Manual de seguridad XOps - Escáneres y vulnerabilidades

Este manual describe cómo usar el Banco de Trabajo de Historias para investigar historias basadas en vulnerabilidades y actividades de escaneo.

Visión General

Este manual describe un enfoque sistemático para que los ingenieros del SOC investiguen posibles incidentes de seguridad relacionados con actividades de escaneo y vulnerabilidades. Proporciona un marco para recopilar información inicial, analizar el tráfico de la red y sacar conclusiones sobre la naturaleza de la amenaza.

El manual lo ayuda a identificar las diferentes etapas de un ataque a través de la red para ataques basados en actividades de escaneo y explotación de vulnerabilidades. Estas son algunas de las tácticas comúnmente asociadas con estos ataques:

Reconocimiento
Acceso inicial
Escalada de privilegios
Movimiento lateral
Exfiltración

Identificación de Escáneres e Historias de Vulnerabilidad

Los motores XOps identifican historias de escáner y vulnerabilidad principalmente basadas en firmas IPS que coinciden con comportamientos de amenazas específicos. Comprender el comportamiento que desencadenó la historia le da una mejor idea de cómo investigarla. La siguiente tabla muestra los formatos de diferentes firmas IPS para estos tipos de historias y describe el comportamiento potencialmente malicioso que coincide con la firma.

Firma IPS	Explicación
cid_cve_*	Vulnerabilidades con identificador CVE
cid_vuln_*	Vulnerabilidades sin identificador CVE
cid_scan_*	Para escáneres de red
cid_waf_*	Para escáneres de red y vulnerabilidades dirigidas a servicios web
feed_cid_cve_*	Para fuentes específicas de inteligencia de amenazas relacionadas con vulnerabilidades
feed_threat_scanner*	Para el tráfico entrante asociado con IPs que fueron clasificadas como Escáneres de Amenaza

Flujo de Investigación

Esta sección explica el flujo de investigación para identificar un ataque que se originó a partir de una actividad de escaneo o intento de explotación de vulnerabilidad.

Paso 1 - Recolectar Información Inicial sobre la Amenaza

Use el widget Detalles en la historia para recopilar información básica sobre la amenaza potencial. Revise la Descripción de la historia. Esto puede ayudar a focalizar la investigación basada en la lógica que generó la historia. Además, la sección de Historias Similares muestra otras historias que comparten indicadores y observables similares.

Para decidir si se requiere una investigación adicional, revise datos adicionales, por ejemplo:

Dirección: Esto impacta el proceso de investigación, para más información vea Paso 3 - Investigar de Acuerdo a la Dirección.
Origen/Destino: Esta pestaña muestra datos sobre los dispositivos impactados.

Nota: Para historias entrantes, el Destino se refiere al host afectado, mientras que el Origen se refiere al objeto investigado ubicado fuera de Cato. Esto puede ser ocasionalmente causado por dispositivos o sitios que no están configurados como parte de la red de Cato, o por errores de configuración.
Catálogo de Indicaciones: Esto puede ayudar a entender la lógica de la indicación.

Paso 2 - Identificación del Tipo de Amenaza

En una Historia de Escáner puede identificar el tipo de escáner basado en la firma que activó la historia y la aplicación indicada en la firma. Estos pueden estar asociados con un tipo específico como Nessus, o Qualys, o basados en un servicio o aplicación genérica y cantidad de tráfico.

En una Historia de Vulnerabilidad las referencias en los eventos te ayudan a entender la vulnerabilidad y enfocar la investigación en los IOCs relevantes.

El campo Referencia de Amenaza en el evento proporciona el enlace para buscar la amenaza en la Base de Datos Nacional de Vulnerabilidades.

Paso 3 - Investigar de Acuerdo a la Dirección

La Dirección de la historia impacta los siguientes pasos en la investigación:

Historia de Escaneo Entrante / Vulnerabilidad

El propósito de esta etapa de la investigación es identificar y verificar la posibilidad de un intento de Recolección de Información / Infiltración por un adversario externo.

