Abordar las amenazas cibernéticas antes de que tengan la posibilidad de atacar o causar daños graves es, con diferencia, el mejor enfoque de seguridad que cualquier empresa puede adoptar. Lograr esto requiere mucha investigación y búsqueda proactiva de amenazas. El problema aquí es que es fácil quedarse atrapado en interminables conjuntos de datos y terminar sin información relevante.
Para evitar esto, utilice estas cinco técnicas probadas en batalla que seguramente mejorarán el conocimiento de las amenazas y la seguridad general de su empresa.
Encontrar amenazas dirigidas a organizaciones en su región
La forma más básica, pero de alto impacto, de conocer el panorama de amenazas actual para su empresa es ir y ver qué tipo de ataques están experimentando otras organizaciones en su región.
En la mayoría de los casos, los actores de amenazas intentan atacar a docenas de empresas al mismo tiempo como parte de una única campaña. Esto permite detectar la amenaza a tiempo y realizar los ajustes correctos en su organización.
Cómo contribuye a tu seguridad:
- Estrategia de defensa más específica y eficaz.
- Priorización precisa de amenazas.
- Optimización de recursos.
Cómo funciona:
Si bien hay varias formas de conocer el panorama actual de amenazas en su país, CUALQUIER EJECUCIÓN proporciona una de las soluciones más completas y fáciles de usar para esto.
Ejecuta una enorme base de datos pública de informes de análisis sobre las últimas muestras de malware y phishing, que más de 500.000 profesionales de la seguridad en todo el mundo cargan en el sandbox de ANY.RUN.
Se extraen numerosos datos de cada sesión de sandbox y los usuarios pueden buscarlos a través de ANY.RUN. Búsqueda de inteligencia de amenazas (TI). El servicio ofrece más de 40 parámetros diferentes, desde direcciones IP y hashes de archivos hasta claves de registro y mutex, lo que le ayuda a identificar amenazas utilizando los indicadores más pequeños con precisión.
Digamos que queremos ver qué tipo de amenazas de phishing se dirigen a organizaciones en Alemania, excluyendo al mismo tiempo las URL de la búsqueda (usando el operador NOT), ya que queremos centrarnos específicamente en archivos maliciosos. Para hacer esto, podemos escribir la siguiente consulta en TI Lookup:
nombre de amenaza: “phishing” Y país de envío: “de” NO tipo de tarea: “url”
 |
| Puede explorar cada sesión de sandbox mostrada por TI Lookup |
En segundos, obtenemos una lista de sesiones públicas de sandbox que incluyen documentos de phishing, correos electrónicos y otros tipos de contenido enviados a ANY.RUN por usuarios en Alemania.
Puede observar cada sesión de cerca de forma totalmente gratuita para obtener información adicional sobre las amenazas y recopilar inteligencia invaluable.
 |
| Una de las sesiones de espacio aislado de los resultados de TI Lookup, que muestra el análisis de un correo electrónico de phishing |
Como se muestra en la imagen de arriba, podemos ver el ataque completo en acción junto con todas las actividades de la red y del sistema registradas durante el análisis.
Comprobación de artefactos sospechosos del sistema y de la red con herramientas de TI
En un día normal, los departamentos de seguridad de organizaciones medianas reciben cientos de alertas. No todos se siguen adecuadamente, lo que deja un espacio que los atacantes pueden aprovechar. Sin embargo, simplemente agregar una capa más de verificación de todos los artefactos sospechosos con herramientas de TI puede potencialmente salvar a las organizaciones de pérdidas financieras y de reputación considerables.
Cómo contribuye a tu seguridad:
- Detección temprana de actividades maliciosas.
- Comprensión de las tácticas y técnicas utilizadas por los atacantes.
- Respuesta rápida a incidentes para minimizar el impacto.
Cómo funciona:
Un escenario común para los departamentos de seguridad es lidiar con conexiones IP inusuales. Dado que hay muchos casos de direcciones legítimas que generan alertas, es fácil para algunos empleados volverse complacientes y dejar que las direcciones realmente maliciosas se escapen.
Para eliminar tales situaciones, los empleados pueden verificar todas las direcciones IP en TI Lookup. A continuación se muestra un ejemplo de posible consulta:
 |
| TI Lookup proporciona información adicional para cada indicador, incluidos dominios, puertos y eventos. |
El servicio nos notifica instantáneamente sobre la naturaleza maliciosa de esta IP y proporciona más contexto: el nombre de la amenaza (Agente Tesla) y las sesiones de espacio aislado donde se registró esta IP.
De manera similar, los profesionales de la seguridad pueden verificar eventos del sistema como el uso de scripts sospechosos. Podemos incluir más de un indicador a la vez, para ver si alguno de ellos está vinculado a actividades maliciosas.
Considere esta consulta:
línea de comando:”C:\Users\Public\*.ps1″ O línea de comando:”C:\Users\Public\*.vbs”
Está configurado para buscar dos tipos de scripts: scripts en formato .ps1 y .vbs que se colocan en el directorio Público.
Como no conocemos los nombres de los archivos de estos scripts, simplemente podemos reemplazarlos con el comodín *.
 |
| Scripts que coinciden con la consulta |
TI Lookup nos proporciona una lista de scripts coincidentes, que se encuentran en numerosas sesiones de sandbox.
 |
| Lista de sesiones sandbox que incluyen los scripts solicitados |
Ahora podemos recopilar sus nombres, ver cómo funcionan como parte de un ataque y tomar medidas preventivas basadas en la información descubierta.
