MITRE ATT&CK en Skyhigh Security's CASB - Defender con precisión

3 de junio de 2022

Por Rodman Ramezanian - Asesor de seguridad de la nube empresarial, Skyhigh Security

Como dijo célebremente el antiguo estratega militar Sun Tzu "Si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de cien batallas".

Skyhigh Cloud Access Security Broker (CASB), la plataforma de seguridad multi-nube para empresas, incluye MITRE ATT&CK en el flujo de trabajo para que los analistas del SOC investiguen las amenazas en la nube y los responsables de seguridad puedan defenderse de futuros ataques con precisión.

La mayoría de las empresas utilizan más de 1.500 servicios en la nube, lo que genera millones de eventos, desde el inicio de sesión hasta el intercambio de archivos, pasando por las descargas y un número infinito de acciones destinadas a la productividad pero explotadas por los adversarios. Hasta ahora, cazar la actividad de los adversarios dentro de ese pajar ha sido un esfuerzo arduo, con tanto ruido que muchas violaciones de datos han pasado desapercibidas hasta que ha sido demasiado tarde.

Skyhigh Security Service Edge (SSE), que incluye Skyhigh CASB, adopta un enfoque multicapa para la investigación de amenazas en la nube que puede acelerar su tiempo para detectar la actividad de los adversarios en sus servicios en la nube, identificar lagunas e implementar cambios específicos en su política y configuración.

En primer lugar, el pajar de eventos se procesa continuamente contra una línea de base de buen comportamiento conocido por User and Entity Behavior Analytics (UEBA) para identificar las anomalías y amenazas reales en su entorno, evaluando el comportamiento a través de múltiples servicios y cuentas.

Esto reduce su proceso de investigación a una cantidad manejable de incidentes. Con esta versión, esos incidentes están ahora en el mismo lenguaje que el resto del SOC: MITRE ATT&CK. Cada incidente de seguridad en la nube se mapea con las tácticas y técnicas ATT&CK, mostrándole la actividad del adversario que se está ejecutando actualmente en su entorno.

Vista MITRE ATT&CK multi-nube de la actividad de los adversarios en Skyhigh Cloud Access Security Broker (CASB)

Dispone de tres vistas dentro de Skyhigh CASB:

• Retrospectiva: ver todas las técnicas de los adversarios que ya se han producido en su entorno
• Proactivo: ver los ataques en curso, sobre los que puede actuar para detenerlos
• Cadena de asesinatos completa: ver una combinación de incidentes, anomalías, amenazas y vulnerabilidades en una cadena holística de infracciones.

Varios equipos de su organización se benefician de esta incorporación a Skyhigh Security Service Edge (SSE):

• Los equipos de SecOps pasan de reactivos a proactivos: Skyhigh CASB permite a los analistas visualizar no sólo las amenazas ejecutadas en el marco ATT&CK, sino también los ataques potenciales que pueden detener en múltiples entornos de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS).
• Los equipos de operaciones de seguridad rompen los silos: los equipos de operaciones de seguridad pueden ahora introducir incidentes de seguridad en la nube prefiltrados en sus plataformas de gestión de eventos de información de seguridad (SIEM)/organización, automatización y respuesta de seguridad (SOAR) a través de API, asignados al mismo marco ATT&CK que utilizan para la investigación de amenazas a puntos finales y a la red.
• Los responsables de seguridad defienden con precisión: Skyhigh CASB lleva la gestión de posturas de seguridad en la nube (CSPM) a un nuevo nivel, proporcionando a los responsables de seguridad recomendaciones de configuración de servicios en la nube para entornos SaaS, PaaS e IaaS, que abordan técnicas específicas de adversarios ATT&CK.

Muchos equipos de SecOps aprovechan procesos y marcos repetibles como ATT&CK para mitigar el riesgo y responder a las amenazas a sus puntos finales y redes, pero hasta ahora las amenazas y vulnerabilidades de la nube han presentado un paradigma desconocido. Al traducir las amenazas y vulnerabilidades de la nube al lenguaje común de ATT&CK, Skyhigh CASB permite a los equipos de seguridad ampliar sus procesos y runbooks a la nube, comprender y responder de forma preventiva a las vulnerabilidades de la nube y mejorar la seguridad de la empresa.

Más información sobre Skyhigh SSE.