 |
|
|
Lumu Technologies, compañía de seguridad cibernética, entregó detalles sobre el poder que tienen los metadatos de red de una empresa u organización para saber si se encuentra comprometida o si alguien en su interior se está comunicándose con adversarios.
“Todos los ataques cibernéticos exitosos tienen un denominador común: que los cibercriminales deben utilizar la red para realizar sus ataques, ya sea la red corporativa, o la nube pública o privada. Las organizaciones generan constantemente cantidades enormes de datos, es por esta razón que el análisis de su propia metadata es la única fuente que permite a las organizaciones medir y entender de manera continua e intencionalmente su compromiso”, explicó Ricardo Villadiego, fundador y CEO de Lumu Technologies.
Lumu Technologies se dedica a capturar metadata de todas las comunicaciones que viajan en la red, como las resoluciones de DNS, Logs de acceso de Firewalls y Proxies, Netflows y Spambox, y enriquece dicha información para conectar los puntos que permiten identificar si la organización se está comunicando con infraestructura de cibercriminales.
A continuación, cuatro evidencias que se pueden encontrar al analizar metadatos y que permiten entender cómo se comporta la red de una organización:
1. Alteraciones del DNS (Domain Name System): Lo primero que hace un dispositivo
comprometido es intentar resolver un dominio que pertenece al adversario, si eso sucede la conclusión es evidente: la organización ha sido comprometida. “Analizar las resoluciones de DNS es fundamental, ya que provee contexto sobre los intentos de conexión entre los dispositivos de la organización y la infraestructura adversaria. Sin embargo, esto no es lo único a lo que se debe prestar atención, ya que existe todo un mundo más allá de las resoluciones de DNS”, indicó Villadiego.
2. Logs de acceso de Firewalls o Proxies: Si el atacante evita o no utiliza infraestructura de dominio, la única otra opción que tiene es utilizar una dirección IP. En ese caso, los rastros de contacto con el adversario se quedarán en los Logs de acceso de Firewalls o Proxies, por lo que analizar eso también resulta importante.
3. Netflows: Una vez que se sabe que la organización está comprometida lo siguiente que se querrá conocer es el objetivo implícito del atacante y cómo se está moviendo dentro de la red. Mediante la captura de metadatos de Netflows se puede entregar a la organización información relevante respecto a los intentos del adversario de moverse lateralmente.
4. Spambox: Según el reporte Data Breach 2019 de Verizon, el correo electrónico es el método preferido por los cibercriminales para concretar ataques hacia los usuarios finales de una organización, aunque generalmente las empresas olvidan la data que contiene el Spambox o buzón de correo basura. “El análisis del correo Spam o no deseado en una organización entrega detalles de quién está atacando, cómo está siendo atacada la organización y el tipo de ataque que la empresa está recibiendo. El cibercriminal que obtiene tráfico de una organización de manera exitosa está triunfando en comprometer a la empresa”, explicó el ejecutivo.
|
