Cuando el tiempo es esencial: probar los controles contra las amenazas más recientes con mayor rapidez

Simulación de ataque de brecha

Una nueva amenaza ha llegado a los titulares (¿Robinhood alguien?), Y necesita saber si está protegido en este momento. ¿A qué te dedicas?

Tradicionalmente, tendrías que ir con una de las siguientes opciones.

Opción 1: verifique manualmente que los IoC se hayan actualizado en todos sus controles de seguridad.

Esto requeriría verificar que los controles de seguridad, como su puerta de enlace de correo electrónico, puerta de enlace web y seguridad de punto final, se hayan actualizado con los indicadores de compromiso (IoC) de las amenazas más recientes que generalmente publican las empresas de AV que detectan los archivos binarios de malware primero.

Opción 2: cree una «copia al carbón» de su red y ejecute el binario de la amenaza en esa copia.

Si bien es seguro, los equipos de TI y seguridad pueden no estar al tanto de ciertas variaciones del trato real. Entonces, mientras la simulación de ataque se ejecuta contra una copia «ideal», su red real puede haber sufrido cambios inadvertidos, como un firewall que se ejecuta en modo de monitoreo, un parche que no se instala a tiempo y otras variaciones no intencionales. La imagen especular resultante se ha convertido inadvertidamente en una «filtrada».

Opción 3: construir una simulación de cosecha propia.

Si bien es efectivo, desarrollar su propia simulación de malware es un esfuerzo intensivo en tiempo y recursos que generalmente requiere un equipo dedicado a la evaluación de amenazas o vulnerabilidades.

Además, incluso si tiene los recursos, el tiempo de respuesta para lograr que una simulación en vivo y segura funcione puede no ser el ideal.

Opción 4: ejecute una simulación automatizada de la amenaza en su entorno de producción.

¿Qué pasaría si pudiera desafiar sus controles con una amenaza el día que aparece en los titulares? Aquí es donde las pruebas automatizadas de eficacia de la seguridad pueden ayudar.

Al ejecutar simulaciones de los últimos ataques cibernéticos contra los controles necesarios para detectarlos correctamente, puede asegurarse de que su arsenal de seguridad actual esté detectando IoC riesgosos y cerrar cualquier brecha más rápido.

Probar la efectividad del control de seguridad más rápido

Usando una imagen dorada dedicada de una estación de trabajo (o servidor) estándar, las simulaciones de ataque se pueden ejecutar continuamente en un sistema designado en una red de producción. De esta forma, los datos de un usuario real no se ven comprometidos, al tiempo que le permite verificar la capacidad de la última amenaza para eludir sus controles de seguridad.

Al ejecutar simulaciones continuas o diarias de las amenazas más recientes en su red, puede determinar si sus controles detectan IoC, como direcciones URL de comando y control (C2) y hash de archivos maliciosos.

cimula
Amenazas inmediatas disponibles para simulación después de su descubrimiento [click the image to view full size]

real contra Ataques cibernéticos simulados: ¿cuál es la diferencia?

Entonces, ¿cuál es la diferencia entre un ataque real y uno simulado? En primer lugar, las simulaciones generalmente se ejecutan en un sistema dedicado para evitar comprometer el sistema de un usuario real.

Para las comunicaciones C2, una simulación intentará establecer una conexión a través de HTTP/S, con un agente instalado en el punto final que actúa como proxy para bloquear cualquier solicitud maliciosa enviada y desconectar la conexión al final de la prueba.

Cuando se prueban los controles de seguridad de puntos finales, en lugar de ejecutar una carga útil real, una técnica de simulación consiste en dejar caer una muestra de malware para ver si los controles de seguridad pueden detectarlo y eliminarlo.

Para probar la efectividad de una puerta de enlace de correo electrónico, un ataque simulado enviará correos electrónicos con archivos adjuntos armados que contienen diferentes comportamientos maliciosos pero que son inofensivos para el sistema de destino. Un agente sentado encima del cliente de correo electrónico maneja los correos electrónicos entrantes y los elimina inmediatamente después.

Conocimientos inmediatos contra amenazas inmediatas

¿Qué tipo de conocimientos pueden descubrir las simulaciones? Los desafiantes controles de seguridad del correo electrónico pueden revelar si su puerta de enlace de correo electrónico está bloqueando archivos anidados de varias capas, si se ha configurado una política para filtrar direcciones de correo electrónico falsificadas o formatos de archivo poco utilizados, o si los archivos comprimidos (p. ej., ZIP) se escanean para evitar ejecutables de aterrizar en el buzón de un usuario.

Para evitar descargas ocultas, puede alertar de que su puerta de enlace web no está bloqueando las descargas asociadas con las URL de la amenaza más reciente. Y en relación con la seguridad de puntos finales, es posible que se dé cuenta de que su solución actual no bloquea ni detecta las cargas útiles caídas en el disco.

Resultados de la simulación de amenazas inmediatas: bloqueadas o penetradas [click the image to view full size]

¿Listo para probar la efectividad de sus controles de seguridad contra las amenazas más recientes?

Comience aquíu obtenga más información sobre los servicios basados ​​en SaaS simulación de brechas y ataques.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática