Al igual que los crímenes tradicionales en el mundo de la tecnología los delitos tienen un motivo, dejan pistas y pueden ser investigados. “Elemental mi querido Watson”
Un delito suele tener 3 etapas, una escena del crimen, un análisis en laboratorio de las pistas y un juicio en un tribunal, pero, ¿podemos trasladar esas etapas y las funciones de un detective a un escenario de ciberseguridad?
Escena del crimen:
Normalmente, se aísla una zona con cinta policiaca, en ciberseguridad podemos aislar endpoints de Windows, Linux o Mac que muestren actividad sospechosa.
El análisis de laboratorio:
Los indicadores de compromiso son las pistas de un detective de ciberseguridad, direcciones IP, nombres de Host, direcciones de correo electrónico de entrega, todo lo que se puede observar en una red o en un sistema operativo puede indicar intrusiones, una herramienta de ciberseguridad que te brinde visibilidad es el laboratorio.
Las pistas:
Podemos saber qué malware están utilizando los ciberdelincuentes con las herramientas adecuadas, por ejemplo “SIGNALS” de Tanium puede ayudar a identificar archivos y comandos armados en un equipo infectado. O descubrir comportamientos sospechosos con base a reglas predefinidas en procesos de red, registros, eventos de archivos para comportamientos maliciosos y metodologías de ataque.
El Juicio:
La recopilación y el análisis de datos digitales son fundamentales para la corrección, también sirven para prevenir futuros ataques, Tanium también ayuda a almacenar datos rápidos o completos de equipos infectados, esto sirve para evaluar la situación y saber si el equipo es “culpable” y tiene que ser corregido.
Los testigos:
Tanium Threat Response es la persona que estuvo en la escena, la vista de un árbol de procesos muestra el archivo, la red, el registro y actividad de procesos, esta página es el perfecto testigo.
Y por supuesto al final hay que limpiar la escena del crimen:
Eliminar procesos, detener servicios, eliminar archivos y entradas de registro, y más.
Las políticas de depuración de remediación se utilizan en los endpoints perdidos o robados al borrar de forma remota los datos no esenciales o congelar el punto final para evitar intentos de inicio de sesión.
Higiene cibernética:
Además de la investigación de delitos, Tanium también puede ayudar a prevenir ciberataques. Con parcheo (Tanium Patch), actualizar las funciones de seguridad en aplicaciones de terceros (Tanium Deploy) y buscar continuamente vulnerabilidades y configuraciones incorrectas (Tanium Comply), Tanium ayuda a mantener su vecindario más seguro y menos susceptible a la delincuencia pues ofrece a los investigadores de ciberseguridad excelentes herramientas para detectar, investigar, contener y remediar los delitos cibernéticos.
No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.
#NovaInforma
