.

Es posible que haya notado que SIEM solo proporciona capacidades de detección de amenazas en lugar de perseguir amenazas y adversarios avanzados. ¿Qué debe hacer su organización si está en mayor riesgo de verse comprometida, como bancos o agencias gubernamentales? En este escenario, obviamente, SIEM no podrá perseguir a los adversarios y eliminará la posibilidad de futuros ataques y evitará que su organización se vea comprometida. Estarás atrapado siempre jugando un juego defensivo.

Solo tener un SIEM no es suficiente. Debe asegurarse de que su SIEM ofrezca las funciones necesarias para desempeñar su papel de manera efectiva en esta defensa de seguridad colaborativa. Las siguientes secciones ilustran algunas características centrales que cada tipo de sistema SIEM debe ofrecer para trabajar de manera confiable con capacidades de búsqueda de amenazas:

Correlación de registros: el corazón de SIEM.

La correlación de registros SIEM es una característica crítica de cualquier solución SIEM, ya que analiza y agrega datos de registro de sistemas de red, dispositivos, dispositivos de seguridad y aplicaciones. Con esta función, su SIEM proporciona visibilidad centralizada de actividades de red potencialmente no conformes e inseguras. Esto le permite descubrir amenazas y patrones de comportamiento maliciosos que de otro modo no se notarán.

Para fortalecer esta táctica, la búsqueda de amenazas se puede combinar con la correlación de registros SIEM mediante el uso de análisis de registros. Usando estos registros, los cazadores de amenazas pueden descubrir la fuente del ataque y evitar más intrusiones.

Prevenga los falsos positivos molestos.

El estudio de referencia de capacidad de seguridad de Cisco (2017) reveló que solo el 28% de las alertas de seguridad examinadas eran legítimas. Su solución SIEM debe evitar un número máximo de falsos positivos. La mayoría de los SIEM incorporan eventos legítimos en sus ajustes de configuración y comparan actividades sospechosas en caso de posible detección. Hacerlo evita falsos positivos contra el evento legítimo. Algunas reglas de correlación SIEM listas para usar pueden ser irrelevantes y deben deshabilitarse para evitar falsos positivos.

Gestión de registros y capacidades de almacenamiento.

Los SIEM efectivos deben proporcionar capacidades eficientes de gestión y almacenamiento de registros. Es posible establecer reglas para cada fuente de registro para aumentar la efectividad de la recopilación, el almacenamiento y el rendimiento de la indexación.

Normalización de eventos.

Casi todos los SIEM tienen la capacidad de recopilar registros y eventos de fuentes divergentes. Una vez que se realiza este proceso, su SIEM debe normalizar todos los datos recopilados para proporcionar una comprensión clara y facilitar el trabajo de dichos datos. Debe filtrar, analizar y enriquecer los campos de registro y unificarlos como campos estructurados.

Reduce el ruído.

Según la Encuesta de Eficiencia SIEM de Netwrix (2016), el 83% de las soluciones SIEM producen demasiado ruido. Es por eso que las organizaciones implementan controles de seguridad adicionales para reducir el ruido. Sin embargo, la mayor parte del ruido tiene un vínculo directo con los falsos positivos, ya que son la fuente predominante del mismo. Por lo tanto, evitar falsos positivos y garantizar la precisión de los eventos de seguridad puede reducir enormemente el ruido.

Procesando solo datos relacionados con la seguridad.

Su SIEM debe procesar solo datos relacionados con la seguridad en lugar de agotar los recursos para datos no relacionados con la seguridad. Si su sistema SIEM solo procesa datos relacionados con la seguridad, observará un cambio inmenso en la relación de Eventos por segundo (EPS).

Prevenir protocolos vulnerables.

Los protocolos vulnerables, como el Sistema de nombres de dominio (DNS), el Protocolo simple de transferencia de correo (SMTP) y el Protocolo de puerta de enlace fronterizo (BGP), pueden proporcionar oportunidades a los atacantes. Su sistema SIEM debe filtrar dichos protocolos utilizando un control de seguridad adicional, como un sistema Snort IDS que se alimenta al sistema SIEM. Snort IDS se agrega como una capa de seguridad adicional para SIEM y también se puede diseñar más generalizando las reglas para detectar nuevos ataques. Si tiene un centro de operaciones de seguridad (SOC) como un enfoque proactivo para la caza de amenazas, su equipo de analistas de SOC también supervisará los protocolos vulnerables para evitar una posible infracción.

¿Cómo es de esencial un programa de búsqueda de amenazas cuando se combina con SIEM?.

Como se dijo anteriormente, los analistas de seguridad usan soluciones de búsqueda de amenazas para rastrear agresivamente y eliminar a los adversarios de su red corporativa tan pronto como sea posible. No existe una red perfectamente segura; Los adversarios siempre pueden explotar sus mecanismos de defensa reactiva con sus sofisticados ataques. Por lo tanto, una política de seguridad proactiva que incluya la búsqueda de amenazas debería ser una parte esencial de su postura general de seguridad. La encuesta señala que el 52% de las organizaciones redujeron los riesgos significativamente mediante el uso de la caza de amenazas.

Por el contrario, la encuesta indica que el 48% de las organizaciones aún no están satisfechas con las capacidades de búsqueda de amenazas. No siempre puede confiar en el enfoque proactivo de la caza de amenazas porque el atacante sofisticado puede comprometer sus gestos ofensivos. Por lo tanto, también debe tener el enfoque reactivo que obtiene con SIEM para enfrentar al enemigo en todos los frentes posibles.

