Informe semanal de Ciberseguridad - REF: ISC-00051 Fecha: 25/06/2021 - Evolutio

Página creada Enrique Muntadas
 
SEGUIR LEYENDO
Informe semanal de Ciberseguridad - REF: ISC-00051 Fecha: 25/06/2021 - Evolutio
Informe semanal de Ciberseguridad

REF: ISC-00051
Fecha: 25/06/2021
Next Generation CiSOC

El informe semanal de Ciberseguridad es un servicio que se lanza desde
evolutio Next Generation CiSOC, cuyo objetivo es compartir la actualidad de
nuestro sector.

• Nuestro editorial
  Esta semana firmada por Diego Rodriguez Carrancho (CiSOC Security Specialist)

• Noticias de Ciberseguridad
 Noticias más relevantes de Ciberseguridad de la semana

• Vulnerabilidades
  TOP 10 vulnerabilidades más críticas

• Amenazas
  Información del Malware identificado

                              Top semanales

                    Nuevas                                  Malware
                vulnerabilidades
                                                          Nobelium
                         653                                 Phishing
                                                              Fuente Mcafee

                       Exploit                               Sector
                  CVE-2018-                               Finanzas
                    11776                                    Fuente Fireeye
Next Generation CiSOC

                                   Nuestro editorial
   Como implementar Threat Hunting en tu organización III (HMM3 to HMM4)

El nivel HMM4 lo determina la “automatización”. A diferencia de los niveles anteriores, en este nivel de
madurez la organización ha sido capaz de liberar a los analistas de la carga de ejecutar ellos mismos
todos los procesos de forma manual una y otra vez. De este modo, los analistas pueden centrar su
trabajo en el diseño de nuevos procedimientos, en conocer mejor los TTP’s de los adversarios e ir
mejorando el programa de Threat Hunting.

Pero ¿Qué automatizamos?

Puede parecer confuso al principio que las descripciones de HMM0 y HMM4 tengan mucho que decir
sobre la automatización. De hecho, una organización HMM4 siempre tiene la automatización al frente de
sus mentes mientras crean nuevas técnicas de caza. Sin embargo, la diferencia radica en que las
organizaciones HMM0 dependen completamente de su detección automatizada, a base de reglas
generalmente de fuentes externas. Pueden dedicar tiempo a mejorar su detección creando nuevas firmas
o buscando nuevos feeds de inteligencia de amenazas para consumir, pero reaccionan a las alertas de
manera reactiva, no están cambiando la forma en que encuentran adversarios en su red, no están
cazando. Conforme se va madurando y creciendo de nivel se han incorporados nuevas herramientas de
detección y telemetrías, EDR, NDR, etc. que permite al equipo de Hunting procesos de búsqueda de
amenazas cada vez más complejos y sofisticados. Los analistas que dedican sus esfuerzos a la caza
proactiva son ingeniosos, curiosos y ágiles, cualidades que no pueden automatizarse en una herramienta
de detección.

Una organización en este nivel es esencialmente la misma que una en HMM3, con una diferencia
importante: la automatización. Cualquier proceso de búsqueda exitoso se pondrá en funcionamiento y se
convertirá en detección automatizada. Esto libera a los analistas de la carga de ejecutar los mismos
procesos una y otra vez y les permite, en cambio, concentrarse en mejorar los procesos existentes o crear
otros nuevos.

Además, durante el proceso de investigación y búsqueda de amenazas encontramos varios puntos
susceptibles a automatizar:
•        Firmas de artefactos.
•        Comportamientos como indicadores de actividad o alertas.
•        Informes y cuadros de mando.
•        Puntación de riesgo y reputación.
•        Enriquecimiento de información.
Next Generation CiSOC

Líder

La automatización de procesos de búsquedas y la agilidad que proporciona la automatización de la investigación y
respuesta permite a los analistas dedicar más tiempo en la investigación y desarrollo de nuevos procesos de
búsquedas más avanzados, lo que se traduce en una mejora constantes de la detección en su conjunto. Las
organizaciones que logran alcanzar el nivel HMM4 son extremadamente efectivas para resistir las acciones del
adversario.

