La caza de amenazas es el proceso de buscar actividad maliciosa y sus artefactos en un sistema informático o red. La búsqueda de amenazas se lleva a cabo de forma intermitente en un entorno, independientemente de si las soluciones de seguridad automatizadas han descubierto o no amenazas. Algunos actores de amenazas pueden permanecer inactivos en la infraestructura de una organización, extendiendo su acceso mientras esperan la oportunidad adecuada para explotar las debilidades descubiertas.
Por lo tanto, es importante realizar una búsqueda de amenazas para identificar a los actores maliciosos en un entorno y detenerlos antes de que alcancen su objetivo final.
Para realizar una caza de amenazas de manera efectiva, el cazador de amenazas debe tener un enfoque sistemático para emular el posible comportamiento del adversario. Este comportamiento adverso determina qué artefactos se pueden buscar que indiquen actividad maliciosa en curso o pasada.
MITRE ATT&CK
A lo largo de los años, la comunidad de seguridad ha observado que los actores de amenazas han utilizado comúnmente muchas tácticas, técnicas y procedimientos (TTP) para infiltrarse y pivotar en las redes, elevar los privilegios y filtrar datos confidenciales. Esto ha llevado al desarrollo de varios marcos para mapear las actividades y métodos de los actores de amenazas. Un ejemplo es el marco MITRE ATT&CK.
MITRE ATT&CK es un acrónimo que significa MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). Es una base de conocimiento bien documentada de las acciones y comportamientos de los actores de amenazas del mundo real. El marco MITRE ATT&CK tiene 14 tácticas y muchas técnicas que identifican o indican un ataque en curso. MITRE usa ID para hacer referencia a la táctica o técnica empleada por un adversario.
La plataforma unificada XDR y SIEM de Wazuh
Wazuh es una plataforma XDR y SIEM unificada de código abierto. La solución de Wazuh se compone de un único agente universal que se implementa en puntos finales monitoreados para la detección de amenazas y la respuesta automatizada. También tiene componentes centrales (servidor Wazuh, indexador y tablero) que analizan y visualizan los datos de eventos de seguridad recopilados por el agente Wazuh. Protege las cargas de trabajo locales y en la nube.
Caza de amenazas con Wazuh
Los cazadores de amenazas utilizan varias herramientas, procesos y métodos para buscar artefactos maliciosos en un entorno. Estos incluyen, entre otros, el uso de herramientas para el monitoreo de la seguridad, el monitoreo de la integridad de los archivos y la evaluación de la configuración de los puntos finales.
Wazuh ofrece capacidades sólidas como monitoreo de integridad de archivos, evaluación de configuración de seguridad, detección de amenazas, respuesta automatizada a amenazas e integración con soluciones que proporcionan fuentes de inteligencia de amenazas.
Módulo MITRE ATT&CK de Wazuh
Wazuh viene con el módulo MITRE ATT&CK listo para usar y reglas de detección de amenazas mapeadas contra sus ID de técnicas MITRE correspondientes. Este módulo tiene cuatro componentes que son:
a. El componente de inteligencia del módulo Wazuh MITRE ATT&CK : contiene información detallada sobre grupos de amenazas, mitigación, software, tácticas y técnicas utilizadas en ataques cibernéticos. Este componente ayuda a los cazadores de amenazas a identificar y clasificar diferentes TTP que utilizan los adversarios.
b. El componente de marco del módulo Wazuh MITRE ATT&CK : ayuda a los cazadores de amenazas a reducir las amenazas o los puntos finales comprometidos. Este componente utiliza técnicas específicas para ver todos los eventos relacionados con esa técnica y los puntos finales donde ocurrieron estos eventos.
c. El componente del tablero del módulo MITRE ATT&CK : ayuda a resumir todos los eventos en gráficos para ayudar a los cazadores de amenazas a tener una visión general rápida de las actividades relacionadas con MITRE en una infraestructura.
d. El componente de eventos MITRE ATT&CK de Wazuh : muestra los eventos en tiempo real, con sus respectivos MITRE ID, para comprender mejor cada alerta reportada.
Reglas y decodificadores Wazuh
Wazuh tiene reglas y decodificadores listos para usar para analizar datos de seguridad y tiempo de ejecución generados desde diferentes fuentes. Wazuh admite reglas para diferentes tecnologías (p. ej., Docker, CISCO, Microsoft Exchange), que se han asignado a sus ID de MITRE correspondientes. Los usuarios también pueden crear reglas y decodificadores personalizados y mapear cada regla con su táctica o técnica MITRE adecuada. Esta publicación de blog muestra un ejemplo de cómo aprovechar las reglas personalizadas de MITRE ATT&CK y Wazuh para detectar un adversario.
Módulo de evaluación de la configuración de seguridad (SCA)
El módulo SCA de Wazuh realiza escaneos periódicos en los puntos finales para detectar errores de configuración del sistema y de la aplicación. También se puede usar para buscar indicadores de riesgo, como archivos y carpetas maliciosos creados por malware. El análisis de los inventarios de software, los servicios, las configuraciones incorrectas y los cambios en la configuración de un punto final puede ayudar a los cazadores de amenazas a detectar ataques en curso.
Integración con soluciones de inteligencia de amenazas
Debido a su naturaleza de código abierto, Wazuh brinda la oportunidad de integrarse con las API de inteligencia de amenazas y otras soluciones de seguridad. Wazuh se integra con plataformas de inteligencia de amenazas de código abierto como Virustotal , URLHaus, MISP y AbuseIPDB , por nombrar algunas. Dependiendo de la integración, las alertas relevantes aparecen en el panel de control de Wazuh. Se puede consultar información específica, como direcciones IP, hash de archivos y URL, mediante filtros en el panel de control de Wazuh.
Monitoreo de integridad de archivos
El monitoreo de integridad de archivos (FIM) se usa para monitorear y auditar archivos y carpetas confidenciales en puntos finales. Wazuh proporciona un módulo FIM que supervisa y detecta cambios en directorios o archivos específicos en el sistema de archivos de un punto final. El módulo FIM también puede detectar cuándo los archivos introducidos en los puntos finales coinciden con hashes de malware conocido.
Archivos Wazuh
Los archivos de Wazuh se pueden habilitar para recopilar y almacenar todos los eventos de seguridad ingeridos desde los puntos finales monitoreados. Esta función ayuda a los cazadores de amenazas al proporcionarles datos que pueden usarse para crear reglas de detección y adelantarse a los actores de amenazas. Los archivos de Wazuh también son útiles para cumplir con las normativas cuando se requiere un historial de registros de auditoría.
Conclusión
El marco MITRE ATT&CK ayuda a clasificar e identificar adecuadamente las amenazas de acuerdo con los TTP descubiertos. Wazuh utiliza sus componentes dedicados MITRE ATT&CK para mostrar información sobre cómo los datos de seguridad de los puntos finales se corresponden con los TTP. Las capacidades de caza de amenazas de Wazuh ayudan a los analistas de seguridad cibernética a detectar ataques cibernéticos aparentes, así como compromisos subyacentes a la infraestructura.
Wazuh es una plataforma gratuita y de código abierto que pueden utilizar organizaciones con infraestructura local y en la nube. Wazuh tiene una de las comunidades de código abierto de más rápido crecimiento en el mundo, donde el aprendizaje, las discusiones y el soporte se ofrecen sin costo alguno. Consulte esta documentación para comenzar con Wazuh.
