Avanzadas persistentes amenazas y de Gestión de Seguridad de la Información
Las amenazas persistentes avanzadas son probablemente los acontecimientos más notables para la Seguridad de la Información en 2011, ya que están redefiniendo el paisaje infosec tanto de la tecnología y la perspectiva del mercado. Considero que el signo de los tiempos y una demostración de esta tendencia. Esto no es una casualidad: como una cuestión de hecho, la única manera de detener un TEA antes de que alcance su objetivo (los datos de la Organización), es un análisis preciso y correlación de los datos recogidos por los dispositivos de seguridad. Un ataque APT despliega diferentes etapas con diferentes tácticas, diferentes técnicas y diferentes horizontes temporales, que afectan, además, una parte diferente de la infraestructura. Como consecuencia de ello se necesitan una visión integral y una gestión de la información integral con el fin de correlacionar piezas de información repartidos en diferentes piezas de las redes y recogidos por diferentes, un tanto heterogéneos y aparentemente no relacionados, dispositivos de seguridad. Considere, por ejemplo, el ciclo típico de un ataque llevado a cabo por un TEA: Por supuesto, lafoto no toma en consideración el usuario, que es el (pero por desgracia un usuario no genera registros excepto en un formato verbal no es tan fácil de analizar una). Además, el modelo debe ser multiplicado por el número de víctimas, ya que es "poco probable" que un ataque tan similar podría llevarse a cabo en un solo usuario a la vez. Al final, sin embargo, está claro que un TEA afecta a los diferentes componentes de la infraestructura de seguridad de la información en diferentes momentos con diferentes vectores de amenazas: Por lo general, la etapa 1 de un ataque APT implica una lanza phishing de correo electrónico con objeto atractivo y el argumento, y una carga maliciosa en forma de un archivo adjunto o un enlace. En ambos casos, el AV-mail o Antispam se impactaron en la corriente de entrada (y deben ser supuestamente para detectar el ataque, soy ingenua si sugiero que una búsqueda de DNS podría haber evitado los ataques?). El dispositivo de seguridad afectado producir algunos registros (incluso si no son fáciles de detectar si el malicioso correo electrónico no ha sidodetectado como una posible amenaza o también ha sido detectada con un umbral de confianza baja). En esta etapa del ataque el intervalo de tiempo entre la recepción de la dirección de correo y su lectura puede llevar desde unos pocos minutos hasta varias horas. La siguiente etapa consiste en la interacción del usuario. Desafortunadamente, no hay servidor de seguridad humana hasta el momento (que es algo que estamos trabajando), pero la formación de usuarios (un regalo muy raro). Como consecuencia de ello es atraído a la víctima a seguir el enlace malicioso o haga clic en el archivo adjunto malicioso. En el primer escenario se dirige al usuario a un sitio web infectado (o hecho a mano) donde se descarga e instala un malware (o también insertar algunas credenciales que se utilizan para robar su identidad, por ejemplo, para un inicio de sesión de acceso remoto). En el segundo escenario el usuario hace clic en el archivo adjunto que explota una vulnerabilidad 0-day para instalar una herramienta de administración remota. El intervalo entre la lectura del correo electrónico malicioso e instalación de la RAT toma probablemente varios segundos. En todo casoHerramientas de punto final de seguridad pueden ayudar a evitar el surf al sitio malicioso o, si el aprovechamiento de análisis de comportamiento, para detectar patrones anómalos desde una aplicación (un 0-día es siempre un 0-día y la frecuencia con la que son liberados después de hacer razonablemente seguro de no ser detectado por tradicional AV). Esperemos que en ambos casos unos troncos sospechosas son generados por el punto final. Control de rata es la siguiente etapa: después de la instalación del malware utiliza el protocolo HTTP en busca de comandos desde un servidor remoto C & C. Por supuesto, el tráfico malicioso se forja de manera que puede estar oculta dentro de tráfico legítimo. En cualquier caso, pasar el tráfico a través de servidores de seguridad y NIDS en el perímetro (reglas de concordancia que pueden introducirse en el tráfico). En este caso, ambos tipos de dispositivos debe suponerse para producir registros relacionados; Una vez en el control total del atacante, el equipo afectado se utiliza como un salto para el atacante para llegar a otros anfitriones (ahora que está en el interior) o también para barrer la red interna en busca de los datos de destino. En este caso unaNIDS / detector de anomalía debe ser capaz de detectar el ataque, el seguimiento, por ejemplo, el número de intentos de autenticaciones y los inicios de sesión erróneos: que es la forma en la que impidió un ataque perpetrado por medio de semillas RSA comprometidas, y también, durante el, NetWitness , adquirida por EMC, su empresa matriz inmediatamente después del evento. En este punto debe quedar claro que esta mezcla letal de amenazas está empujando a las empresas de seguridad para redefinir sus estrategias de producto, ya que se enfrentan al reto doble crucial para mejorar dramáticamente no sólo la capacidad de detección de 0 días, sino también para mejorar drásticamente la capacidad de gestionar y correlacionar los datos recogidos de sus soluciones de seguridad. En lo que se refiere a la capacidad de detección de 0 días, las tecnologías de próxima generación incluirán seguridad de punto final o también una nueva clase de dispositivos de red tales como (gracias a la presentación de informes para el artículo). En la medida de gestión de datos y la correlación se refiere, sí, por supuesto, un SIEM es hermoso concepto ... hasta que uno necesitaenfrentar el problema de la correlación, que en definitiva significa que a menudo proyectos SIEM se vuelven inútiles debido a los patrones de correlación, que son demasiado complejos y no es sencillo. Esta es la razón por la cual los proveedores líderes están acometiendo para incluir una tecnología SIEM integrados en su cartera de productos con el fin de proporcionar un motor de correlación fuera-de-la-caja optimizada para sus productos. El precio a pagar será probablemente una segmentación y verticalización de SIEM Mercado en el que llevar los vendedores tendrán su propia solución (no tan optimizado para las tecnologías de la competencia) a expensas de los proveedores generalistas SIEM. Por otra parte APT están vivos y coleando,. Por otra parte también están bien escondidas en cuenta que, de acuerdo con el emitido por Microsoft, de exploits en la primera mitad de 2011 fueron contra las vulnerabilidades de día cero. El 1% que marca la diferencia! Y es una gran diferencia! Artículos relacionados (paulsparrows.wordpress.com) Entradas relacionadas Compartir este: Como esto: Como Loading ...
