Los feeds de inteligencia de amenazas (TI) proporcionan información crítica sobre el comportamiento del atacante para adaptar las defensas de una empresa al panorama de amenazas. Sin estos feeds, sus herramientas de seguridad, y las utilizadas por su proveedor de seguridad, carecerían de la inteligencia necesaria para defender las operaciones y activos cibernéticos.
Pero al provenir de comunidades de código abierto, compartidas y proveedores comerciales, los feeds de TI varían mucho en calidad. No abarcan todas las amenazas conocidas y a menudo contienen falsos positivos, lo que lleva al bloqueo de tráfico legítimo de red e impacta negativamente en el negocio. El equipo de seguridad de Cato Networks encontró que incluso después de aplicar las mejores prácticas del sector, el 30 por ciento de los feeds de TI contendrán falsos positivos o perderán indicadores de compromiso (IoCs) maliciosos.
Para abordar este desafío, Cato desarrolló un sistema de evaluación de reputación diseñado para el propósito. Estadísticamente, elimina todos los falsos positivos utilizando modelos de aprendizaje automático e IA para correlacionar información de red y seguridad fácilmente disponible. Esto es lo que hicimos, y aunque tal vez no tenga el tiempo ni los recursos para construir un sistema similar por sí mismo, aquí está el proceso de cómo puede hacer algo similar en su red.
El mayor desafío para cualquier equipo de seguridad es identificar y detener amenazas con mínima interrupción al proceso de negocio. El alcance y el ritmo de innovación de los atacantes coloca a la empresa promedio a la defensiva. Los equipos de TI a menudo carecen de las habilidades y herramientas necesarias para detener amenazas. Incluso cuando tienen esos ingredientes básicos, las empresas solo ven una pequeña parte del panorama de amenazas en general.
Los servicios de inteligencia de amenazas afirman llenar este vacío, proporcionando la información necesaria para detectar y detener amenazas. Los feeds de TI consisten en listas de IoCs, tales como direcciones IP, URLs y dominios potencialmente maliciosos. Muchos también incluirán la gravedad y frecuencia de amenazas.
Hasta la fecha, el mercado tiene cientos de feeds de TI pagados y no pagados. Determinar la calidad de los feeds es difícil sin conocer el alcance completo del panorama de amenazas. La precisión es particularmente importante para asegurar un mínimo de falsos positivos. Demasiados falsos positivos resultan en alertas innecesarias que abruman a los equipos de seguridad, impidiendo que detecten amenazas legítimas. Los falsos positivos también interrumpen el negocio, evitando que los usuarios accedan a recursos legítimos.
Los analistas de seguridad han tratado de evitar falsos positivos observando los IoCs comunes entre múltiples feeds. Se ha pensado que los feeds con más IoCs compartidos son más autoritativos. Sin embargo, al utilizar este enfoque con 30 feeds de TI, el equipo de seguridad de Cato aún encontró que el 78 por ciento de los feeds que se considerarían precisos continuaban incluyendo muchos falsos positivos.
Figura 1. En esta matriz, mostramos el grado de superposición de IoC entre los feeds de TI. El color más claro indica más superposiciones y mayor precisión del feed. En general, el 75% de los feeds de TI mostraron un grado significativo de superposiciones.
Para refinar aún más los feeds de seguridad, encontramos que aumentar nuestros datos de seguridad con datos de flujo de red puede mejorar drásticamente la precisión de los feeds. En el pasado, aprovechar los datos de flujo de red habría sido poco práctico para muchas organizaciones. Se habría requerido una inversión significativa para extraer datos de eventos de los dispositivos de seguridad y red, normalizar los datos, almacenarlos y luego tener las herramientas de consulta necesarias para interrogar ese almacén de datos.
El cambio hacia soluciones de Secure Access Service Edge (SASE), sin embargo, converge la red y la seguridad juntas. Los analistas de seguridad ahora podrán aprovechar los datos de eventos de red anteriormente no disponibles para enriquecer su análisis de seguridad. Particularmente útil en esta área es la popularidad de un IoC dado entre los usuarios reales.
