Cómo automatizar la respuesta ante vulnerabilidades de credenciales

Cuando las empresas implementan Soluciones de automatización de seguridad de bajo código, Tienen la oportunidad de madurar como equipo de seguridad al ampliar la capacidad de acción más allá del centro de operaciones de seguridad (SOC). Esto significa que automatizan casos de uso más allá de los casos básicos de automatización y respuesta de orquestación de seguridad (SOAR), como Suplantación de identidad (phishing). Una vez que los equipos de seguridad liberan su trabajo de gran volumen, pueden automatizar los procesos de seguridad que abordan áreas como identidad, gestión de riesgos, red, privacidad, DevOps y mucho más.

Un cliente de Swimlane, al que llamaré Bank Mega, ha mejorado su gestión de riesgos automatizando la respuesta a las vulnerabilidades de credenciales para prevenir el fraude. Este caso práctico surgió tras detectar un intento de fraude con transferencias bancarias. Al automatizar completamente la investigación y la respuesta a las vulnerabilidades de credenciales, Bank Mega redujo significativamente su tiempo de espera, mejoró su gestión de riesgos y ahorró tiempo a sus analistas. Tan solo automatizando las vulnerabilidades de credenciales y el phishing, clientes como Bank Mega suelen ahorrarse el trabajo de un empleado a tiempo completo (ETC).

El evento de fraude de transferencia bancaria

Un cliente de Bank Mega informó haber recibido una factura del sistema de correo electrónico de Bank Mega, en la que se le solicitaba redirigir el pago. Afortunadamente, el cliente se dio cuenta de que el correo electrónico era fraudulento, por lo que no pagó la factura. En su lugar, contactó a Bank Mega con una evaluación de seguridad del proveedor actualizada y ampliada. Esta se envió utilizando credenciales que se descubrieron en un sitio de volcado de la Dark Web.

Automatización de seguridad de bajo código para la supervisión de credenciales

Bank Mega sabía que necesitaba una solución viable para garantizar que ellos y sus clientes no volvieran a estar expuestos a posibles fraudes con transferencias bancarias como este. Para reforzar su seguridad, se suscribieron a un servicio de monitoreo de vulnerabilidades de credenciales, a través de Futuro grabado, con el que se integraron Carril de natación, su herramienta de automatización de seguridad de bajo código.

Carril de natación y demostración futura grabada

Este Demostración de Swimlane y Recorded Future De nuestro cofundador y director de estrategia, Cody Cornell, y del director de arquitectura de soluciones, Bryon Page, se muestra cómo funciona este caso de uso en cinco sencillos pasos.

1. Dominio recuperado

Banco Mega apalancado El complemento API de Recorded Future y la seguridad de código bajo de Swimlane Plataforma de automatización para escanear identidades y dominios específicos que debían monitorearse. Ahora, los escaneos para detectar intentos de volcado de credenciales se realizan automáticamente cada 24 horas. La pila de carriles clasifica los resultados como bajos, medios, altos o críticos según la identidad encontrada.

2. Identidad investigada

Una forma en que Swimlane enriquece la inteligencia de amenazas de Recorded Future sobre credenciales comprometidas es consultando el Sistema de Gestión de Recursos Humanos (HRMS) de Bank Mega para determinar si las credenciales comprometidas pertenecen a un usuario activo o a un exempleado. Si Swimlane identifica que la vulneración involucra a un usuario activo, consulta al proveedor de Gestión de Acceso a la Identidad (IAM) de Bank Mega para determinar a qué sistemas o aplicaciones tiene acceso el usuario. Esto se determina en función de si el usuario es administrador del sistema, del departamento de recursos humanos, del departamento legal, colaborador individual, etc. Estos hallazgos son un ejemplo de cómo Swimlane evalúa la criticidad de la vulneración de credenciales.

3. Hash de contraseña validado

Simultáneamente, Swimlane ejecuta otras consultas para investigar la validez de las credenciales comprometidas. Para ello, utiliza los hashes obtenidos de diversas fuentes, como la Dark Web o listas de recopilación, para determinar si se trata de un hash válido.

4. Notificación de Slack enviada

En los casos en que la vulnerabilidad afecta a un empleado actual y se confirma la validez de las credenciales, Bank Mega no quiere esperar a que el analista resuelva el problema. Por ello, utiliza Swimlane para enviar al usuario un mensaje automático por Slack para informarle de que sus credenciales se restablecerán en 30 minutos. Los mensajes automáticos también pueden enviarse por correo electrónico o SMS.

5. Restablecimiento de contraseña

Luego, como se indica en la notificación de Slack, Swimlane restablece la contraseña en 30 minutos. Esta acción concluye el flujo de trabajo y resuelve eficazmente la vulnerabilidad de las credenciales.

Resultados que reducen el riesgo de terceros

El video de demostración muestra el valor de monitorear las credenciales de los empleados de Bank Mega. Cada vez más, vemos que los clientes aplican este caso práctico para monitorear las credenciales de proveedores de servicios o socios externos. Estos socios suelen tener acceso a entornos corporativos como portales de proveedores y socios. Al agregar socios a su lista de monitoreo, las empresas pueden reducir considerablemente el riesgo de terceros asociado con la interconexión de sistemas.

Contáctanos aquí para obtener más información sobre cómo Swimlane y Recorded Future trabajan juntos para automatizar sus casos de uso de inteligencia sobre amenazas.

Integración destacada: Módulo de inteligencia de identidad futura grabada

Monitoreo, evaluación y respuesta a volcados de credenciales

Leer más