Cuando los hackers entran en una red, muchos defensores se preocupan por lo que robaron en lugar de cómo entraron. ¡Concéntrese en las causas! Aquí le mostramos cómo
Lo he dicho antes: el problema número uno con la seguridad informática es un análisis deficiente de la causa raíz , donde los profesionales de seguridad no logran identificar ni rastrear las formas en que se explotó un entorno, ya sea malware o ataque humano.
Las causas comunes incluyen ingeniería social , adivinación o descifrado de contraseñas, software sin parches, configuración incorrecta, denegación de servicio y ataques físicos.
Si los defensores se preocuparan por las causas raíz, se concentrarían tanto en el adware que se abre paso hasta el equipo como en un troyano terriblemente malicioso. Ambos requieren el mismo esfuerzo para defenderse. Descubrir cómo detener las intrusiones es el objetivo final de cualquier defensor, y comprender las causas raíz es un gran paso hacia esa meta.
Para averiguar qué ha hecho el malware, lo único que hay que hacer es desensamblar su código: solo puede hacer lo que le indican sus instrucciones. Determinar cómo ha entrado es mucho más difícil. A menudo se puede seguir el movimiento de un hacker en una red mediante registros de eventos. Pero es más difícil encontrar el exploit raíz utilizado para vulnerar las defensas, sobre todo cuando la dirección te está gritando al oído que impidas que tal o cual activo crítico salga por la puerta.
A continuación se presentan algunas formas de realizar un mejor análisis de causa raíz:
1. Formación
Asegúrese de que todos los defensores (o tal vez todos los empleados) de su organización comprendan la importancia de las causas fundamentales. Debe ser una prioridad para todos y estar incorporada en tantas herramientas como sea posible. No escatime en herramientas e instrumentación (ni actualice o ajuste las existentes) que lo ayuden a determinar las causas fundamentales.
2. Ciencias forenses
Siempre que alguien realice un análisis forense en un dispositivo, dígale que su tarea principal es determinar la causa raíz del exploit inicial. Muchos investigadores forenses ya no buscan, o si no pueden averiguarlo de inmediato, ni siquiera lo intentan. Cambie su mentalidad. Dígales que, incluso si no pueden averiguarlo con un 100 por ciento de confianza, hagan su mejor conjetura. Prefiero la mejor conjetura de un analista forense a un cero en esa casilla cualquier día.
3. Identificación de malware
Muchos programas maliciosos se pueden propagar de una manera determinada: algunos a través de dispositivos móviles, otros a través de recursos compartidos de unidades. Otros infectan mediante Java, redes sociales o ubicaciones centralizadas de descarga de archivos. Siempre tendrás Confickers (como malware con múltiples métodos integrados de propagación), pero un gran porcentaje de malware se propaga exactamente por una única ruta (ingeniería social, adivinación de contraseñas de recursos compartidos de unidades, etc.). Si no puedes reducirlo a un elemento, haz tu mejor conjetura.
4. Afiliación a pandillas
Muchas bandas de piratas informáticos y de malware se destacan en una especialidad. Por ejemplo, el Ejército Electrónico Sirio realiza phishing en empresas cuyos usuarios comparten las mismas contraseñas en sus cuentas corporativas y redes sociales. Algunas bandas cibernéticas prefieren abusar de configuraciones DNS débiles o les encanta comprometer las autoridades de certificación PKI. Otras destacan por irrumpir en el nivel de red o piratear ondas de radio inalámbricas. Saber quién está involucrado puede darle una pista sobre cómo ingresaron.
5. Conversaciones de usuarios
Soy un gran partidario de preguntar a los usuarios cómo creen que se vieron afectados. Es cierto que los usuarios no son investigadores forenses capacitados, pero a menudo tienen alguna idea de cómo se infectaron. Parte del problema es que a menudo no preguntamos. Por ejemplo, piense en cuántos programas de malware encuentran sus escáneres antimalware a diario en las computadoras de sus usuarios. En el proceso de limpieza, ¿cuántas veces unas pocas preguntas determinaron cómo llegó el malware allí? Si obtiene una respuesta, asegúrese de guardarla en una base de datos de causa raíz en algún lugar.
6. Muestreo
No es necesario conocer cada uno de los eventos que dan origen a la causa para obtener información útil. Un poco de muestreo puede brindarle una idea de los problemas reales. Si desea ser un poco más profesional, utilice su programa de estadísticas y calcule qué tan grande debe ser el tamaño de la muestra para medir con precisión la población más grande. El uso de estadísticas y matemáticas lo ayudará a hacer mejores conjeturas.
7. Riesgo por inventario
Calcular el riesgo por inventario es un gran método para llegar a las causas fundamentales. Realice un inventario de software y hardware y luego realice un seguimiento de configuraciones específicas para conocer los porcentajes de vulnerabilidades. Por ejemplo, ¿cuántas computadoras se infectan cuando ejecutan Microsoft Edge, Internet Explorer, Chrome, Firefox, Mozilla o Safari? ¿Cuántas computadoras atacadas ejecutaban Java sin parches en comparación con Java con parches? ¿Cuántas eran de 32 bits en comparación con 64 bits? ¿Cuántas estaban en el departamento de contabilidad en comparación con el departamento de TI? ¿Cuántas eran administradas en comparación con no administradas? Muchas veces verá ventajas claras al ejecutar configuraciones, software y hardware específicos.
Cosechando los beneficios
En última instancia, lo que se desea es capturar métricas de causa raíz y hacer un seguimiento de ellas a lo largo del tiempo. Se desea un gráfico o informe que enumere las distintas formas en que el mal se introdujo en el entorno y calcule los totales y los porcentajes. Se desea saber en qué medida se produce cada causa raíz en el entorno y luego vincular esos métodos con los daños y las pérdidas en la organización.
Una vez que hayas hecho eso, tendrás una evaluación de riesgos con la que realmente podrás trabajar.
Fuente: CSO
Comments