Asunto:
El mapeo de Traducciones de Direcciones de Red (NATs) externas a la infraestructura interna puede ser un reto para los defensores. A menudo requiere complejas uniones de datos a través de múltiples recursos de registro dispares. Esta falta de visibilidad se presenta cuando se investigan firmas de amenazas que alcanzan NAT externas y se dirigen a la infraestructura subyacente. En la mayoría de los casos, el simple hecho de saber si la infraestructura subyacente está basada en Microsoft o en Linux puede eliminar la necesidad de una investigación completa o de escalar una alerta a los jefes de equipo de los SOC de nivel 2 o 3.
Solución:
Censys La gestión de la superficie de ataque (ASM) puede proporcionar una visibilidad completa de su infraestructura de TI de cara al exterior. Esta mayor visibilidad y conocimiento de la situación puede reducir el tiempo de triaje de las alertas y aumentar la estandarización del procesamiento de las alertas basadas en la red.
Escenario:
Un analista del Centro de Operaciones de Seguridad (SOC) recibe una alerta crítica o de alta prioridad para su clasificación y validación. El reloj se pone en marcha, ¡es hora de investigar! Cada segundo cuenta cuando los ciberdefensores de primera línea clasifican las alertas.
Ejemplo de firma de alerta:
(Alerta crítica)
El cortafuegos ha detectado la firma de exploit {signature} en IP/Host(Dirección IP NAT de carga externa equilibrada / Dominio)
La alerta se presenta a los analistas a través de un SIEM. El analista investiga el CVE/firma y recopila información clave. Armado con el contexto de la firma del exploit, es decir, la pregunta básica de qué tipo de sistema es potencialmente vulnerable, el analista está ahora listo para evaluar el objetivo de la firma de la amenaza alertada. En el cuerpo de la alerta se encuentra la IP externa NAT/carga balanceada y/o el nombre de dominio. En este punto, el analista sólo intenta confirmar o negar cuestiones básicas. ¿Es esta firma de amenaza capaz de afectar a este host? ¿Qué versión o versiones de software se ven afectadas? ¿El objetivo del exploit son los servidores Microsoft, la infraestructura basada en Linux o una aplicación/versión CMS específica? Se trata de preguntas básicas pero que requieren mucho tiempo cuando se evalúa manualmente una infraestructura de carga equilibrada.
Sin Censys ASM, el analista tendría que salir de sus herramientas internas y SIEM para evaluar manualmente la IP/dominio al que se dirigía la firma de amenaza. Garantizar que los analistas puedan procesar las alertas dentro de sus conjuntos de herramientas estándar es importante para la estandarización general de los procesos del SOC. Ya que aumenta la coherencia y la calidad de la toma de decisiones de los analistas.
¿Cómo puede ayudar Censys ASM?
Gracias a los escaneos diarios y a la información de host, no sólo podemos tomar huellas digitales de su cliente periférico, como F5 Big-IP, sino también de la infraestructura de servidores de carga equilibrada subyacente.
Ejemplo de ASM "Host Information" para un típico F5 BIG-IP NATd y Load Balanced IP. Censys scans are picking underlying Microsoft Servers. Puntos de datos vitales para la investigación de alertas de red del Analista SOC.
Ejemplo de información de host ASM:
Una rápida revisión de los datos de Censys ASM informa a nuestro analista SOC de que la infraestructura subyacente de este host está basada en Microsoft. Resulta que nuestro exploit de alerta de ejemplo sólo está diseñado para ciertas versiones de Linux. El analista puede documentar con confianza sus pasos para llegar a su conclusión. ¡Alerta cerrada!
Las huellas digitales de CMS también son puntos de datos importantes a la hora de clasificar las firmas de exploits observadas por su cortafuegos y también se mostrarán si se observan.
Un pivote de 60 segundos en Censys ASM data puede ahorrar tiempo a su equipo. Manualmente, este proceso podría llevar entre 10 y 15 minutos. Y no solo eso, la calidad de la revisión por parte de los analistas aumenta con el uso de fuentes de verdad estándar conocidas.
Para llevar este concepto un paso más allá, los datos de Censys ASM pueden integrarse en soluciones SIEM/SOAR en las que estos datos enriquecerían automáticamente la alerta de firma de exploit del cortafuegos. Alerta recibida, enriquecida con los datos de Censys ASM, alerta clasificada, alerta cerrada. El analista echa humo por la punta del ratón y toma un sorbo de café antes de pasar a la siguiente alerta.
