El principal cambio que observamos en el panorama de amenazas relacionado con esta guerra estuvo relacionado con el aumento de los ataques DDOS basados en políticas de motivación. Al comienzo de la guerra, los actores de piratería del ciberdelito se vieron afectados, pero pronto lograron adaptar sus operaciones y restablecieron sus actividades y continuaron apuntando a las instituciones financieras (incluida Visma) en el intento de ganar dinero y generar daño a la reputación.
Este año estuvo dominado por actores maliciosos que intentaron robar credenciales usando una combinación de ingeniería social, commodities de infostealers y recopilación de información de fuentes de datos internas posteriores al compromiso. El phishing y la publicidad maliciosa son dos grandes superficies de ataques que también nos golpean. Pero esto nos llevó a un entendimiento común de que las personas no son el eslabón más débil de la cadena, sino más, son el vector de ataque primario.
En el Informe anual de 2020 declaramos: “Esperamos que los ciberdelincuentes se enfoquen más en las personas físicas cuando quieren violar una empresa y no directamente en centros de datos y computadoras como hasta 2020” y esto es exactamente lo que está sucediendo ahora mismo.
Lo que realmente entendimos este año es el hecho de que las personas no son el eslabón más débil, sino el más objetivo. La motivación principal sigue siendo las ganancias financieras, algunos de los ataques se deben solo a la guerra entre Rusia y Ucrania.
Este año terminamos con más de 35 000 alertas (51 000 en Opsgenie, pero no contamos las incluidas en la lista blanca/automatizadas y las resueltos por terceros) y 211 Incidencias lo que supone una media de 17 Incidencias al mes. Si bien el número de eventos aumentó, también logramos automatizar algunos de ellos y cerrarlos automáticamente.
Seguimos siendo los equipos más ocupados de Visma según OpsGenie:
El número de incidentes es un poco más alto en comparación con el año pasado, pero eso se debe a la guerra entre Rusia y Ucrania. Como el siguiente cuadro muestra, hasta mayo el número de incidentes aumentó mucho, pero después de la desaceleración de las operaciones cibernéticas rusas vemos una disminución de esos incidentes y estamos por debajo del número de incidentes de 2021.
En cuanto a los Incidentes por Organización, como siempre, el Security Hub es el que tiene más incidentes, porque todos los incidentes que no se pueden asignar a otro lugar terminarán allí. A continuación, claramente, las incidencias están correlacionadas con el tamaño de la Organización.
Para el Equipo del Centro de Monitoreo de Seguridad Cibernética, el año pasado fue bastante bueno, ya que contratamos a 6 nuevos colegas calificados que ayudarán mucho al equipo a largo plazo, preparándose para la implementación 24/7. A finales de año, nos afianzamos en Argentina con la contratación de 3 nuevos Analistas de Ciberseguridad.
Hemos tenido aprox. 52.834 alertas a lo largo del año, en días laborables y en horario comercial, ya que el equipo aún no está operativo durante los fines de semana Eso significa un promedio de 203 alertas/día, divididas en 3 personas.
De estas 52.834 alertas, 24.232 se activaron durante el horario comercial, lo que equivale a aprox. 46% del total de alertas. Esto muestra que existe la necesidad de monitorear el resto del 34% de las alertas que ocurren fuera del horario de oficina y durante los fines de semana.
Además, podemos ver que la carga durante una semana aumenta abruptamente los lunes, lo cual es de esperar, siendo el pico los martes, cuando el número de alertas aumenta incluso después del horario comercial.
La cantidad promedio de alertas por día de la semana por Analista, durante el horario comercial:
Lunes: 46
martes: 53
miércoles: 46
jueves: 48
viernes: 42
Siguiendo las tendencias actuales, nuestro equipo ha llevado a cabo una serie de acciones de Threat Hunt y Threat Intelligence y Purple Teaming. Ejercicios, que dieron como resultado la creación de 74 nuevas reglas de detección personalizadas en S1 (que se tradujeron en capacidades de detección adicionales para Visma Global SOC). El objetivo principal de estas reglas era disminuir DwellTime (el tiempo que un atacante permanece en nuestra red antes de que es desalojado) y para ello, hemos cambiado la detección a la izquierda (hacia las fases iniciales de intrusión. Una de las reglas más exitosas fue disparada sobre los infostearlers, lo que nos da la capacidad de ser proactivos y contener los incidentes relacionados con las credenciales robadas de nuestro ambiente, antes de que lleguen al mercado de la Dark web.
Durante el último año, el equipo Visma Global SOC generó 341 alertas en el contexto de los ejercicios Purple Teaming. A través de estos ejercicios, el equipo de GSOC cubrió muchas áreas, como pruebas de penetración, emulación adversaria y mejoras generales de nuestras capacidades de detección. La mayoría de estos ejercicios del Equipo Púrpura condujeron a la creación de diferentes reglas de detección en SentinelOne, Darktrace o en nuestro SIEM. El equipo de Visma Global SOC analiza continuamente las Tácticas, Técnicas y Procedimientos (TTP) de diferentes Amenazas, Actores, lo que nos da inspiración para nuevas reglas de detección. Dado que la última tendencia en lo que respecta al malware fueron los infostearlers, el equipo analizó muestras para comprender el comportamiento de dicho software malicioso, con el objetivo final de creación de reglas de detección para detectar y detener la actividad maliciosa lo antes posible, manteniendo a Visma y sus empleados seguros.
Tras las últimas noticias sobre seguridad cibernética, notamos que el robo de credenciales condujo a intrusiones impactantes a través de infostealers como REDLINESTEALER, VIDAR y RACOONSTEALER. Estos software maliciosos están ampliamente disponibles en la clandestinidad y la compra de credenciales es una alternativa económica en vez de tratar de robárselas a las víctimas. Los intermediarios de acceso inicial suelen vender estas credenciales a grupos de ciberdelincuencia de ransomware que inician sus intrusiones teniendo un punto de apoyo (acceso en la red interna de la organización) en organizaciones multimillonarias, compradas con menos de 50 dólares.
