0
0
Um aviso conjunto de segurança cibernética lançado em 1º de setembroSt métodos técnicos detalhados para descobrir e responder a atividades maliciosas, incluindo mitigações de práticas recomendadas e erros comuns. Um esforço colaborativo, este aviso (codificado AA20-245A) é o produto de pesquisas das organizações de cibersegurança de cinco nações. Entre elas estão a Agência de Segurança cibernética e infraestrutura dos Estados Unidos(CISA),juntamente com suas entidades de contraparte do Canadá, Reino Unido, Austrália e Nova Zelândia.
O aviso conjunto é uma visão geral geral das melhores práticas de caça de ameaças e resposta a incidentes, dando conselhos técnicos sobre uma série de áreas que podem ajudar em uma investigação. Ele inclui informações sobre artefatos baseados em host e rede que são dignos de coleta, e fornece extensa orientação geral de mitigação de segurança para antes e durante um incidente.
Coleta recomendada de artefatos e informações
Descobrir atividades maliciosas requer revisar os dados de host e rede encontrados em seu ambiente. Armazenar troncos e outros artefatos são benéficos na detecção de indicadores conhecidos de comprometimento (COI), e uma busca e análise cuidadosa pode revelar comportamentos suspeitos. Conhecer as configurações e comportamentos da linha de base de seus sistemas e usuários pode ajudar a encontrar anomalias em seu ambiente. Muitas ferramentas de segurança foram projetadas para facilitar a detecção de ameaças com a detecção de alterações em tempo real ou a análise de log. Você já pode ter alguns para tirar proveito.
Os artefatos baseados em host que são dignos de coleta são enumerados no relatório e contêm itens como processos e serviços de execução, alertas de produtos de segurança, registros de eventos, aplicativos instalados e indicadores de persistência de malware, como chave de execução, tarefa programada ou configurações autorun. Existem inúmeros exemplos para práticas recomendadas pré e pós-incidente, como bloquear preventivamente arquivos de script como .js e .vbs, procurar processos suspeitos, coletar scripts e binários do local do arquivo temporário, arquivar arquivos de log e verificar chaves adicionais de shell segura suspeita (SSH) que podem ter sido adicionadas a arquivos de chaves autorizados.
Da mesma forma, artefatos baseados em rede devem ser coletados. As sugestões para isso incluem tráfego DNS suspeito e conexões remotas, como aplicativos de desktop remotos como RDP e VC, juntamente com sessões VPN ou SSH. O tráfego para hosts suspeitos em portos incomuns ou através de protocolos anômalos também deve ser registrado e armazenado com segurança para análise.
Processos recomendados de investigação e remediação
O aviso também fornece uma lista de erros comuns cometidos durante a investigação de incidentes e sugere muitos passos que você pode tomar para proteger seu ambiente. Erros podem ser classificados em categorias de comprometer as provas e/ou dar gorjeta ao agressor de que uma investigação começou. Uma ação como remendar e reiniciar um sistema pode alterar a memória que poderia ser investigada, ou pode limpar outros artefatos host. Avisar um invasor que eles estão prestes a ser descoberto pode levá-los a avançar novos ataques ou tentar cobrir seus rastros com mais cuidado. Realize a resposta a incidentes ou inicie uma investigação a partir de uma rede separada. Além disso, certifique-se de comunicação sobre o incidente e suas atividades são realizadas fora de banda.
Outros erros podem incluir apenas corrigir os sintomas de uma violação, como mudar credenciais quando o invasor pode ter outras contas sequestradas ou até mesmo acesso ao nível do diretório. Também pode envolver o bloqueio de um endereço IP malicioso específico quando outros podem provavelmente ser usados. Uma chave para um incidente é a coleta e remoção para análise de troncos e outros artefatos sem deixar o atacante saber que uma investigação está em andamento.
Melhores práticas para minimizar um incidente de segurança
Finalmente, a assessoria contém conselhos de segurança de boas práticas sobre uma variedade de assuntos valiosos em toda a linha do tempo, desde o incidente pré-segurança. Desde mitigações gerais de segurança, como a interrupção de serviços desnecessários, a restrição do acesso à rede para reduzir a área de superfície de ataque e a correção de vulnerabilidades à implementação de controles de acesso e educação do usuário, recomenda proteção tanto para sistemas on-premise quanto para o gerenciamento de configuração em nuvem.
O relatório é minucioso com extensa orientação de segurança de rede e outras práticas recomendadas. Ele também aconselha o estabelecimento de um programa de gerenciamento de vulnerabilidades, juntamente com o gerenciamento de configuração do servidor e a detecção de ponto final.
Orientação especializada para mitigar incidentes futuros
O Joint Cybersecurity Advisory, AA20-245A Technical Approaches to Uncoveringand Remediating Malicious Activity( AA20-245A), é um excelente recurso para quem quer ajudar a proteger seu ambiente, bem como responder a quaisquer incidentes que ocorram. Ele fornece orientações das principais agências de cibersegurança sobre práticas de segurança a implementar antes de um ataque, a fim de fornecer os melhores resultados em caso de uma violação de segurança.
FONTE: TRIPWIRE