Nossos pesquisadores de ameaças em Lares encontram uma ampla gama de falhas de segurança e vulnerabilidades quando conduzimos exercícios do Purple Team em nome de nossos clientes. Com o tempo, os mesmos erros não forçados parecem surgir com tanta frequência que alertamos as equipes de segurança para desenvolver práticas padronizadas para se defender deles.
A Unidade de Colaboração Adversarial Lares auxilia os clientes com engajamentos de colaboração defensiva e avaliações da Equipe Roxa, que combinam técnicas ofensivas e defensivas para fortalecer as proteções de segurança. As Equipes Vermelhas emulam invasores externos ou internos, enquanto as Equipes Azuis atuam como defensores da segurança interna. As equipes roxas auxiliam ambos os lados, alinhando as táticas defensivas da equipe azul com as ameaças tentadas pela equipe vermelha.
Recentemente, lançamos uma nova pesquisa destacando as 5 principais descobertas da equipe roxa que encontramos em centenas de compromissos com clientes no ano passado. Os erros mais comumente evitáveis incluíam registro de eventos inadequado ou desnecessário; falta de conhecimento de segurança ofensiva; relacionamentos co-dependentes no Security Operations Center (SOC); uma dependência doentia de ferramentas; e jogando um bom dinheiro atrás do ruim.
Para defender adequadamente suas organizações, os profissionais de segurança precisam estar cientes das ameaças mais recentes e saber como responder. Além disso, os defensores devem evitar depender de ferramentas e, em vez disso, focar no desenvolvimento de habilidades essenciais que não podem ou não devem ser terceirizadas.
As 5 principais conclusões da pesquisa Lares Purple Teams
Log de eventos inadequado ou desnecessário: os eventos são uma parte crítica da postura de segurança de qualquer organização. Muitas organizações devem prestar mais atenção aos eventos de log críticos, ou eles coletam muitos eventos desnecessários que enchem o armazenamento e obscurecem dados importantes. Em sua desatenção, eles podem ignorar sinais importantes de atividade maliciosa. As organizações devem selecionar cuidadosamente os eventos que coletam para evitar esses problemas e garantir que todos os pontos de dados coletados sejam relevantes para suas necessidades de segurança. Ao fazer isso, eles podem criar um sistema eficaz de detecção e resposta e melhorar sua postura geral de segurança.
Falta de conhecimento ofensivo de segurança: monitorar o ambiente de uma organização em busca de ameaças em potencial requer mais do que apenas uma compreensão básica de táticas, técnicas e procedimentos adversários (TTPs). É importante identificar quando e como esses TTPs estão sendo usados para tomar as ações apropriadas para defender a organização. Por exemplo, a supervisão da segurança pode exigir o monitoramento das comunicações internas para identificar possíveis indicadores de atividade maliciosa. Com um forte entendimento do ambiente da organização e dos TTPs adversários, os indivíduos encarregados do monitoramento podem detectar e responder a ameaças com mais eficiência.
Relacionamentos codependentes no SOC: muitas operações de segurança gerenciadas centros (SOCs) introduzem novos problemas para as equipes defensivas, em vez de resolvê-los. Isso acontece frequentemente porque os SOCs gerenciados lutam com atrasos de alerta excessivos, suprimem eventos críticos e não podem introduzir a telemetria que importa.
Atrasos de alerta ocorrem quando o SOC gerenciado falha ao configurar adequadamente as ferramentas e tecnologias para detectar e responder a incidentes de segurança. Eventos que poderiam ser usados para impedir ataques são atrasados ou nunca vistos. Além disso, os SOCs gerenciados geralmente suprimem eventos críticos devido à pressão da alta administração ou de clientes externos. Por fim, os SOCs gerenciados geralmente falham em introduzir a telemetria que importa para o incidente. Isso ocorre porque eles são orientados por métricas que não refletem necessariamente o impacto real dos incidentes de segurança. Como resultado, muitos SOCs gerenciados falham em fornecer os insights e os dados necessários para entender e abordar as causas principais das ameaças à segurança.
Confiança insalubre em ferramentas: outro problema envolve defensores que tornam-se muito dependentes das soluções Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR), esperando que eles encontrem todos os agentes mal-intencionados. Essa mentalidade pode levar a falsos positivos e atribuições incorretas. EDR e XDR devem ser vistos como parte de uma solução de segurança mais ampla, não como o único ponto de monitoramento. Somente adotando uma abordagem mais holística para a segurança é que as organizações podem ficar à frente do cenário de ameaças.
Jogando um bom dinheiro depois do mal: também é comum que as organizações terceirizam seu conhecimento quando trata de medidas defensivas. Embora isso possa parecer a solução mais fácil, faz mais mal do que bem, impedindo que os funcionários aprendam as habilidades essenciais de que precisam para serem eficazes e custando mais dinheiro à empresa ao longo do tempo. Em vez de terceirizar todo o conhecimento de segurança, as empresas devem investir em seus funcionários e permitir que eles aprendam e cresçam. As empresas também devem implementar medidas de detecção e proteção que mapeiem diretamente os métodos e mecanismos adversários. Essa abordagem permite que os funcionários adquiram as habilidades de que precisam para ter sucesso, economizando mais dinheiro para a organização a longo prazo.
No ambiente de segurança cibernética em rápida evolução de hoje, é necessário mais do que simplesmente entender as táticas de um adversário. As equipes de segurança também precisam estar atentas aos possíveis problemas que podem surgir de suas próprias medidas defensivas.
Crédito da imagem: Wayne Williams
Andrew Hay é Diretor de operações, Lares.