Informe semanal de Ciberseguridad - REF: ISC-00050 Fecha: 18/06/2021 - Evolutio
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Informe semanal de Ciberseguridad REF: ISC-00050 Fecha: 18/06/2021
Next Generation CiSOC
El informe semanal de Ciberseguridad es un servicio que se lanza desde
evolutio Next Generation CiSOC, cuyo objetivo es compartir la actualidad de
nuestro sector.
• Nuestro editorial
Esta semana firmada por Diego Rodriguez Carranco (CiSOC Security Specialist)
• Noticias de Ciberseguridad
Noticias más relevantes de Ciberseguridad de la semana
• Vulnerabilidades
TOP 10 vulnerabilidades más críticas
• Amenazas
Información del Malware identificado
Top semanales
Nuevas Malware
vulnerabilidades
DarkSide
207 Ransomware
Fuente Mcafee
Exploit Sector
CVE-2018- Finanzas
11776 Fuente FireeyeNext Generation CiSOC
Nuestro editorial
Como implementar threat Hunting en tu organización (IV)
HMM2 a 3. Evolucionando al SOC.
En el Nivel 2 veíamos con la organización empezaba a realizar tareas de Threat Hunting usando
procedimientos de terceros, ya sea de proveedores de ciberseguridad o de OSINT. Estas organizaciones
cuentan con un alto nivel de tratamiento de la información generada y su equipo humano con alto grado
de conocimientos. El siguiente paso es poner en marcha todas estas piezas para generar procedimientos
de caza propios que no solo tienen en cuenta la superficie de ataque, sino también las características
propias.
Fuentes de información.
A estas alturas ya tenemos un conocimiento interno profundo, recolectamos, almacenamos y
procesamos la información generada, logs y eventos relevantes de nuestra organización, tenemos
capacidad de auditoria y los procesos necesarios para añadir nuevas fuentes, provenientes de nuevos
servicios. Tenemos visibilidad de todo lo que ocurre dentro de nuestros sistemas y somos capaces de
detectar los gaps a la vez que intentamos no crear nuevos.
Cuando llegamos a este nivel estamos listos para usar un nuevo ingrediente; Threat Intelligence. Si bien
este concepto empezamos a manejarlo en el nivel 1, añadiendo IOCs a nuestras búsquedas
automatizadas, en el nivel 3 iremos un paso más allá analizando los actores y las tácticas, técnicas y
procedimientos (TTPs) que emplean en profundidad.
Trabajaremos en la capacidad de adquirir la inteligencia propia enfocada en nuestro entorno, nuestro
sector de negocio y las amenazas que recibimos diariamente mediante herramientas de deception y
Honeypots. El análisis de artefactos, por ejemplo, se realizará de manera sistemáticas y no solo como
respuesta a la investigación de un incidente. Esto nos permitirá mejorar sustancialmente nuestros
sistemas de detección.
Cazando TTPs
Nuestros sistemas de alerta y detección han ido creciendo en madurez. En el nivel 0 usábamos las alertas
"por defecto" de nuestros sistemas de seguridad; firewalls, antivirus, SIEM, etc. Al pasar a nivel 1
empezamos a enriquecer esas aleras con IOCs y listas de artefactos que obteníamos de fuentes libres o
de nuestro proveedor. En nivel 2 adquirimos la mentalidad "proactiva" de búsqueda de amenazas y en el
nivel 3 aumentaremos estas capacidades asimilando la información de las fuentes de Threat Hunting
para aplicar nuestros procedimientos de caza. Combinado el conocimiento de nuestro entorno, podremos
crear nuestras propias hipótesis sobre las que trabajará nuestro equipo de Threat Hunting, el cual podrá
generar nuevos patrones de detección ad-hoc para los sistemas de monitorización de amenazas.Next Generation CiSOC Sumando En el nivel 2 habíamos dotado al equipo de Hunting de conocimientos altamente especializados. Esto en la práctica suele suponer la separación de los equipos de SOC y Hunting y aunque sigan unidos bajo el paraguas del Blue Team y convivan en una relación de simbiosis, debemos asegurarnos la separación de funciones. No podemos mirar las actuaciones del equipo de Hunting con las mismas expectativas que usábamos con nuestro SOC; medir su actividad con parámetros de "efectividad" o "precisión" conduciría a las investigaciones reactivas del SOC, las alertas reactivas son indicios de problemas, las hipótesis proactivas suelen llevar a la confirmación de negativos. Es muy peligroso aplicar conceptos como "Falsos Positivos" a las investigaciones de Threat Hunting y suele indicar que no se ha asimilado la "mentalidad del Hunter". No obstante, los equipos de SOC y Hunting deben trabajar siempre alineados. Hunting puede y debe tener en cuenta las investigaciones reactivas del SOC a la hora de seleccionar y elaborar sus hipótesis, al igual que los Hunters podrán ayudar y afinar las alertas de los sistemas de Threat Monitoring. Conclusión La gran visibilidad que nos aportan los datos recogidos, unidos a los conocimientos de Threat Intelligence y la alta formación de nuestros equipos son los pasos claves que nos permiten mantener nuestros sistemas de defensa en primera línea tecnológica, generando nuevas oportunidades de detección a la medida que se evaden a los sistemas de seguridad tradicionales y mejorando las investigaciones de las posibles brechas. .