Explorando amenazas por TTP específicos
Si bien bloquear indicadores conocidos de compromiso (IOC) es un elemento importante de su seguridad, tienden a cambiar periódicamente. Es por eso que un enfoque más sostenible es confiar en tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes para infectar organizaciones de su industria.
Con las herramientas de TI, puede rastrear amenazas que utilizan TTP de su interés, observar su comportamiento y recopilar información invaluable sobre ellas para mejorar las capacidades de detección de su empresa.
Cómo contribuye a tu seguridad:
- Información detallada sobre los métodos de los atacantes.
- Desarrollo de contramedidas específicas.
- Defensa proactiva frente a amenazas emergentes.
Cómo funciona:
TI Lookup proporciona una matriz MITRE ATT&CK procesable, que incluye docenas de TTP, que van acompañados de sesiones de espacio aislado que presentan malware y amenazas de phishing que utilizan estas técnicas en acción.
 |
| TI Lookup ofrece una matriz MITRE ATT&CK procesable |
Es gratuito y está disponible incluso para usuarios no registrados. Puede explorar cómo se llevan a cabo los ataques y encontrar amenazas específicas que emplean TTP particulares.
 |
| TI Lookup proporciona ejemplos de amenazas para cada TTP |
La imagen de arriba muestra cómo el servicio proporciona información sobre T1562.001, una técnica utilizada por los atacantes para modificar las herramientas de seguridad y evitar la detección.
En el centro, TI Lookup enumera firmas relacionadas con esta técnica que describen actividades maliciosas específicas. A la derecha, puede explorar informes sobre amenazas relevantes.
Seguimiento de las amenazas en evolución
Las amenazas tienden a cambiar su infraestructura y evolucionar a medida que las organizaciones se adaptan a sus ataques. Por eso es vital no perder nunca de vista las amenazas que alguna vez supusieron un riesgo para su empresa. Esto se puede hacer obteniendo información actualizada sobre los últimos casos de esta amenaza y sus nuevos indicadores.
Cómo contribuye a tu seguridad:
- Acciones oportunas para mitigar las amenazas emergentes.
- Mayor conciencia situacional para los equipos de seguridad.
- Mejor preparación para futuros ataques.
Cómo funciona:
TI Lookup le permite suscribirse para recibir notificaciones sobre actualizaciones sobre amenazas específicas, indicadores de compromiso, indicadores de comportamiento, así como combinaciones de diferentes puntos de datos.
 |
| Para recibir notificaciones, simplemente ingrese su consulta y haga clic en el botón suscribirse |
Esto le permite estar al tanto de nuevas variantes y amenazas en evolución, adaptando sus defensas según sea necesario casi en tiempo real.
Por ejemplo, podemos suscribirnos a una consulta para recibir información sobre nuevos nombres de dominio y otras actividades de red relacionadas con Lumma Stealer:
 |
| TI Lookup le notifica sobre nuevos resultados para cada suscripción |
Pronto veremos cómo empiezan a aparecer nuevas actualizaciones.
 |
| Búsqueda de TI que muestra nuevos resultados |
Al hacer clic en la consulta suscrita, se mostrarán los nuevos resultados. En nuestro caso, podemos observar nuevos puertos utilizados en ataques que involucran a Lumma.
Enriquecimiento de información a partir de informes de terceros
Los informes sobre el panorama actual de amenazas son una fuente esencial de inteligencia sobre los ataques que pueden tener como objetivo sus organizaciones. Sin embargo, la información que contienen puede ser bastante limitada. Puede aprovechar el conocimiento existente y realizar su propia investigación para descubrir detalles adicionales.
Cómo contribuye a tu seguridad:
- Garantizar una imagen más completa del panorama de amenazas.
- Validación de datos de amenazas.
- Toma de decisiones más informada.
Cómo funciona:
Considere esto Ataque reciente dirigido a empresas manufactureras. con malware Lumma y Amadey. Podemos hacer un seguimiento de los hallazgos descritos en el informe para encontrar más muestras relacionadas con la campaña.
Para ello podemos combinar dos datos: el nombre de la amenaza y un archivo .dll utilizado por los atacantes:
 |
| Sesiones de espacio aislado que coinciden con la consulta |
TI Lookup proporciona docenas de sesiones de espacio aislado coincidentes, lo que le permite enriquecer significativamente los datos proporcionados en el informe original y utilizarlos para informar sus defensas contra este ataque.
Mejore y acelere la búsqueda de amenazas en su organización con TI Lookup
La búsqueda de inteligencia de amenazas de ANY.RUN proporciona acceso centralizado a los datos de amenazas más recientes de malware público y muestras de phishing.
Ayuda a las organizaciones con:
- Identificación proactiva de amenazas: Busque en la base de datos para identificar y actualizar proactivamente su defensa en función de la inteligencia descubierta.
- Investigación más rápida: Acelere la investigación de amenazas conectando rápidamente IOC aislados con amenazas específicas o campañas de malware conocidas.
- Monitoreo en tiempo real: Supervise la evolución de las amenazas recibiendo actualizaciones sobre nuevos resultados relacionados con sus indicadores de interés.
- Análisis forense de incidentes: Mejore el análisis forense de incidentes de seguridad mediante la búsqueda de información contextual sobre artefactos existentes.
- Colección del COI: Descubra indicadores adicionales buscando en la base de datos información relevante sobre amenazas.
Obtenga una prueba gratuita de 14 días de TI Lookup para probar todas sus capacidades y ver cómo puede contribuir a la seguridad de su organización.