Publicación de un aviso conjunto de ciberseguridad sobre búsqueda de amenazas y respuesta a incidentes
Un aviso conjunto de seguridad cibernética publicado el 1 de septiembre detalló los métodos técnicos para descubrir y responder a actividades maliciosas, incluidas las mejores prácticas de mitigación y errores comunes. Un esfuerzo colaborativo, este aviso (codificado AA20-245A) es el producto de la investigación de las organizaciones de seguridad cibernética de cinco naciones. Estos incluyen la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) junto con sus entidades homólogas de Canadá, Reino Unido, Australia y Nueva Zelanda.
El aviso conjunto es una descripción general de las mejores prácticas de búsqueda de amenazas y respuesta a incidentes, y brinda asesoramiento técnico sobre una serie de áreas que pueden ayudar en una investigación. Incluye información sobre artefactos basados en el host y la red que vale la pena recopilar, y proporciona una amplia guía general de mitigación de seguridad para antes y durante un incidente.
Recopilación de información y artefactos recomendados
Descubrir actividad maliciosa requiere revisar los datos del host y de la red que se encuentran en su entorno. El almacenamiento de registros y otros artefactos es beneficioso para detectar indicadores de compromiso (IOC) conocidos como malos, y la búsqueda y el análisis cuidadosos pueden revelar comportamientos sospechosos. Conocer la configuración básica y los comportamientos de sus sistemas y usuarios puede ayudar a encontrar anomalías en su entorno. Muchas herramientas de seguridad se han diseñado para facilitar la detección de amenazas con la detección de cambios en tiempo real o el análisis de registros. Es posible que ya tenga algunos para aprovechar.
Los artefactos basados en host que vale la pena recopilar se enumeran en el informe y contienen elementos como procesos y servicios en ejecución, alertas de productos de seguridad, registros de eventos, aplicaciones instaladas e indicadores de persistencia de malware, como la clave de ejecución, la tarea programada o la configuración de ejecución automática. Existen numerosos ejemplos de mejores prácticas previas y posteriores a los incidentes, como el bloqueo preventivo de archivos de secuencias de comandos como .js y .vbs, la búsqueda de procesos sospechosos, la recopilación de secuencias de comandos y archivos binarios de la ubicación del archivo temporal, el archivado de archivos de registro y la búsqueda de información adicional. claves sospechosas de shell seguro (SSH) que pueden haberse agregado a archivos de claves autorizadas.
De manera similar, se deben recopilar artefactos basados en la red. Las sugerencias para esto incluyen tráfico DNS sospechoso y conexiones remotas, como aplicaciones de escritorio remoto como RDP y VC junto con sesiones VPN o SSH. El tráfico a hosts sospechosos en puertos inusuales o mediante protocolos anómalos también debe registrarse y almacenarse de forma segura para su análisis.
Procesos recomendados de investigación y remediación
El aviso también proporciona una lista de errores comunes cometidos durante la investigación de incidentes y sugiere muchos pasos que puede seguir para proteger su entorno. Los pasos en falso se pueden clasificar en categorías de compromiso de la evidencia y/o aviso al atacante de que se ha iniciado una investigación. Una acción como parchear y reiniciar un sistema puede alterar la memoria que podría investigarse o podría borrar otros artefactos del host. Advertir a un atacante que está a punto de ser descubierto podría llevarlo a avanzar en más ataques o intentar cubrir sus huellas con más cuidado. Realice una respuesta a incidentes o inicie una investigación desde una red separada. Además, asegúrese de que la comunicación sobre el incidente y sus actividades se lleve a cabo fuera de banda.
Otros errores pueden incluir solo corregir los síntomas de una infracción, como cambiar las credenciales cuando el atacante puede tener otras cuentas secuestradas o incluso acceso a nivel de directorio. También podría implicar el bloqueo de una dirección IP maliciosa específica cuando es probable que se puedan usar otras. Una conclusión clave para un incidente es la recopilación y eliminación para el análisis de registros y otros artefactos sin que el atacante sepa que se está llevando a cabo una investigación.
Mejores prácticas para minimizar un incidente de seguridad
Finalmente, el aviso contiene consejos de mejores prácticas de seguridad en una variedad de temas valiosos en toda la línea de tiempo, desde antes hasta después del incidente de seguridad. Desde mitigaciones generales de seguridad, como detener servicios innecesarios, restringir el acceso a la red para reducir el área de superficie de ataque y parchear vulnerabilidades hasta implementar controles de acceso de usuarios y educación, recomienda protección tanto para los sistemas locales como para la administración de la configuración en la nube.
El informe es completo con una guía extensa de seguridad de la red y otras mejores prácticas. También aconseja establecer un programa de gestión de vulnerabilidades junto con la gestión de la configuración del servidor y la detección de puntos finales.
Orientación de expertos para mitigar futuros incidentes
El Aviso Conjunto sobre Ciberseguridad, AA20-245A Enfoques técnicos para descubrir y remediar actividades maliciosas, es un excelente recurso para cualquiera que busque ayudar a proteger su entorno, así como responder a cualquier incidente que ocurra. Brinda orientación de las principales agencias de ciberseguridad sobre las prácticas de seguridad que se deben implementar antes de un ataque para brindar los mejores resultados en caso de una violación de la seguridad.