En la tabla de Orígenes, examine las fuentes identificadas para determinar su potencial intención maliciosa:

Análisis de Parámetros de Tabla para Evaluación de Riesgo: Evalúe parámetros como la puntuación maliciosa, popularidad, categorías asociadas y el número de fuentes de inteligencia de amenazas asociadas con el origen para determinar la probabilidad de que el origen sea malicioso.
Use Enlaces de Origen para Búsqueda Externa: Realice una búsqueda externa usando los enlaces de origen en motores de búsqueda de terceros de confianza y bases de datos de seguridad. Busque cualquier contexto histórico, asociaciones o indicadores de conducta maliciosa vinculados al origen. Correlacione los datos recopilados para identificar conexiones entre los orígenes y otras entidades e intente determinar si hay vínculos con actores de amenazas conocidos, campañas o técnicas.
Flujos/Eventos Relacionados con el Ataque: Use la tabla designada para inspeccionar muestras de flujo de datos no procesadas correspondientes a la historia activada. Analice puntos de datos suplementarios de los flujos, como URLs, agentes de usuario, nombres de archivos y atributos relevantes adicionales, y compare estos parámetros contra los hallazgos de los pasos anteriores de la investigación para obtener información sobre el veredicto final de la fuente comunicante.

Después de entender el tipo de amenazas basado en los eventos relacionados de la historia, es importante profundizar en los eventos relacionados para obtener información adicional sobre el tráfico. Por ejemplo:

Verificar el tráfico y clasificarlo como un verdadero positivo o verdadero negativo basado en la referencia de la firma correlacionando con los datos encontrados en los eventos.
Entender el alcance de la amenaza:
- Revise el tráfico adicional de la fuente comunicante para entender si esta comunicación es nueva o ya ha sido vista antes.
- Revise fuentes adicionales con características de tráfico similares (aplicación, puerto de destino)
- Revise objetivos/hosts adicionales que fueron comunicados por la fuente investigada
- Revise las diferencias entre los eventos como diferentes URLs, puertos de destino, método de solicitud, etc.
- Verifique si el tráfico fue bloqueado basado en el campo Acción

Conclusión

Para las investigaciones de escáner, existen múltiples clasificaciones de escáneres conocidos y métodos de escaneo como:

Nessus
Nmap
Xmas
Barrido de Ping

Para investigaciones de vulnerabilidad, existen clasificaciones de vulnerabilidades conocidas como:

Inyección SQL
Inyección Cross-Site Scripting (Inyección XSS)

Si la vulnerabilidad específica en la historia no existe en la lista de clasificación, puedes agregarla localmente a tu cuenta haciendo clic en Nuevo y completando los campos relevantes.

En caso de que la historia sea un verdadero positivo y no haya sido bloqueada, se recomienda encarecidamente añadir las fuentes investigadas a la lista de bloqueo de la política RPF. Para más información, consulte Configuración del Reenvío de Puerto Remoto para la Cuenta.

En caso de que la historia sea un falso positivo, puedes clasificarla como Benigna/Informativa y también añadirla a una regla de Historias Mudas. (Si la historia resulta de una prueba de penetración legítima se recomienda añadirla a una regla de Historias Mudas para un rango de tiempo específico.)

Historia de Escaneo Saliente / Vulnerabilidad

El propósito de la investigación es identificar y verificar posibles casos de exfiltración, tráfico de Comando & Control, actividad de botnet, etc.

En la tabla de Objetivos, examine los objetivos identificados para determinar su potencial intención maliciosa:

Análisis de Parámetros de Tabla para Evaluación de Riesgo: Evalúe parámetros como la puntuación maliciosa, popularidad, categorías asociadas y el número de fuentes de inteligencia de amenazas asociadas con el objetivo para determinar la probabilidad de que el objetivo sea malicioso.
Use Enlaces de Objetivo para Búsqueda Externa: En casos de actividad de escaneo saliente, la investigación del objetivo puede ser difícil ya que la mayoría de los objetivos comunicados no son reconocidos por muchos, si acaso, motores de seguridad y carecen de datos externos.

Sin embargo, se recomienda utilizar fuentes externas para encontrar tanto contexto como sea posible utilizando cualquier contexto histórico, asociaciones o indicadores de conducta maliciosa vinculados al objetivo. Correlacione los datos recopilados para identificar conexiones entre los objetivos y otras entidades e intente determinar si hay vínculos con actores de amenazas conocidos, campañas o técnicas.
Flujos/Eventos Relacionados con el Ataque: Use la tabla designada para inspeccionar muestras de flujo de datos no procesadas correspondientes a la historia activada. Analizar puntos de datos suplementarios de los flujos, como puertos de destino, aplicaciones, URLs, agentes de usuario, países de destino y atributos adicionales relevantes, y comparar estos parámetros con los hallazgos de la investigación previa para obtener información sobre el veredicto final del objetivo de comunicación.

