Informe semanal de Ciberseguridad - REF: ISC-00051 Fecha: 25/06/2021 - Evolutio
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Informe semanal de Ciberseguridad REF: ISC-00051 Fecha: 25/06/2021
Next Generation CiSOC
El informe semanal de Ciberseguridad es un servicio que se lanza desde
evolutio Next Generation CiSOC, cuyo objetivo es compartir la actualidad de
nuestro sector.
• Nuestro editorial
Esta semana firmada por Diego Rodriguez Carrancho (CiSOC Security Specialist)
• Noticias de Ciberseguridad
Noticias más relevantes de Ciberseguridad de la semana
• Vulnerabilidades
TOP 10 vulnerabilidades más críticas
• Amenazas
Información del Malware identificado
Top semanales
Nuevas Malware
vulnerabilidades
Nobelium
653 Phishing
Fuente Mcafee
Exploit Sector
CVE-2018- Finanzas
11776 Fuente FireeyeNext Generation CiSOC
Nuestro editorial
Como implementar Threat Hunting en tu organización III (HMM3 to HMM4)
El nivel HMM4 lo determina la “automatización”. A diferencia de los niveles anteriores, en este nivel de
madurez la organización ha sido capaz de liberar a los analistas de la carga de ejecutar ellos mismos
todos los procesos de forma manual una y otra vez. De este modo, los analistas pueden centrar su
trabajo en el diseño de nuevos procedimientos, en conocer mejor los TTP’s de los adversarios e ir
mejorando el programa de Threat Hunting.
Pero ¿Qué automatizamos?
Puede parecer confuso al principio que las descripciones de HMM0 y HMM4 tengan mucho que decir
sobre la automatización. De hecho, una organización HMM4 siempre tiene la automatización al frente de
sus mentes mientras crean nuevas técnicas de caza. Sin embargo, la diferencia radica en que las
organizaciones HMM0 dependen completamente de su detección automatizada, a base de reglas
generalmente de fuentes externas. Pueden dedicar tiempo a mejorar su detección creando nuevas firmas
o buscando nuevos feeds de inteligencia de amenazas para consumir, pero reaccionan a las alertas de
manera reactiva, no están cambiando la forma en que encuentran adversarios en su red, no están
cazando. Conforme se va madurando y creciendo de nivel se han incorporados nuevas herramientas de
detección y telemetrías, EDR, NDR, etc. que permite al equipo de Hunting procesos de búsqueda de
amenazas cada vez más complejos y sofisticados. Los analistas que dedican sus esfuerzos a la caza
proactiva son ingeniosos, curiosos y ágiles, cualidades que no pueden automatizarse en una herramienta
de detección.
Una organización en este nivel es esencialmente la misma que una en HMM3, con una diferencia
importante: la automatización. Cualquier proceso de búsqueda exitoso se pondrá en funcionamiento y se
convertirá en detección automatizada. Esto libera a los analistas de la carga de ejecutar los mismos
procesos una y otra vez y les permite, en cambio, concentrarse en mejorar los procesos existentes o crear
otros nuevos.
Además, durante el proceso de investigación y búsqueda de amenazas encontramos varios puntos
susceptibles a automatizar:
• Firmas de artefactos.
• Comportamientos como indicadores de actividad o alertas.
• Informes y cuadros de mando.
• Puntación de riesgo y reputación.
• Enriquecimiento de información.Next Generation CiSOC Líder La automatización de procesos de búsquedas y la agilidad que proporciona la automatización de la investigación y respuesta permite a los analistas dedicar más tiempo en la investigación y desarrollo de nuevos procesos de búsquedas más avanzados, lo que se traduce en una mejora constantes de la detección en su conjunto. Las organizaciones que logran alcanzar el nivel HMM4 son extremadamente efectivas para resistir las acciones del adversario. Conclusión El punto más importante y más repetido en el artículo es la importancia de liberar a los analistas de las tareas más repetitivas, para así invertir tiempo en el desarrollo de nuevas investigaciones y por tanto, nuevos procesos y automatizaciones. Unas acciones más recomendables para automatizar y que libera de mucho tiempo a los analistas por repetitivas, son las búsquedas de información sobre los IOC's y observables. Con la integración de un SOAR como por ejemplo The Hive, podemos automatizar la creación de investigaciones (documentación) así como la búsqueda de información de todo lo referente a dicha investigación. . Autor: Diego Rodriguez Carrancho (CiSOC Security Specialist)
.
Next Generation CiSOC
Titulares
Un nuevo ataque de secuestro de
servidor DNS expone a empresas y
agencias gubernamentales
https://www.darkreading.com/vulnerabilities---threats/new-dns-
name-server-hijack-attack-exposes-businesses-government-
agencies/d/d-id/1341377/
Fuente: https://www.darkreading.com
El 80% de las organizaciones víctimas de
ransomware sufren un segundo ataque.
https://blog.knowbe4.com/80-of-ransomware-victim-
organizations-experience-a-second-attack
Fuente: https://knowbe4.com
Microsoft avisa de que ahora los
atacantes utilizar el engaño del call
center para hacer que te descargues un
ransomware
https://www.zdnet.com/article/microsoft-warns-now-attackers-
are-using-a-call-centre-to-trick-you-into-downloading-
ransomware/
Fuente: https://zdnet.comNext Generation CiSOC
Vulnerabilidades más comunes
Vulnerabilidades Vendor Reference
OpenSUSE Security Update for samba (openSUSE-SU-
openSUSE-SU-2020:1526-1
2020:1526-1)
OpenSUSE Security Update for xstream (openSUSE-
openSUSE-SU-2021:0832-1
SU-2021:0832-1)
Red Hat Update for OpenShift Container Platform 4.6.1
RHSA-2020:4297
package (RHSA-2020:4297)
EOL/Obsolete Operating System: SUSE Linux
SUSE Linux Enterprise Server 12 SP4 End of Life
Enterprise Server 12 Service Pack 4 (SP4) Detected
EOL/Obsolete Operating System: SUSE Linux
SUSE Linux Enterprise Server 15 SP1 End of Life
Enterprise Server 15 SP1 Detected
EOL/Obsolete Software: Adobe Reader/Acrobat DC
Adobe Acrobat/Reader DC
2015 Detected
EOL/Obsolete Software: Hypertext Preprocessor (PHP)
PHP End of Life
7.2.x Detected
Debian Security Update for python-urllib3 (DLA 2686-
DLA 2686-1
1)
Red Hat Update for grafana (RHSA-2021:1859) RHSA-2021:1859
CentOS Security Update for qt5-qtimageformats
CESA-2021:2328
Security Update (CESA-2021:2328)
Vulnerabilidades por categorías
SUSE
Red Hat CoreOS
Fedora
RedHat
LocalNext Generation CiSOC
TOP 3 Mail Attacks Worst Botnet Countries
Mónaco China
Emiratos Árabes India
Serbia Estados Unidos
Fuente Kaspersky Fuente Spamhaus
TOP 3 sectores amenazados TOP 3 exploits
Finanzas CVE-2018-11776
Consulting CVE-2017-11882
Telecom CVE-2012-0158
Fuente Fireeye
TOP Categorías de Malware
Malware
Backdoor
Data MinerNext Generation CiSOC
También puede leer