En nuestra experiencia, el tráfico legítimo termina abrumadoramente en dominios o direcciones IP frecuentados por los usuarios. Lo entendemos intuitivamente. Los sitios visitados frecuentemente por los usuarios han estado operando típicamente por algún tiempo. (A menos que se esté tratando con entornos de investigación, que con frecuencia instancian nuevos servidores.) Por el contrario, los atacantes a menudo instancian nuevos servidores y dominios para evitar ser categorizados como maliciosos – y por ende ser bloqueados – por los filtros de URL.
Como tal, al determinar la frecuencia con la que los usuarios reales visitan los objetivos IoC – lo que llamamos el puntaje de popularidad – los analistas de seguridad pueden identificar objetivos IoC que probablemente sean falsos positivos. Cuanto menos tráfico de usuarios destinado a un objetivo IoC, menor es el puntaje de popularidad y mayor la probabilidad de que el objetivo probablemente sea malicioso.
En Cato, derivamos el puntaje de popularidad ejecutando algoritmos de aprendizaje automático contra un almacén de datos, que se construye a partir de los metadatos de cada flujo de todos los usuarios de nuestros clientes. Podría hacer algo similar al extraer información de red de varios logs y equipos en su red.
Para aislar los falsos positivos encontrados en los feeds de TI, puntuamos los feeds de dos maneras: "Puntuación de Superposición" que indica la cantidad de IoCs superpuestos entre feeds y "Puntuación de Popularidad" Idealmente, nos gustaría que los feeds de TI tuvieran una alta Puntuación de Superposición y una baja Puntuación de Popularidad. Los IoCs verdaderamente maliciosos tienden a ser identificados por múltiples servicios de inteligencia de amenazas y, como se mencionó, son accedidos con poca frecuencia por usuarios reales.
Sin embargo, lo que encontramos fue justo lo contrario. Muchos feeds de TI (30 por ciento) tenían IoCs con baja Puntuación de Superposición y alta Puntuación de Popularidad. Bloquear los IoCs en estos feeds de TI llevaría a alertas de seguridad innecesarias y frustraría a los usuarios.
Figura 2. Al considerar la información de red, podríamos eliminar los falsos positivos que típicamente se encuentran en los feeds de inteligencia de amenazas. En este ejemplo, vemos el puntaje promedio de 30 feeds de inteligencia de amenazas (nombres eliminados). Aquellos por encima de la línea se consideran precisos. El puntaje es una proporción de la popularidad del feed con el número de superposiciones con otros feeds de TI. En general, se encontró que el 30% de los feeds contenían falsos positivos.
Usando la información de red, podríamos eliminar la mayoría de los falsos positivos, lo cual es beneficioso para la organización. Los resultados mejoran aún más, al alimentar este conocimiento de nuevo en el proceso de seguridad. Una vez que se sabe que un activo está comprometido, la inteligencia de amenazas externa se puede enriquecer automáticamente con cada comunicación que crea el host, generando inteligencia novedosa. Los dominios y direcciones IP que el host infectado contactó, y los archivos descargados, pueden ser marcados automáticamente como maliciosos y añadidos a los IoCs ingresando a los dispositivos de seguridad para una protección aún mayor.
Cato extiende sin problemas las capacidades internas de detección de amenazas de los clientes para monitorear continuamente la red en busca de endpoints comprometidos e infectados por malware. Debido a que el tráfico de red fluye a través de Cato, podemos ofrecer una detección sin huella de amenazas persistentes sin instalar agentes o dispositivos para obtener visibilidad del tráfico.
Cato ofrece un servicio de detección y respuesta gestionada de amenazas (MDR) para ayudar a detectar, investigar y asegurar su red y dispositivos conectados. Cato MDR utiliza una combinación de algoritmos de aprendizaje automático que minan el tráfico de red en busca de indicadores de compromiso, y verificación humana de anomalías detectadas. Luego, los expertos de Cato guían a los clientes sobre la remediación de endpoints comprometidos.
Para obtener más información sobre el servicio MDR, haga clic aquí.
0 comentarios
Inicie sesión para dejar un comentario.