Como parte de nuestros equipos de búsqueda e investigación, logramos lanzar un servicio de información técnica sobre amenazas al que cualquiera puede acceder de Visma. Nuestro enfoque actual está en la tecnología de la nube y el aprendizaje automático. Ya estamos utilizando Machine Learning en nuestro SIEM y nuestro objetivo es mejorar tanto la lista blanca, como la búsqueda de amenazas con estas capacidades.
Por el lado de Ingeniería de Ciberseguridad el año comenzó con grandes cambios dentro y fuera de nuestro equipo, lo que llevó a una nueva organización acercarse. En pocas palabras, este enfoque fue impulsado por el Programa de seguridad de Visma, que nos permitió definir nuestros servicios y responsabilidades aún mejor.
Estamos en la base de Visma Global SOC, por lo tanto, cubrimos los componentes de hardware y software en colaboración con muchos equipos dentro y fuera de Visma. Al mejorar continuamente el monitoreo, la detección y el mantenimiento de estas herramientas y procesos, nos esforzamos por la excelencia.
Realizamos algunos desmantelamientos y traspasos importantes, como: CLS3.0, TPAM (VitPass), TLS Monitoring, Entrust Public Certificados, y otras actividades de higiene. En el lado de Endpoint Protection, tenemos cerca de 14,000 agentes implementados. Se realiza principalmente a través de herramientas de administración de dispositivos móviles (MDM).
Por otro lado, en este momento, Network Intrusion Detection tiene 53 sondas físicas activas desplegadas en oficinas y 14 en la nube. implementaciones. Security Log Management, también conocido como SIEM, es el corazón de nuestro SOC donde enriquecemos más de 20 000 máquinas, 47 máquinas trabajos de aprendizaje, 97 canalizaciones de datos, en 23 servidores.
La gestión de vulnerabilidades de la infraestructura (también conocida como Qualys) escaneó 40 723 activos, de los cuales más de 16 000 son agentes. estamos buscando optimizar este servicio, y reducir la cobertura. En cuanto a las fuentes de amenazas técnicas, los indicadores se recopilan de campañas activas que se realizan en otras organizaciones, y fuentes de datos proporcionadas por terceros externos. Cubrimos la infraestructura en la nube y en las instalaciones con un promedio de 351.259 indicadores.
En cuanto a Global SOC Awareness and Training, durante este año el equipo ha participado en múltiples programas de promoción de la seguridad. conciencia e intercambio de conocimientos dentro de la organización con la esperanza de fomentar una cultura de seguridad, educar a los empleados sobre las mejores prácticas y mejorar la postura general de seguridad.
Esta parte de la información es para resaltar los esfuerzos del equipo en las actividades mencionadas anteriormente.
Los más notables son:
Charlas de seguridad del SOC global
Presentaciones del Mes Europeo de la Ciberseguridad (ECSM)
Avisos y artículos publicados en Visma Space
Talleres internos y externos
Echando un vistazo al resultado general de las actividades, con la ayuda de formularios de comentarios, preguntas en vivo y opciones de mensajes directos, notamos una mejora general en la conciencia de seguridad y la higiene cibernética, un aumento en la curiosidad del espectador hacia los temas presentado y un crecimiento en la audiencia, así como un desarrollo en el compromiso de la audiencia.
Perspectiva de los comentarios de las presentaciones de ECSM que tuvimos durante el mes de octubre de 2022. Cada tipo de actividad apunta a un aspecto diferente del proceso de concientización. Tocando la superficie de cada una de las actividades más destacadas, podemos explicar brevemente su propósito.
Las Global SOC Security Talks son una reunión continua en la que se discuten las novedades que suceden en la industria de la seguridad y, en ocasiones, incluir una presentación sobre un tema específico que el público principal o personas particulares deben conocer. Las charlas toman un rumbo interesante donde, en comparación con las reuniones y presentaciones normales, anima a las personas a expresar sus opiniones, puntos de vista y comprensión en el tema. Las grabaciones de las reuniones están disponibles para las personas que se perdieron la charla.
A través de estas charlas, podemos crear conciencia continuamente, brindar actualizaciones sobre casos, discutir las preguntas planteadas y brindar una perspectiva más amigable para los espectadores.
El ECSM es una actividad que ocurre cada mes de octubre durante todo el mes. Se anima a todos a participar con presentaciones en materia de seguridad y asistir a diferentes charlas.
En el año 2022 hemos notado, al mirar el calendario de "eventos de seguridad de Visma", que el equipo Visma Global SOC ha sido uno de los presentadores principales, teniendo alrededor de 3 presentaciones por semana en ese mes.
Al mirar hacia atrás al arduo trabajo que Visma Global SOC ha realizado durante el año pasado, es obvio que la dedicación del equipo y el compromiso han sido poco menos que extraordinarios. Los esfuerzos incansables de todo el equipo para mejorar la seguridad de nuestras empresas no han pasado desapercibidos. Sin embargo, mientras celebramos nuestros propios éxitos, debemos permanecer vigilantes. El mundo está constantemente evolucionando, y es probable que surjan nuevos desafíos. Debemos continuar apoyando y alentando los esfuerzos incansables de nuestros colegas, que trabajan intensamente para proteger a Visma. Recordemos que nuestra seguridad es una responsabilidad colectiva, y todos debemos hacer nuestra parte para garantizar que nuestros productos y empresas permanezcan seguros.
Autor: Adrian Constantin Stanila
Ver artículo completo