Informe semanal de Ciberseguridad - REF: ISC-00051 Fecha: 25/06/2021 - Evolutio
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Next Generation CiSOC El informe semanal de Ciberseguridad es un servicio que se lanza desde evolutio Next Generation CiSOC, cuyo objetivo es compartir la actualidad de nuestro sector. • Nuestro editorial Esta semana firmada por Diego Rodriguez Carrancho (CiSOC Security Specialist) • Noticias de Ciberseguridad Noticias más relevantes de Ciberseguridad de la semana • Vulnerabilidades TOP 10 vulnerabilidades más críticas • Amenazas Información del Malware identificado Top semanales Nuevas Malware vulnerabilidades Nobelium 653 Phishing Fuente Mcafee Exploit Sector CVE-2018- Finanzas 11776 Fuente Fireeye
Next Generation CiSOC Nuestro editorial Como implementar Threat Hunting en tu organización III (HMM3 to HMM4) El nivel HMM4 lo determina la “automatización”. A diferencia de los niveles anteriores, en este nivel de madurez la organización ha sido capaz de liberar a los analistas de la carga de ejecutar ellos mismos todos los procesos de forma manual una y otra vez. De este modo, los analistas pueden centrar su trabajo en el diseño de nuevos procedimientos, en conocer mejor los TTP’s de los adversarios e ir mejorando el programa de Threat Hunting. Pero ¿Qué automatizamos? Puede parecer confuso al principio que las descripciones de HMM0 y HMM4 tengan mucho que decir sobre la automatización. De hecho, una organización HMM4 siempre tiene la automatización al frente de sus mentes mientras crean nuevas técnicas de caza. Sin embargo, la diferencia radica en que las organizaciones HMM0 dependen completamente de su detección automatizada, a base de reglas generalmente de fuentes externas. Pueden dedicar tiempo a mejorar su detección creando nuevas firmas o buscando nuevos feeds de inteligencia de amenazas para consumir, pero reaccionan a las alertas de manera reactiva, no están cambiando la forma en que encuentran adversarios en su red, no están cazando. Conforme se va madurando y creciendo de nivel se han incorporados nuevas herramientas de detección y telemetrías, EDR, NDR, etc. que permite al equipo de Hunting procesos de búsqueda de amenazas cada vez más complejos y sofisticados. Los analistas que dedican sus esfuerzos a la caza proactiva son ingeniosos, curiosos y ágiles, cualidades que no pueden automatizarse en una herramienta de detección. Una organización en este nivel es esencialmente la misma que una en HMM3, con una diferencia importante: la automatización. Cualquier proceso de búsqueda exitoso se pondrá en funcionamiento y se convertirá en detección automatizada. Esto libera a los analistas de la carga de ejecutar los mismos procesos una y otra vez y les permite, en cambio, concentrarse en mejorar los procesos existentes o crear otros nuevos. Además, durante el proceso de investigación y búsqueda de amenazas encontramos varios puntos susceptibles a automatizar: • Firmas de artefactos. • Comportamientos como indicadores de actividad o alertas. • Informes y cuadros de mando. • Puntación de riesgo y reputación. • Enriquecimiento de información.
Next Generation CiSOC Líder La automatización de procesos de búsquedas y la agilidad que proporciona la automatización de la investigación y respuesta permite a los analistas dedicar más tiempo en la investigación y desarrollo de nuevos procesos de búsquedas más avanzados, lo que se traduce en una mejora constantes de la detección en su conjunto. Las organizaciones que logran alcanzar el nivel HMM4 son extremadamente efectivas para resistir las acciones del adversario. Conclusión El punto más importante y más repetido en el artículo es la importancia de liberar a los analistas de las tareas más repetitivas, para así invertir tiempo en el desarrollo de nuevas investigaciones y por tanto, nuevos procesos y automatizaciones. Unas acciones más recomendables para automatizar y que libera de mucho tiempo a los analistas por repetitivas, son las búsquedas de información sobre los IOC's y observables. Con la integración de un SOAR como por ejemplo The Hive, podemos automatizar la creación de investigaciones (documentación) así como la búsqueda de información de todo lo referente a dicha investigación. . Autor: Diego Rodriguez Carrancho (CiSOC Security Specialist)
. Next Generation CiSOC Titulares Un nuevo ataque de secuestro de servidor DNS expone a empresas y agencias gubernamentales https://www.darkreading.com/vulnerabilities---threats/new-dns- name-server-hijack-attack-exposes-businesses-government- agencies/d/d-id/1341377/ Fuente: https://www.darkreading.com El 80% de las organizaciones víctimas de ransomware sufren un segundo ataque. https://blog.knowbe4.com/80-of-ransomware-victim- organizations-experience-a-second-attack Fuente: https://knowbe4.com Microsoft avisa de que ahora los atacantes utilizar el engaño del call center para hacer que te descargues un ransomware https://www.zdnet.com/article/microsoft-warns-now-attackers- are-using-a-call-centre-to-trick-you-into-downloading- ransomware/ Fuente: https://zdnet.com
Next Generation CiSOC Vulnerabilidades más comunes Vulnerabilidades Vendor Reference OpenSUSE Security Update for samba (openSUSE-SU- openSUSE-SU-2020:1526-1 2020:1526-1) OpenSUSE Security Update for xstream (openSUSE- openSUSE-SU-2021:0832-1 SU-2021:0832-1) Red Hat Update for OpenShift Container Platform 4.6.1 RHSA-2020:4297 package (RHSA-2020:4297) EOL/Obsolete Operating System: SUSE Linux SUSE Linux Enterprise Server 12 SP4 End of Life Enterprise Server 12 Service Pack 4 (SP4) Detected EOL/Obsolete Operating System: SUSE Linux SUSE Linux Enterprise Server 15 SP1 End of Life Enterprise Server 15 SP1 Detected EOL/Obsolete Software: Adobe Reader/Acrobat DC Adobe Acrobat/Reader DC 2015 Detected EOL/Obsolete Software: Hypertext Preprocessor (PHP) PHP End of Life 7.2.x Detected Debian Security Update for python-urllib3 (DLA 2686- DLA 2686-1 1) Red Hat Update for grafana (RHSA-2021:1859) RHSA-2021:1859 CentOS Security Update for qt5-qtimageformats CESA-2021:2328 Security Update (CESA-2021:2328) Vulnerabilidades por categorías SUSE Red Hat CoreOS Fedora RedHat Local
Next Generation CiSOC TOP 3 Mail Attacks Worst Botnet Countries Mónaco China Emiratos Árabes India Serbia Estados Unidos Fuente Kaspersky Fuente Spamhaus TOP 3 sectores amenazados TOP 3 exploits Finanzas CVE-2018-11776 Consulting CVE-2017-11882 Telecom CVE-2012-0158 Fuente Fireeye TOP Categorías de Malware Malware Backdoor Data Miner
Next Generation CiSOC
También puede leer