Conclusión

El punto más importante y más repetido en el artículo es la importancia de liberar a los analistas de las tareas más
repetitivas, para así invertir tiempo en el desarrollo de nuevas investigaciones y por tanto, nuevos procesos y
automatizaciones.
Unas acciones más recomendables para automatizar y que libera de mucho tiempo a los analistas por repetitivas,
son las búsquedas de información sobre los IOC's y observables. Con la integración de un SOAR como por ejemplo
The Hive, podemos automatizar la creación de investigaciones (documentación) así como la búsqueda de
información de todo lo referente a dicha investigación.

.

Autor: Diego Rodriguez Carrancho (CiSOC Security Specialist)
.

                                                     Next Generation CiSOC

                  Titulares

Un nuevo ataque de secuestro de
servidor DNS expone a empresas y
agencias gubernamentales

https://www.darkreading.com/vulnerabilities---threats/new-dns-
name-server-hijack-attack-exposes-businesses-government-
agencies/d/d-id/1341377/

              Fuente: https://www.darkreading.com

El 80% de las organizaciones víctimas de
ransomware sufren un segundo ataque.

https://blog.knowbe4.com/80-of-ransomware-victim-
organizations-experience-a-second-attack

             Fuente: https://knowbe4.com

Microsoft avisa de que ahora los
atacantes utilizar el engaño del call
center para hacer que te descargues un
ransomware
https://www.zdnet.com/article/microsoft-warns-now-attackers-
are-using-a-call-centre-to-trick-you-into-downloading-
ransomware/

                Fuente: https://zdnet.com
Next Generation CiSOC

        Vulnerabilidades más comunes

               Vulnerabilidades                                   Vendor Reference
OpenSUSE Security Update for samba (openSUSE-SU-
                                                                 openSUSE-SU-2020:1526-1
2020:1526-1)
OpenSUSE Security Update for xstream (openSUSE-
                                                                 openSUSE-SU-2021:0832-1
SU-2021:0832-1)

Red Hat Update for OpenShift Container Platform 4.6.1
                                                                      RHSA-2020:4297
package (RHSA-2020:4297)

EOL/Obsolete Operating System: SUSE Linux
                                                        SUSE Linux Enterprise Server 12 SP4 End of Life
Enterprise Server 12 Service Pack 4 (SP4) Detected
EOL/Obsolete Operating System: SUSE Linux
                                                        SUSE Linux Enterprise Server 15 SP1 End of Life
Enterprise Server 15 SP1 Detected
EOL/Obsolete Software: Adobe Reader/Acrobat DC
                                                                  Adobe Acrobat/Reader DC
2015 Detected

EOL/Obsolete Software: Hypertext Preprocessor (PHP)
                                                                       PHP End of Life
7.2.x Detected

Debian Security Update for python-urllib3 (DLA 2686-
                                                                         DLA 2686-1
1)

Red Hat Update for grafana (RHSA-2021:1859)                           RHSA-2021:1859

CentOS Security Update for qt5-qtimageformats
                                                                      CESA-2021:2328
Security Update (CESA-2021:2328)

                           Vulnerabilidades por categorías

                                                                                          SUSE
                                                                                          Red Hat CoreOS
                                                                                          Fedora
                                                                                          RedHat
                                                                                          Local
Next Generation CiSOC

      TOP 3 Mail Attacks                     Worst Botnet Countries

       Mónaco                                          China
 Emiratos Árabes                                        India
        Serbia                               Estados Unidos
        Fuente Kaspersky                               Fuente Spamhaus

TOP 3 sectores amenazados                        TOP 3 exploits

       Finanzas                                CVE-2018-11776
     Consulting                                CVE-2017-11882
       Telecom                                 CVE-2012-0158
          Fuente Fireeye

                           TOP Categorías de Malware

                            Malware

                             Backdoor

                            Data Miner
Next Generation CiSOC
También puede leer