Para luchar contra las técnicas de vivir de la tierra (LOTL), la Agencia de Seguridad Nacional (NSA) ha publicado una guía de mejores prácticas para el registro de eventos. La publicación detalla las mejores prácticas para el registro de eventos y la detección de amenazas en servicios en la nube, redes empresariales, dispositivos móviles y redes de tecnología operativa (OT) para garantizar la entrega continua de sistemas críticos. El documento señala que los actores de amenazas persistentes avanzadas (APT) están empleando técnicas LOTL para evitar la detección. La guía está dirigida a una audiencia específica que incluye a los tomadores de decisiones senior de tecnología de la información (TI) y OT, administradores de red y proveedores de infraestructura crítica. La hoja de información de ciberseguridad Mejores prácticas para el registro de eventos y la detección de amenazas se ha publicado en cooperación con el Centro Australiano de Ciberseguridad (ASD ACSC) de la Dirección de Señales de Australia, el Centro Canadiense de Ciberseguridad, el Centro Nacional de Ciberseguridad del Reino Unido, CSA Singapur y otros socios internacionales. Cuatro factores clave a considerar en las mejores prácticas de registro Desarrollar e implementar una política de registro aprobada por la empresa mejora las posibilidades de una organización de detectar comportamiento malicioso en sus sistemas. Al seguir las mejores prácticas de registro, la guía sugirió cuatro factores clave a considerar. Estos son: Política de registro aprobada por la empresa Desarrollar e implementar una política de registro aprobada por la empresa mejora las posibilidades de una organización de detectar comportamiento malicioso en sus sistemas. La NSA y los coautores recomiendan que dicha política incluya detalles de los eventos que se registrarán, las instalaciones de registro de eventos que se utilizarán, cómo se monitorearán los registros de eventos, las duraciones de retención de registros de eventos y cuándo reevaluar qué registros vale la pena recopilar. Una política de registro también debe considerar las responsabilidades compartidas entre los proveedores de servicios y las organizaciones. Acceso y correlación centralizados de registros Las listas priorizadas de fuentes de registros detallan la probabilidad de que los activos sean el objetivo de actores maliciosos y el impacto potencial de su compromiso en redes empresariales, OT, computación en la nube y movilidad empresarial mediante dispositivos informáticos móviles. En el contexto de LOTL, las redes empresariales brindan a los actores maliciosos una variedad de herramientas nativas para explotar y la guía brinda una lista de fuentes de registros que las organizaciones deben priorizar en sus redes. Estos incluyen sistemas críticos y existencias de datos, servicios orientados a Internet y dispositivos de borde. Almacenamiento seguro e integridad de registros La guía recomienda que las organizaciones implementen una instalación de registro de eventos centralizada, como un lago de datos seguro, para permitir la agregación de registros y luego reenviar registros procesados ​​seleccionados a herramientas analíticas, como la solución de gestión de eventos e información de seguridad (SIEM) y las soluciones de detección y respuesta extendidas (XDR). Muchos dispositivos de infraestructura de red disponibles comercialmente tienen almacenamiento local limitado, señala la guía. El reenvío de registros de eventos a una capacidad de almacenamiento centralizada y segura evita la pérdida de registros una vez que se agota el almacenamiento del dispositivo local. Estrategia de detección para amenazas relevantes Se recomienda que las organizaciones consideren la implementación de capacidades de análisis de comportamiento de usuarios y entidades para permitir la detección automatizada de anomalías de comportamiento en redes, dispositivos o cuentas. Se observa que dichos análisis de comportamiento juegan un papel clave en la detección de actores maliciosos que emplean técnicas LOTL. Estudio de caso LOTL, Volt Typhoon La NSA destacó el caso de Volt Typhoon, un grupo de amenazas chino que utiliza técnicas LOTL para atacar infraestructura crítica. La campaña de Volt Typhoon ha sido posible gracias a enrutadores SOHO de propiedad privada, infectados con el malware ‘KV Botnet’. La guía de la NSA destaca que, si bien Volt Typhoon utiliza técnicas LOTL para dificultar la detección, los comportamientos que exhibe el malware se considerarían anormales en comparación con la actividad habitual y podrían usarse para crear casos de uso de detección.