Equipando su Centro de Operaciones de Seguridad con SOAR

La COVID-19 no ha hecho más que agravar un panorama de amenazas ya complejo para el centro de operaciones de seguridad (SOC) actual, y los ciberdelincuentes se están aprovechando del caos. Algunas vulnerabilidades relacionadas incluyen el aumento de los ataques de phishing, el registro de dominios cuestionable y la necesidad de una mayor monitorización de las VPN.

Una solución de orquestación, automatización y respuesta de seguridad (SOAR) optimiza las capacidades de un SOC al automatizar tareas de respuesta a incidentes que consumen mucho tiempo, a la vez que orquesta el personal, los procesos y la tecnología de la organización. Tres usos de SOAR que han cobrado cada vez más importancia durante este período sin precedentes incluyen el phishing, la monitorización de dominios y la monitorización de VPN. En la siguiente publicación, analizaremos cada uno de estos casos de uso con mayor profundidad y analizaremos... infografía ¡al final!

Phishing

Según un Informe reciente sobre CIO Dive, Entre febrero y marzo de 2020, hubo un aumento del 667% en ataques de phishing con temática de virus. Y un Informe reciente de Forbes se observó un aumento de 350% en sitios web de phishing asociados.

Al automatizar la clasificación de phishing, las organizaciones suelen seguir un proceso documentado como este:

1. Se configura una solución SOAR para monitorear el buzón de correo de una organización donde los usuarios envían correos electrónicos sospechosos de ser spam y phishing.
2. Cuando llega un correo electrónico, se analiza automáticamente.
3. Detalles como el encabezado, el asunto, el cuerpo y las direcciones de correo electrónico se colocan en los campos de datos de un registro de caso.
4. También se analizan del correo electrónico otros indicadores potenciales, como la dirección IP, la URL y los nombres de dominio, y se agregan a los campos de registro correspondientes.
5. El uso de integraciones con otras herramientas utilizadas por la plataforma SOAR enriquece los datos y ayuda a determinar cómo se debe manejar el caso.

En un caso de uso de phishing Si se determina que el correo electrónico es malicioso, una acción adecuada podría ser aplicar una etiqueta de cuarentena o aislar un sistema host mediante una herramienta de detección y respuesta de endpoints o una herramienta de gestión de políticas de endpoints. La solución SOAR puede notificar inmediatamente al SOC y al usuario que envió el correo electrónico mediante herramientas de mensajería como Slack, SMS o correo electrónico. Se puede informar a los usuarios sobre el estado del flujo de trabajo automatizado y agradecerles el envío y su ayuda para detectar posibles amenazas. Los correos electrónicos maliciosos también podrían eliminarse de todos los buzones de los usuarios para evitar cualquier riesgo adicional. Los correos electrónicos benignos podrían activar notificaciones a los usuarios para agradecerles el envío y proporcionarles el resultado. También podrían existir muchas otras medidas posibles.

Monitoreo de dominios

Monitoreo de dominios Se puede utilizar para detectar y bloquear otros dominios relacionados con una situación urgente actual. Por ejemplo, nombres como "COVID" o "vacuna" o cualquier nombre que una organización quiera evaluar.

A Informe reciente de Computer Business Review Se demostró que, de 6000 dominios registrados en una sola semana, más de un tercio se consideraron sospechosos, y 93 de los dominios que ya se consideraban sospechosos se confirmaron como maliciosos al momento del informe. Es importante recordar que los atacantes no siempre activan un dominio ni lo convierten en un arma de inmediato. Un dominio puede permanecer inactivo durante un tiempo y luego volverse malicioso. En última instancia, es posible que muchos más de 93 se hayan utilizado con fines maliciosos.

Con SOAR, un equipo del SOC puede definir un conjunto de dominios monitoreados para detectar posibles dominios de squatting. Con un intervalo personalizable (normalmente una vez al día), la solución SOAR descarga los dominios recién registrados y los compara con la lista de dominios monitoreados para detectar similitudes de patrones.

Los equipos del SOC pueden revisar los registros y determinar si se trata de intentos de usurpación. Si el dominio no se resuelve, el registro permanece en la cola y la plataforma SOAR continúa intentando conectarse regularmente. Si el sitio se activa, se tomará una instantánea y se colocará en la cola de analistas. Al revisar cada registro, los analistas pueden marcar el dominio como malicioso, benigno o desconocido.

Monitoreo de VPN

Desde diversos dispositivos IoT hasta empleados con poca concienciación sobre ciberseguridad, los equipos del SOC han tenido que monitorear numerosas vulnerabilidades desde que la mayoría de los empleados se trasladaron a entornos remotos. Además, las organizaciones intentan proporcionar acceso remoto seguro a los recursos de la oficina mediante VPN.

Monitoreo de VPN Con SOAR, el personal puede determinar rápidamente el estado de la VPN, identificar interrupciones y realizar tareas básicas de resolución de problemas, como reiniciar los servicios. En muchos casos, la plataforma SOAR podrá restablecer el servicio automáticamente o permitir a los usuarios identificar problemas de la VPN, intentar una clasificación inicial y escalar los problemas restantes.

Los beneficios de SOAR van más allá de estos tres casos de uso. SOAR permite al SOC utilizar eficazmente los recursos existentes. El personal no está atado a tareas manuales, repetitivas y tediosas, ya que la orquestación, la automatización y la respuesta se realizan a la velocidad de una máquina. Además, una verdadera solución SOAR se integra con las herramientas existentes para formar un armamento único y cohesivo para un SOC optimizado.

Equipando su SOC con orquestación de seguridad, automatización y respuesta

Los atacantes se aprovechan de la situación actual y aprovechan las vulnerabilidades existentes y nuevas de las organizaciones. Es fundamental que los equipos de operaciones de seguridad optimicen los recursos con los que ya cuentan. Aquí es donde una solución de orquestación, automatización y respuesta de seguridad (SOAR) puede ser de gran ayuda. ¡Descarga esta infografía para descubrir cómo!

Descargar ahora