Insuficiente supervisión interna de la red en ciberseguridad
Este artículo forma parte de una serie en la que analizamos un reciente Asesoramiento conjunto sobre ciberseguridad de la NSA/CISA sobre los principales problemas de ciberseguridad identificados durante los ejercicios del equipo rojo/azul llevados a cabo por estas organizaciones. En este artículo, encontrará una visión más profunda del problema específico, con escenarios del mundo real en los que es aplicable, así como estrategias de mitigación que pueden adoptarse para limitarlo o superarlo. Esto amplía la información proporcionada por el informe NSA/CISA.
La supervisión eficaz de la red interna es crucial para detectar y mitigar las ciberamenazas. Una monitorización insuficiente puede dejar a las organizaciones vulnerables a compromisos adversos no detectados. Este capítulo explora las implicaciones de una monitorización inadecuada de la red y proporciona estrategias para mejorar las capacidades de monitorización.
El problema de una supervisión insuficiente
Limitaciones en las configuraciones de los sensores de host y de red
Muchas organizaciones no configuran de forma óptima los sensores de host y de red para la recopilación de tráfico y el registro del host final. Esta inadecuación puede llevar a un compromiso no detectado de los adversarios y limita la capacidad de recopilar los datos de tráfico necesarios para establecer una línea de base de seguridad y detectar anomalías.
Retos de la supervisión basada únicamente en el host
Confiar únicamente en la supervisión basada en el host puede ser insuficiente, ya que este enfoque informa sobre las actividades adversas en hosts individuales, pero no sobre las actividades que atraviesan entre hosts. Por ejemplo, una organización con una supervisión basada en el host podría identificar hosts infectados pero no el origen de la infección, lo que obstaculizaría los esfuerzos para prevenir futuros movimientos laterales e infecciones.
Además, la falta de una correlación de supervisión adecuada entre los hosts dificulta la comprensión de los patrones, ya sea antes o después de la explotación, lo que conduce a ineficiencias y posibles descuidos al intentar rectificar la situación.
Fallo en la detección de movimientos laterales y actividades de mando y control
Las organizaciones con una supervisión insuficiente de la red podrían no detectar el movimiento lateral y las actividades de mando y control dentro de sus redes. Incluso las posturas de ciberseguridad más maduras pueden verse comprometidas si la supervisión de la red no es exhaustiva, como demuestran los equipos de evaluación que obtienen un acceso profundo sin activar respuestas de seguridad.
Estrategias de mitigación
Establecer una base de aplicaciones y servicios
Audite regularmente el acceso y uso de aplicaciones y servicios, especialmente para actividades administrativas. Esta práctica ayuda a comprender el comportamiento normal de la red, facilitando así la detección de anomalías.
Implantar una supervisión exhaustiva de la red
Combine la supervisión basada en el host con la supervisión de la red para obtener una visión completa del panorama de la ciberseguridad. Esta combinación permite detectar actividades maliciosas tanto en hosts individuales como a medida que se desplazan por la red.
Auditorías periódicas del tráfico de red
Realice auditorías rutinarias del tráfico y los patrones de la red para identificar actividades inusuales o intentos de acceso no autorizados. Este enfoque proactivo ayuda a la detección temprana y la respuesta a amenazas potenciales.
Uso de herramientas analíticas avanzadas
Emplee herramientas analíticas y algoritmos avanzados para analizar el tráfico de red en busca de patrones indicativos de ciberamenazas. Las técnicas de aprendizaje automático pueden ser especialmente eficaces para detectar ataques sofisticados que podrían eludir los métodos de supervisión tradicionales.
Formar al personal en prácticas de supervisión de redes
Asegúrese de que el personal informático está bien formado en prácticas de supervisión de redes y es consciente de las últimas ciberamenazas. Las sesiones de formación periódicas pueden ayudar a mantener al equipo actualizado sobre las nuevas tecnologías y los vectores de ataque.
Crear planes de respuesta a incidentes
Desarrollar y actualizar periódicamente planes de respuesta a incidentes que incluyan procedimientos para responder a las anomalías detectadas mediante la supervisión de la red. Estos planes deben incluir tanto respuestas técnicas como estrategias de comunicación.
Aplique una adecuada segregación de hosts
Si no hay razón para que dos hosts se comuniquen, entonces se debe considerar mover cada uno a segmentos de red separados. Aunque no es una política de supervisión per seesto al menos intenta reducir la visibilidad y la exposición de los actores de amenazas.
Cambiar las reglas de bloqueo por las de bloqueo y registro
Identifique e investigue los intentos bloqueados de comunicación entre sistemas separados. El simple bloqueo de la conexión puede hacer que los intentos de sondeo pasen desapercibidos durante largos periodos de tiempo.
Conclusión
Si comprenden las deficiencias de las prácticas de supervisión actuales y aplican estas estrategias de mitigación, las organizaciones pueden mejorar significativamente su capacidad para detectar y responder a las ciberamenazas.