Las soluciones de detección y búsqueda son un poco inapropiadas. Tradicionalmente, cuando discutimos la solución, estamos tratando de identificar una tecnología que ayude o realice la actividad. Por su propia naturaleza, la búsqueda de amenazas está tratando de identificar las amenazas que sus tecnologías no han podido detectar.
Identifique sus activos, supervise y aplique parches a sus vulnerabilidades, configure correctamente IDS / IPS de red, incluidos los conjuntos de reglas (me gusta Bro un poco mejor que otros), correlacione y enriquezca los IOC en su SIEM con feeds o una herramienta integral de inteligencia de amenazas. 😉
La detección de amenazas y la caza comienzan en el SIEM. La mayoría de las veces, las grandes empresas no carecen de alertas y feeds, sino que se ocupan de la sobrecarga de datos. ¿Qué tan rápido puedes correlacionar a cero? Necesita una forma de eliminar rápidamente los falsos positivos mientras identifica los indicadores que requieren más investigación. Aquí es donde la tecnología puede ayudar.
- ¿Qué piensa sobre la seguridad cibernética hoy en día y qué deben agregar los administradores de seguridad a sus conocimientos actuales?
- ¿Es cierto que la cantidad de archivos maliciosos de archivos .vbs distribuidos en Internet es mayor que los archivos .sh?
- ¿Es seguro allworkjob.com?
- ¿Qué es la gestión de eventos de información de seguridad?
- ¿Qué es una contraseña maestra y para qué se utiliza?
Una buena solución de inteligencia de amenazas puede ayudar con más investigación sobre los indicadores que demuestran características sospechosas / maliciosas.
Finalmente, la caza de amenazas vive en el ámbito de la identificación de adversarios y la investigación de TTP. Identifique los actores de amenazas relevantes para su negocio, perfile y monitoree sus características, herramientas, anuncios y actores asociados. Luego, busque dentro de sus redes esas características.
Las empresas a gran escala pueden aplicar con mayor éxito la inteligencia de amenazas para correlacionar y enriquecer rápidamente los COI, monitorear y rastrear a los actores y herramientas de amenazas, y las actividades de caza de amenazas de semillas. El análisis manual sigue siendo la mejor práctica para configurar las actividades de búsqueda de red, pero las herramientas pueden ayudar con las búsquedas reales.
Como la mayoría de las cosas en seguridad cibernética, no hay un botón fácil.