Después de comprender el tipo de amenazas basadas en los eventos relacionados de la historia, es importante profundizar en los eventos relacionados para obtener más información sobre el tráfico. Por ejemplo:

Verificar el tráfico y clasificarlo como un verdadero positivo o verdadero negativo basándose en la referencia de la firma que se correlaciona con los datos encontrados en eventos.
Comprender el alcance de la amenaza:
- Comprobar tráfico adicional del objetivo comunicante para entender si esta comunicación es nueva o ya se ha visto antes.
- Comprobar objetivos adicionales con características de tráfico similares (aplicación, puerto de destino).
- Comprobar objetivos/hosts adicionales que fueron comunicados por el objetivo investigado.
- Comprobar diferencias entre los eventos, como diferentes URLs, diferentes puertos de destino, método de solicitud, etc.
- Comprobar si el tráfico fue bloqueado según el campo de Acción.
Conclusión

Para las investigaciones de escáner, hay múltiples clasificaciones de escáneres conocidos y métodos de escaneo, tales como:
- Escaneo ICMP
- Escaneo SYN
- Escaneo SMTP
Para investigaciones de vulnerabilidades, hay clasificaciones de vulnerabilidades conocidas, tales como:
- Inyección SQL
- Inyección de secuencias de comandos entre sitios (Inyección XSS)
En caso de que la vulnerabilidad específica encontrada para la historia no exista en la lista de clasificación, puede agregarla localmente haciendo clic en Nuevo y completando los campos relevantes.

En caso de que la historia sea un verdadero positivo y no fue bloqueada, se recomienda encarecidamente agregar los objetivos investigados a una regla de bloqueo de firewall de Internet. Además, para los casos donde la firma IPS está en la lista de permitidos, se recomienda bloquearla utilizando una regla de firewall o editando la regla de permitir IPS para incluir solo objetivos conocidos.

En caso de que la historia sea un falso positivo, puede clasificarla como Benigna/Informativa y también agregarla a una regla de Historias Silenciadas. En caso de que la historia resulte de un escaneo legítimo/prueba de penetración, se recomienda agregarlo a una regla de Historias Silenciadas para un rango de tiempo específico.

Historia de Escaneo/Vulnerabilidad Orientada a WAN

El propósito de la investigación es identificar y verificar posibles casos de exfiltración, movimiento lateral, escalamiento de privilegios, etc.

La tabla de Objetivos puede proporcionar visibilidad para todos los objetivos comunicados.

Utilice la tabla para inspeccionar las muestras de flujo de datos no procesadas correspondientes a la historia activada. Analizar puntos de datos suplementarios de los flujos, como URLs, agentes de usuario, nombres de archivo y atributos adicionales relevantes, y comparar estos parámetros con los hallazgos de los pasos previos de la investigación para obtener información sobre el veredicto final de la fuente de comunicación.

Verificar el tráfico y clasificarlo como un verdadero positivo o verdadero negativo basándose en la referencia de la firma que se correlaciona con los datos encontrados en eventos.
Comprender el alcance de la amenaza:
- Comprobar tráfico adicional de la fuente de comunicación para entender si esta comunicación es nueva o ya se ha visto antes.
- Comprobar fuentes adicionales con características de tráfico similares (aplicación, puerto de destino).
- Comprobar objetivos/hosts adicionales que fueron comunicados por la fuente investigada.
- Comprobar diferencias entre los eventos, como diferentes URLs, diferentes puertos de destino, método de solicitud, etc.
- Comprobar si el tráfico fue bloqueado según el campo de Acción.
Para las investigaciones de escáner, hay múltiples clasificaciones de escáneres/métodos de escaneo conocidos, tales como:
- Nessus
- Nmap
- Xmas
- Barrido de Ping
Para investigaciones de vulnerabilidades, hay clasificaciones de vulnerabilidades conocidas, tales como:
- Inyección SQL
- Inyección de secuencias de comandos entre sitios (Inyección XSS)
En caso de que la vulnerabilidad específica encontrada para la historia no exista en la lista de clasificación, puede agregarla localmente haciendo clic en Nuevo y completando los campos relevantes.

En caso de que la historia sea un verdadero positivo y no fue bloqueada, se recomienda encarecidamente agregar los objetivos investigados a una regla de bloqueo de firewall de WAN. Además, para los casos donde la firma IPS está en la lista de permitidos, se recomienda bloquearla utilizando una regla de firewall o editando la regla de permitir IPS para incluir solo objetivos conocidos.

En caso de que la historia sea un falso positivo, puede clasificarla como Benigna/Informativa y también agregarla a una regla de Historias Silenciadas. Si la historia resulta de un escaneo legítimo o prueba de penetración, se recomienda agregarlo a una regla de Historias Silenciadas para un rango de tiempo específico.