.
Next Generation CiSOC
Titulares
Google trae SLSA framework para
asegurar la integridad en la cadena
de suministro
https://www.securityweek.com/google-intros-slsa-framework-
enforce-supply-chain-integrity
Fuente: https://securityweek.com
Miles de servidores de Vcenter
permanecen abiertos a ataques en
Internet
https://beta.darkreading.com/vulnerabilities-threats/thousands-of-
vmware-vcenter-servers-remain-open-to-attack-over-the-
internet?_mc=NL_DR_EDT_DR_weekly_20210617&cid=NL_DR_ED
T_DR_weekly_20210617&elq_mid=104539&elq_cid=34333495
Fuente: https://darkreading.com
Los ataques a VPNs aumentaron
durante el primer trimestre
https://www.darkreading.com/attacks-breaches/vpn-attacks-
surged-in-first-quarter/d/d-
id/1341300?_mc=NL_DR_EDT_DR_weekly_20210617&cid=NL_DR
_EDT_DR_weekly_20210617&elq_mid=104539&elq_cid=3433349
5
Fuente: https://darkreading.comNext Generation CiSOC
Vulnerabilidades más comunes
Vulnerabilidades Vendor Reference
EOL/Obsolete Software: Open Secure Sockets Layer
OpenSSL End of Life Policy
(OpenSSL) 0.9.8 through 1.1.0 Detected
Oracle Enterprise Linux Security Update for glibc
ELSA-2021-9280
(ELSA-2021-9280)
Debian Security Update for libwebp (DSA 4930-1) DSA 4930-1
Red Hat Update for tcpdump (RHSA-2021:2191) RHSA-2021:2191
Fedora Security Update for nginx (FEDORA-2021-
FEDORA-2021-b37cffac0d
b37cffac0d)
Fedora Security Update for glibc (FEDORA-2021-
FEDORA-2021-7ddb8b0537
7ddb8b0537)
TALOS-2021-1257,TALOS-2021-1264,TALOS-2021-
Accusoft ImageGear Multiple Vulnerabilities 1261,TALOS-2021-1289,TALOS-2021-1276,TALOS-
2021-1286,TALOS-2021-1275,TALOS-2021-1296
Google Android May 2021 Security Patch Missing for
May 2021
Huawei EMUI
WhatsApp For Android Out-of-bounds Write
CVE-2021-24026
Vulnerability
WhatsApp For iOS Out-of-bounds Write Vulnerability CVE-2021-24026
Vulnerabilidades por categorías
RedHat
OEL
Debian
Fedora
Mobile ApplicationNext Generation CiSOC
TOP 3 Mail Attacks Worst Botnet Countries
Serbia China
Mónaco India
Emiratos Árabes Estados Unidos
Fuente Kaspersky Fuente Spamhaus
TOP 3 sectores amenazados TOP 3 exploits
Finanzas CVE-2018-11776
Consulting CVE-2017-11882
Telecom CVE-2019-0708
Fuente Fireeye
TOP Categorías de Malware
Malware
Backdoor
Data MinerNext Generation CiSOC
También puede leer
