Los defensores de las empresas tienen un trabajo duro. A diferencia de las pequeñas empresas, las grandes empresas pueden tener miles de puntos finales, hardware heredado de fusiones y adquisiciones, y aplicaciones heredadas que son críticas para el negocio y evitan la aplicación de parches a tiempo. Agregue a eso un diluvio de indicadores y metadatos del perímetro que pueden representar las etapas iniciales de un ataque devastador, o puede que no sea nada.
Entonces, ¿cómo salen los defensores de la red detrás de la bola 8? ¿Cómo aportan los líderes una estrategia efectiva para movilizar recursos de respuesta a incidentes (IR)? Para lidiar con problemas complejos como estos, los investigadores de seguridad han desarrollado una serie de modelos de IR para ayudar a llevar una estrategia de máxima eficacia y eficacia a los esfuerzos de defensa de la red.
La cadena cyber kill.
En 2011, Lockheed Martin desarrolló la cadena cyber kill . Prestada por el ejército de los EE. UU., La cadena de destrucción esencialmente rompe la mayoría de los ataques cibernéticos a sus elementos constitutivos, y teoriza que el hecho de forzar una parada en cualquiera de las siete fases evitará todo el ataque. Entonces, si un ataque es atrapado en la fase de instalación y remediado, el atacante ya no puede actuar para cumplir con los objetivos. Pero si la protección de punto final puede detener un ataque en la fase de entrega, tanto mejor.
La idea general que hace que la cadena de muertes sea una forma tan atractiva de ver un ataque es que no se puede bloquear todo. Malspam atravesará las defensas del perímetro. El reconocimiento a veces sucederá, te guste o no. La explotación definitivamente ocurrirá con ese empleado que se compromete a hacer clic en todo.
Así que en lugar de lanzar una línea Maginot de defensas cada vez mayores a un costo cada vez mayor, la cadena de muertes sugiere que los defensores tienen siete oportunidades para cerrar un ataque, y pueden luchar en el campo de batalla de su elección. Si bien sería mejor identificar un ataque en la fase de Reconocimiento, matarlo en la fase de Entrega puede mantener la red igual de segura, sin quemar su SOC esperando que lo atrapen todo. Echa un vistazo a algunos detalles más sobre cómo se implementa la cadena kill aquí.
El modelo ATT & CK.
Un modelo algo más granular, ATT & CK es una matriz que mapea una larga lista de capacidades de atacante a una cadena de ataque de 12 pasos. A menudo visto como un complemento de la cadena de muertes, el ATT & CK puede ser un ejercicio útil para hacer coincidir las TTP ya observadas para atacar las fases de la cadena y determinar las prioridades de defensa. Cuando se analizan los casos de uso del modelo, el intercambio de datos de amenazas es uno de los más útiles. El mapeo de una matriz completa de TTP observadas puede ser un método para compartir rápidamente una instantánea del panorama de amenazas en múltiples grupos defensivos u diferentes organizaciones.
La mayoría de las críticas de la cadena de muertes y sus variantes más recientes se reducen a «¿qué pasa con X?» Esto es un poco equivocado, ya que las capacidades de los atacantes cambian con el tiempo, y una matriz completa de TTP sería agotadora y probablemente inexacta. de alguna manera. Con lo que realmente se pretende ayudar a estos modelos es traer inteligencia y estrategia de amenazas al SOC para eliminar la reactividad ciega. El uso de cualquier modelo estratégico puede traer mejores resultados que el monitoreo ciego.
Inteligencia: el punto más grande.
La idea clave para el líder de SOC o CISO que busca implementar un modelo de IR no es elegir el modelo singularmente correcto. Más bien, la implementación de la defensa estratégica en cualquier forma puede aumentar la capacidad de respuesta, la eficiencia y la precisión del SOC. Tener una matriz bien mapeada que vincule los indicadores observados con fases de ataque específicas puede ser una ayuda para priorizar las respuestas, así como para juzgar la gravedad de un ataque exitoso capturado en la mitad del proceso.
Más importante aún, tener un modelo de respuesta a incidentes obliga al personal de SOC a responder a un incidente de una manera estratégica, abordando las amenazas más alejadas de la cadena de ataque primero y utilizando la clasificación de amenazas para obtener información sobre posibles ataques en curso. Al igual que con la guerra convencional, vencer los ataques y ganar la guerra depende de tener un plan.
Sobre el autor