El monitoreo agresivo de los cambios es un aspecto clave de la ciberseguridad

El monitoreo agresivo de los cambios es un aspecto clave de la ciberseguridad

COMENTARIO

Una defensa eficaz de la ciberseguridad se basa en varias capas. Cada nivel es importante y los riesgos aumentan tan pronto como un nivel se ve comprometido o falta. Además, nunca puede haber suficientes niveles. Aunque se pueden reducir los riesgos añadiendo capas, nunca se pueden eliminar todos los riesgos. Dos de las capas de defensa más esenciales son la supervisión de la integridad de los archivos y la detección de cambios. Ambos niveles son controlados y monitoreados por el programa de gestión de cambios de una organización.

En los primeros días de las redes de computadoras, recuerdo haber hecho cambios importantes sobre la marcha, sin ninguna documentación, aprobación, plan de respaldo o supervisión. Avancemos unos años y esta sería una manera rápida y fácil de encontrarnos desempleados y sin empleo.

El cambio, la detección y la gestión son tareas importantes que requieren coordinación, planificación, pruebas, documentación, desarrollo de planes de contingencia y obtención de aprobaciones de partes clave de la organización. A menudo, obtener aprobaciones puede llevar semanas o incluso meses. En muchas organizaciones, las aprobaciones de cambios hoy las realizan comités que monitorean muy de cerca los cambios para evitar problemas, interrupciones o interrupciones comerciales.

Ataques de actores de amenazas

Cuando Ataque de actores amenazantes. Para lograr sus objetivos, los piratas informáticos deben realizar cambios en su red. Su objetivo casi siempre es el beneficio económico. El actor malicioso debe encontrar una forma de ingresar a la red, como vulnerabilidades sin parches o phishing, y generalmente escalar las credenciales para lograr sus objetivos. A menudo, el actor malintencionado debe insertar cargas útiles, ejecutables, crear cuentas, modificar listas de control de acceso, utilizar software no aprobado, desactivar software o agentes y modificar registros y configuraciones de seguridad antes de causar un daño real. Todas estas acciones requieren modificaciones.

Cuando se detectan cambios, el actor malicioso aún no ha logrado sus objetivos. Se pueden activar soluciones de detección de cambios y monitoreo de la integridad de los archivos, alertando a la seguridad de la información antes de que el actor de la amenaza haya establecido el comando y control, conmutado por error a Active Directory, extraído datos confidenciales o iniciado procesos de cifrado. Estos sistemas de próxima generación pueden operar y alertar en tiempo real.

Las mayores amenazas

Sólo hay unas pocas razones por las que cambian archivos, software, sistemas operativos, bases de datos, aplicaciones o configuraciones:

  • Cambios de usuario final o administrador

  • Fallos de hardware o software

Habiendo pasado más de 30 años en ciberseguridad, las dos últimas cosas que más me preocupan son: malware y actores de amenazas.

Todos estos cambios, por el motivo que sea, tienen el mismo aspecto en los registros y la telemetría. Aquí es donde radica el problema. Es esencial que los responsables de la gestión de cambios, la tecnología de la información y la seguridad de la información comprendan qué causó estos cambios.

Para hacer esto, necesita tener un sistema sólido de monitoreo de cambios y integridad de archivos. Cuando estos sistemas detectan que se ha producido un cambio, alguien o un proceso debe conciliar ese cambio. ¿Existe un registro de cambios que explique el cambio? ¿Fue esto planeado? Si la respuesta es no, se debe abrir un segundo ticket y se debe iniciar inmediatamente una investigación abriendo un ticket de problema. Si el cambio en los registros está relacionado con una joya de la corona, la investigación debe considerarse urgente y se debe notificar al Equipo de Respuesta a Incidentes de Ciberseguridad.

Puede que no haya un ticket de cambio ni una explicación obvia, pero ningún malware o actividad malintencionada es responsable. Esta hipótesis debe descartarse lo antes posible. Los actores maliciosos están evolucionando rápidamente en estos días. tiempo de residencia Hace unos años, esto podría haber llevado unos meses; hoy en día, el tiempo de permanencia puede ser de sólo unas pocas horas.

Más el servidor, aplicación, base de datos, etc. son críticos, más importantes son los sistemas de monitoreo de integridad de archivos y detección de cambios. La criticidad de la actividad debe ser el aspecto determinante del nivel de inspección a realizar. De hecho, si la criticidad de la actividad es baja, es posible que no sea necesario monitorear la integridad de los archivos. El nivel de inspección de las modificaciones tal vez sea bajo.

File Integrity Monitoring (FIM) monitorea y analiza la integridad de endpoints, sistemas de archivos, bases de datos, recursos compartidos de archivos, dispositivos de red, diversos sistemas operativos y aplicaciones para detectar signos de corrupción o manipulación, que pueden indicar las actividades de actores maliciosos. Las herramientas FIM comparan la línea de base actual con una línea de base pasada y alertan cuando se detectan diferencias.

Hoy en día, los malos actores pueden ser muy sofisticados en sus técnicas de modificación de puntos finales. Muy a menudo, los sistemas de archivos, registros, archivos de configuración, archivos de sistema, listas de control de acceso, etc., se modifican durante un ataque y/o mientras un actor malicioso se mueve lateralmente durante un ataque. Los actores malintencionados pueden modificar los grupos de control de acceso, deshabilitar aspectos clave del registro o, en algunos casos, deshabilitar o desinstalar aplicaciones, agentes o monitoreo de seguridad. Este tipo de acciones aceleran la necesidad de una rápida detección, análisis y remediación de amenazas.

Cuando un profesional de la ciberseguridad puede detectar una amenaza a tiempo, aumenta la probabilidad de frustrar al actor de la amenaza y se minimiza el daño a los datos y los puntos finales. Hay muchos niveles para la detección temprana. La detección de cambios y la supervisión de la integridad de los archivos son sólo dos de las capas. Agregar estas dos capas de seguridad reduce el riesgo y permite mejores medidas de auditoría y cumplimiento.

Conclusión

Como siempre, la capacitación de los empleados es una parte integral de cualquier programa. Los empleados y la gerencia deben respaldar y cumplir plenamente ambos niveles de seguridad. Una vez que estos niveles estén establecidos, se puede implementar un enfoque proactivo con controles de seguridad definitivos contra el malware y los actores de amenazas. Esto garantizará que su organización minimice los riesgos contra los actores de amenazas y los ciberataques.