Al igual que SIEM, su programa de búsqueda de amenazas debe ser efectivo y confiable para lograr sus objetivos. Los analistas de seguridad deberían adoptar los siguientes objetivos para construir un programa maduro de búsqueda de amenazas.

  • Proporcionar detección precisa y temprana.
  • Controlando y mitigando el daño con una respuesta más rápida.
  • Mejorando las defensas para hacer que los ataques no tengan éxito.
  • Conociendo las debilidades de su organización.

El exitoso programa de caza de amenazas tiene dos partes esenciales. La primera parte implica un proceso formal que debe basarse en una metodología bien definida. La segunda parte contribuye a realizar una operación continua de búsqueda de amenazas a través de herramientas automatizadas. La detección continua y oportuna de adversarios ciertamente mitigará el daño y mejorará la eficiencia.

A continuación se presentan algunos aspectos críticos de la caza de amenazas.

Caza de amenazas, dotación de personal y habilidades.

La integración de personas, tecnología y procesos es una parte esencial de cualquier programa de seguridad. En general, las organizaciones empresariales prefieren invertir en tecnología primero. Cuando este enfoque no funciona, buscan procesos formales y personas apropiadas para administrar estos procesos.

Cuando se trata de la caza de amenazas, la tecnología debe ser el foco principal y luego se debe tener en cuenta a las personas. Sin embargo, la capacitación del personal es vital porque necesitan poder administrar, configurar e interpretar los resultados de la tecnología. Las personas que han servido en un SOC o como respondedores de incidentes son muy apreciadas por sus roles de caza de amenazas porque ya están capacitadas en los rudimentos de la seguridad. Muchas organizaciones convierten sus SOC para realizar operaciones de caza de amenazas. En tales circunstancias, su equipo de SOC puede manejar simultáneamente SIEM y las capacidades de búsqueda de amenazas. Sin embargo, si su equipo de SOC solo cuenta con personal para tareas de búsqueda de amenazas, puede contratar un equipo adicional (no más de cinco analistas) para las operaciones de SIEM o externalizar sus características esenciales a un tercero.

La esencia de la caza de amenazas y SIEM.

El objetivo fundamental de la caza de amenazas es reducir el daño y la exposición potencial de información sensible. Sus métricas clave deben ser la exposición mitigada y la reparación oportuna. Además, estas métricas deben mostrar un retorno positivo de la inversión (ROI) en sus esfuerzos de búsqueda de amenazas.

La caza de amenazas también juega un papel crucial en la detección temprana de adversarios y la eliminación rápida de las vulnerabilidades expuestas durante la caza. Si un adversario logra penetrar de alguna manera en su red corporativa, su SIEM como capa de seguridad adicional seguirá desempeñando un papel crucial en la recuperación del escenario y la prevención de desastres.

Valor del tiempo de respuesta.

Al lanzar una campaña de caza de amenazas, puede usar tres indicadores principales para asegurarse de que sus esfuerzos de caza den frutos. Estos indicadores incluyen:

  • Tiempo de permanencia. ¿Cuánto tiempo ha pasado el adversario en su empresa?.
  • Reinfección ¿Cuántos ataques se han lanzado contra su empresa?.
  • Movimiento lateral. ¿Cuánto daño ha causado un adversario, en términos de una serie de sistemas que han sido comprometidos?

Si tiene una mejora significativa en estas áreas, su programa de búsqueda de amenazas es confiable. De lo contrario, necesita ser mejorado. Un programa de caza de amenazas inmaduro siempre falla en prevenir todos los ataques y perderá posibles adversarios. Nuevamente, su SIEM estará trabajando como una defensa activa para derrotar a estos adversarios y es su primera y más rápida línea de defensa.

Métodos de caza de amenazas.

Al ejecutar un programa de búsqueda de amenazas, los analistas de seguridad utilizan dos métodos, a saber, la búsqueda de amenazas basada en el host o en la red. La búsqueda de amenazas basada en el host se utiliza para analizar un sistema individual a fin de buscar los indicadores de ataque. Por otro lado, la búsqueda de amenazas basada en la red se utiliza para monitorear y analizar el tráfico de la red para encontrar las señales de la existencia del adversario en la red.

Necesita mejorar.

Debes recordar que mientras cazas amenazas y adversarios, también puedes ser cazado. Por lo tanto, la mejora continua de sus capacidades de caza de amenazas y su estrategia de defensa es indispensable. Para este propósito, necesita automatización y herramientas personalizadas. Debe asegurarse de que estas herramientas estén correctamente alineadas y sean complementarias con su solución SIEM de amenazas.

El camino a seguir.

Las amenazas y los adversarios de ciberseguridad son más fuertes que las posiciones de seguridad de muchas organizaciones. Incluso con sistemas defensivos muy altos, las organizaciones no pueden garantizar el 100% de seguridad y, por lo tanto, los adversarios encontrarán con éxito formas de penetrar en su red corporativa. Sin embargo, las organizaciones pueden adoptar enfoques reactivos y proactivos, combinando una solución SIEM con un equipo de cazadores de amenazas activos para protegerse de la manera más eficiente posible.

Publicaciones Similares