Procesar alertas de manera rápida y eficiente es la piedra angular del rol de un profesional del Centro de Operaciones de Seguridad (SOC). Las plataformas de inteligencia sobre amenazas pueden mejorar significativamente su capacidad para hacerlo. Averigüemos qué son estas plataformas y cómo pueden empoderar a los analistas.
El desafío: sobrecarga de alertas
El SOC moderno se enfrenta a un aluvión implacable de alertas de seguridad generadas por SIEM y EDR. Examinar estas alertas requiere mucho tiempo y recursos. Analizar una amenaza potencial a menudo requiere buscar en múltiples fuentes antes de encontrar evidencia concluyente para verificar si representa un riesgo real. Este proceso se ve obstaculizado aún más por la frustración de dedicar un tiempo valioso a investigar artefactos que, en última instancia, resultan ser falsos positivos.
Como resultado, una parte importante de estos eventos siguen sin investigarse. Esto pone de relieve un desafío crítico: encontrar la información necesaria relacionada con diferentes indicadores de forma rápida y precisa. Las plataformas de datos sobre amenazas ofrecen una solución. Estas plataformas le permiten buscar cualquier URL, IP u otro indicador sospechoso y recibir información inmediata sobre su riesgo potencial. Una de esas plataformas es Threat Intelligence Lookup de ANY.RUN.
Plataformas de inteligencia sobre amenazas al rescate
Las plataformas especializadas para investigaciones de SOC aprovechan sus bases de datos de datos de amenazas, agregados de diversas fuentes. Tomemos, por ejemplo, la Búsqueda de inteligencia de amenazas (TI Lookup) de ANY.RUN. Esta plataforma recopila indicadores de compromiso (IOC) de millones de sesiones de análisis interactivo (tareas) realizadas dentro del entorno limitado de ANY.RUN.
La plataforma ofrece una dimensión adicional de datos de amenazas: registros de procesos, registro y actividad de red, contenidos de línea de comandos y otra información del sistema generada durante las sesiones de análisis de espacio aislado. Luego, los usuarios pueden buscar detalles relevantes en estos campos.
Beneficios de las plataformas de inteligencia sobre amenazas
Visibilidad más profunda de las amenazas
En lugar de depender de fuentes de datos dispersas, estas plataformas ofrecen un único punto de acceso para buscar IOC en varios puntos de datos. Esto incluye URL, hash de archivos, direcciones IP, eventos registrados, líneas de comando y registros, lo que permite una identificación e investigación de amenazas más completa.
Investigaciones de alerta más rápidas
Cuando ocurre un incidente de seguridad, el tiempo es esencial. Las plataformas de TI ayudan a recopilar rápidamente datos relevantes de inteligencia sobre amenazas, lo que permite una comprensión más profunda de la naturaleza del ataque, los sistemas afectados y el alcance del compromiso. Esto puede acelerar y mejorar significativamente los esfuerzos de respuesta.
Caza proactiva de amenazas
Las plataformas de inteligencia de amenazas permiten a los equipos buscar activamente IOC conocidos asociados con familias de malware específicas. Este enfoque proactivo puede ayudar a descubrir amenazas ocultas antes de que se conviertan en incidentes importantes.
Pueden proporcionar acceso a datos que podrían revelar vulnerabilidades potenciales asociadas con amenazas conocidas. Esta información puede fundamentar las evaluaciones de riesgos y ayudar a las organizaciones a priorizar los esfuerzos de seguridad en función de los peligros más apremiantes.
Análisis de amenazas y toma de decisiones
Armados con información detallada sobre el comportamiento del malware, los equipos pueden analizar con mayor precisión las amenazas y tomar decisiones informadas sobre contención, remediación y futuras medidas preventivas. Este ciclo de aprendizaje continuo fortalece la postura general de seguridad y la competencia del equipo.
Ejemplos de consultas de la plataforma de inteligencia sobre amenazas
Búsqueda con indicadores individuales
Imagine que sospecha que un sistema comprometido dentro de su red está descargando archivos maliciosos. Identifica una dirección IP específica como fuente potencial y decide investigar más a fondo. Ingrese la dirección IP en la barra de búsqueda de una plataforma de inteligencia sobre amenazas. Al instante, la plataforma marca la dirección como maliciosa y la vincula al malware Remcos, ofreciendo información sobre dominios, puertos e incluso archivos asociados con esta IP.
También proporciona acceso a sesiones de análisis en las que estuvo involucrada esta dirección IP y enumera tácticas, técnicas y procedimientos (TTP) empleados por el malware en estas sesiones.
Podrás estudiar cada sesión en detalle simplemente haciendo clic sobre ella. El sistema lo llevará a la página de la sesión en el entorno limitado de ANY.RUN, donde podrá explorar todos los procesos, conexiones y actividad del registro, así como recopilar la configuración y los IOC del malware o descargar un informe completo de amenazas.
Búsqueda flexible con comodines
Otra característica útil de las plataformas de inteligencia sobre amenazas como TI Lookup es la capacidad de enviar comodines y consultas combinadas.
Por ejemplo, la consulta «binPath=*start= auto» utiliza el comodín asterisco y busca cualquier línea de comando con «binPath=» seguida de cualquier carácter que termine en «start= auto».
La plataforma devuelve cien sesiones donde apareció el mismo fragmento. Un examen más detenido de los resultados de la búsqueda indica que este artefacto específico de la línea de comandos es característico del malware Tofsee.
Solicitudes de búsqueda combinadas
Otra opción para realizar una investigación es agrupar todos los indicadores disponibles y enviarlos a la plataforma de inteligencia de amenazas para identificar todos los casos en los que estos criterios aparecen colectivamente.
Por ejemplo, puede crear una consulta que busque todas las tareas (sesiones) categorizadas como «archivo», ejecutadas en Windows 7, con un sistema operativo de 64 bits, conectándose al puerto 50500 y que contenga la cadena «schtasks» en la línea de comando. .
Luego, la plataforma identifica numerosas sesiones que cumplen con los criterios especificados y, además, proporciona una lista de IP etiquetadas con «RisePro», destacando el malware responsable.
Pruebe la búsqueda de inteligencia sobre amenazas
La búsqueda de inteligencia de amenazas de ANY.RUN le permite investigar amenazas con precisión. Analice procesos, archivos, actividad de red y más. Refine su búsqueda con más de 30 campos, incluidos IP, dominios, eventos registrados y técnicas MITRE. Combine parámetros para una comprensión holística. Utilice consultas con comodines para ampliar su alcance.
Solicitar una prueba para recibir 50 solicitudes gratuitas para explorar la plataforma.