La caccia alle minacce è una parte importante di qualsiasi programma di sicurezza. Indipendentemente da quanto sia ben progettato uno strumento di sicurezza, dobbiamo presumere che tali strumenti e difese siano imperfetti.
Gli ambienti aziendali sono in continua evoluzione, vengono introdotti nuovi strumenti, vengono rimossi quelli vecchi e vengono apportate modifiche alla configurazione per supportare i cambiamenti, il che può introdurre nuove vulnerabilità nell'ambiente.
Esempi recenti sono la vulnerabilità CVE-2020-5902 di F5 che ha colpito l'interfaccia utente di gestione del traffico (TMUI) del BIG-IP di F5; questa porta non dovrebbe mai essere accessibile pubblicamente e dovrebbe richiedere che gli utenti si autentichino in modo sicuro e si connettano alla LAN prima di potervi accedere.
Noi di Vectra AI abbiamo riscontrato casi in cui questo non era il caso e la TMUI è stata accessibile e sfruttata.
Il 2020 ha portato un enorme spostamento del lavoro da remoto a causa del COVID-19 e ha fatto sì che i team operativi si affannassero a cercare di risolvere il problema:
- sostenere questo nuovo ambiente di lavoro
- proteggere gli utenti durante il passaggio dall'ufficio alla casa.
Il supporto di questo tipo di cambiamento, soprattutto per un'azienda non pronta a supportarlo, introduce una moltitudine di problemi di sicurezza. In un cambiamento sismico come questo, l'obiettivo principale per l'azienda è garantire che le operazioni non vengano interrotte, il che lascia i team di sicurezza con meno influenza sull'implementazione e bloccati nel supporto di una soluzione non progettata con la sicurezza in mente. Senza un'adeguata supervisione, le vulnerabilità possono essere esposte e gli aggressori possono approfittarne.
Ci sono molti esempi del perché la caccia è importante, e i due di cui parliamo di seguito sottolineano la necessità di programmi di caccia.
Vediamo come i team di sicurezza possono sfruttare Vectra Detect e i metadati di rete per cercare comportamenti dannosi. Inoltre, sebbene in questo documento si faccia riferimento a Vectra Recall , le tecniche descritte per Vectra Recall possono essere facilmente implementate sfruttando i dati di Vectra Stream.
In questo e-book imparerete:
Come cacciare i CIO (Indicatori di compromesso)
È importante tenere l'orecchio teso e assicurarsi di essere al corrente di ogni nuovo compromesso annunciato. Ma è altrettanto importante essere in grado di agire sui nuovi indicatori di compromesso quando se ne viene a conoscenza. In questa sezione descriveremo i CIO comuni, cosa possono indicare, perché dovrebbero interessarvi e come potete cercare questi CIO nei metadati di rete.
Categorie di fasi di attacco nella Killchain
Descriviamo le tecniche di attacco che è possibile ricercare nei metadati di rete. Abbiamo suddiviso queste tecniche in base alla fase descritta nel framework MITRE ATT&CK a cui si riferiscono.
Come automatizzare la caccia alle minacce
Le tecniche elencate in questo documento sono da intendersi come un campione rappresentativo dei metodi che è possibile utilizzare per scovare le minacce nella propria organizzazione. Queste tecniche costituiscono un ulteriore livello di sicurezza oltre ai rilevamenti avanzati basati sul comportamento di Vectra AI, che utilizzano la vostra esperienza della rete per ottenere informazioni dai preziosissimi metadati di rete che Vectra AI monitora nella vostra organizzazione.
Fiducia da parte di esperti e aziende di tutto il mondo
