Nuestros investigadores de amenazas en Lares encuentran una amplia gama de fallas de seguridad y vulnerabilidades cuando realizamos ejercicios del Equipo Púrpura en nombre de nuestros clientes. Con el tiempo, los mismos errores no forzados parecen surgir con tanta frecuencia que advertimos a los equipos de seguridad que desarrollen prácticas estandarizadas para defenderse de ellos.
La Unidad de Colaboración Adversaria de Lares ayuda a los clientes con compromisos de colaboración defensiva y evaluaciones del Equipo Púrpura, que combinan técnicas ofensivas y defensivas para fortalecer las protecciones de seguridad. Los equipos rojos emulan a los atacantes internos o externos, mientras que los equipos azules actúan como defensores de la seguridad interna. Los equipos morados ayudan a ambos bandos alineando las tácticas defensivas del equipo azul con las amenazas que intenta el equipo rojo.
Recientemente publicamos una nueva investigación que destaca los 5 principales hallazgos del equipo morado que encontramos en cientos de interacciones con clientes. en el año pasado. Los errores evitables más comunes incluyen el registro de eventos inadecuado o innecesario; falta de conocimientos de seguridad ofensiva; relaciones codependientes en el Centro de Operaciones de Seguridad (SOC); una dependencia malsana de las herramientas; y tirar dinero bueno tras malo.
Para defender adecuadamente a sus organizaciones, los profesionales de la seguridad deben estar al tanto de las últimas amenazas y saber cómo responder. Además, los defensores deben evitar volverse dependientes de las herramientas y, en su lugar, centrarse en desarrollar habilidades esenciales que no pueden o no deben subcontratarse.
Los 5 puntos principales de la investigación de Lares Purple Teams
Registro de eventos inadecuado o innecesario: los eventos son una parte crítica de la postura de seguridad de cualquier organización. Muchas organizaciones deberían prestar más atención a los eventos de registro críticos, o recopilan demasiados eventos innecesarios que llenan el almacenamiento y ocultan datos importantes. En su falta de atención, pueden pasar por alto signos importantes de actividad maliciosa. Las organizaciones deben seleccionar cuidadosamente los eventos que recopilan para evitar estos problemas y asegurarse de que todos los puntos de datos recopilados sean relevantes para sus necesidades de seguridad. Al hacerlo, pueden construir un sistema efectivo de detección y respuesta y mejorar su postura general de seguridad.
Falta de conocimientos de seguridad ofensiva: Monitorear el entorno de una organización en busca de amenazas potenciales requiere más que solo una comprensión básica de las tácticas, técnicas y procedimientos adversarios (TTP). Es importante identificar cuándo y cómo se utilizan estos TTP para tomar las medidas adecuadas para defender a la organización. Por ejemplo, la supervisión de la seguridad puede requerir el monitoreo de las comunicaciones internas para identificar posibles indicadores de actividad maliciosa. Al tener una sólida comprensión del entorno de la organización y los TTP adversarios, las personas encargadas del monitoreo pueden detectar y responder a las amenazas de manera más efectiva.
Relaciones codependientes en el SOC: muchas operaciones de seguridad administradas (SOC) introducen nuevos problemas para los equipos defensivos en lugar de resolverlos. Esto sucede con frecuencia porque los SOC administrados luchan con retrasos de alerta excesivos, suprimen eventos críticos y no pueden introducir la telemetría que importa.
Los retrasos de alerta ocurren cuando el SOC administrado no configura correctamente las herramientas y tecnologías para detectar y responder a los incidentes de seguridad. Los eventos que podrían usarse para frustrar los ataques se retrasan o nunca se ven. Además, los SOC administrados suelen suprimir eventos críticos debido a la presión de la alta dirección o de clientes externos. Finalmente, los SOC administrados a menudo no logran introducir la telemetría que es importante para el incidente. Esto se debe a que están impulsados por métricas que no necesariamente reflejan el impacto real de los incidentes de seguridad. Como resultado, muchos SOC administrados no brindan la información y los datos necesarios para comprender y abordar las causas fundamentales de las amenazas de seguridad.
Confianza poco saludable en las herramientas: otro problema involucra a los defensores que depender demasiado de las soluciones de detección y respuesta de punto final (EDR) y de detección y respuesta extendida (XDR), esperando encontrar a todos los malos actores. Esta mentalidad puede dar lugar a falsos positivos y atribuciones incorrectas. EDR y XDR deben verse como parte de una solución de seguridad más amplia, no como el único punto de monitoreo. Solo al adoptar un enfoque más holístico de la seguridad, las organizaciones pueden mantenerse a la vanguardia del panorama de amenazas.
Ganar dinero bueno después de malo: también es común que las organizaciones subcontraten sus conocimientos cuando llega a las medidas defensivas. Si bien esta puede parecer la solución más fácil, hace más daño que bien al evitar que los empleados aprendan las habilidades esenciales que necesitan para ser efectivos y le cuesta a la empresa más dinero con el tiempo. En lugar de subcontratar todo el conocimiento de seguridad, las empresas deberían invertir en sus empleados y permitirles aprender y crecer. Las empresas también deben implementar medidas de detección y protección que se correspondan directamente con los métodos y mecanismos antagónicos. Este enfoque permite que los empleados adquieran las habilidades que necesitan para tener éxito mientras le ahorran a la organización más dinero a largo plazo.
En el entorno actual de ciberseguridad que cambia rápidamente, se requiere más que simplemente comprender las tácticas de un adversario. Los equipos de seguridad también deben ser conscientes de los posibles problemas que pueden surgir de sus propias medidas defensivas.
Crédito de la imagen: Wayne Williams
Andrew Hay es Director de Operaciones, Lares.