Los metadatos son una mina de oro para medir compromisos cibernéticos

Los metadatos son una mina de oro para medir compromisos cibernéticos
Analizar las resoluciones de DNS es fundamental.Ricardo Villadiego, fundador y CEO de Lumu Technologies

¿Cómo se pueden aprovechar los metadatos de la red para medir el compromiso de una organización?

Lumu Technologies entregó detalles sobre el poder que tienen los metadatos de red de una compañía, para saber si una organización se encuentra comprometida o está comunicándose con adversarios.

Todos los ataques cibernéticos exitosos tienen un denominador común: que los cibercriminales deben utilizar la red para realizar sus ataques, ya sea la red corporativa, o la nube pública o privada. Las organizaciones generan constantemente cantidades enormes de datos, es por esta razón que el análisis de su propia metadata es la única fuente que permite a las organizaciones medir y entender de manera continua e intencionalmente su compromiso”, explicó Ricardo Villadiego, fundador y CEO de Lumu Technologies.

Lumu Technologies se dedica a capturar metadata de todas las comunicaciones que viajan en la red, como las resoluciones de DNS, Logs de acceso de Firewalls y Proxies, Netflows y Spambox, y enriquece dicha información para conectar los puntos que permiten identificar si la organización se está comunicando con infraestructura de cibercriminales.

A continuación, 4 evidencias que se pueden encontrar al analizar metadatos y que permiten entender cómo se comporta la red de una organización:

  1. Alteraciones del DNS (Domain Name System): Lo primero que hace un dispositivo comprometido es intentar resolver un dominio que pertenece al adversario, si eso sucede la conclusión es evidente: la organización ha sido comprometida. “Analizar las resoluciones de DNS es fundamental, ya que provee contexto sobre los intentos de conexión entre los dispositivos de la organización y la infraestructura adversaria. Sin embargo, esto no es lo único a lo que se debe prestar atención, ya que existe todo un mundo más allá de las resoluciones de DNS”, indicó Villadiego.
  2. Logs de acceso de Firewalls o Proxies: Si el atacante evita o no utiliza infraestructura de dominio, la única otra opción que tiene es utilizar una dirección IP. En ese caso, los rastros de contacto con el adversario se quedarán en los Logs de acceso de Firewalls o Proxies, por lo que analizar eso también resulta importante.
  3. Netflows:Una vez que se sabe que la organización está comprometida lo siguiente que se querrá conocer es      el objetivo implícito del atacante y cómo se está moviendo dentro de la red. Mediante la captura de metadatos de Netflows se puede entregar a la organización información relevante respecto a los intentos del adversario de moverse lateralmente.                                                                    
  4. Spambox: Según el reporte Data Breach 2019 de Verizon, el correo electrónico es el método preferido por los cibercriminales para concretar ataques hacia los usuarios finales de una organización, aunque generalmente las empresas olvidan la data que contiene el Spambox o buzón de correo basura. “El análisis del correo Spam o no deseado en una organización entrega detalles de quién está atacando, cómo está siendo atacada la organización y el tipo de ataque que la empresa está recibiendo. El cibercriminal que obtiene tráfico de una organización de manera exitosa está triunfando en comprometer a la empresa”, explicó el ejecutivo.
Te puede interesar  Easy Solutions comparte recomendaciones para protegerse de cibercriminales

Lumu Technologies recolecta en tiempo real diferentes fragmentos de metadatos, los cuales son contrastados con Indicadores de Compromisos (IoCs) conocidos y certificados, que provienen de la propia organización así como también de fuentes de amenazas cibernéticas públicas y privadas.

Esto permite implementar el modelo de Continuous Compromise Assessment, o evaluación continua de compromiso, más certero que existe hoy en día.

De esta manera, la propia metadata ya disponible de una organización puede ayudar a resolver una de las preguntas fundamentales que se realizan actualmente en la industria de ciberseguridad: ¿Está mi red comprometida?, Villadiego concluyó comentando que el mejor consejo de ciberseguridad es “asuma que está comprometido y demuestre lo contrario”.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "Access Not Configured. YouTube Data API has not been used in project 333462171821 before or it is disabled. Enable it by visiting https://console.developers.google.com/apis/api/youtube.googleapis.com/overview?project=333462171821 then retry. If you enabled this API recently, wait a few minutes for the action to propagate to our systems and retry." Dominio: "usageLimits". Razón: "accessNotConfigured".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


Mr Jeff busca quintuplicar su presencia en Argentina para fines de 2019

A la fecha, está presente con 21 franquicias distribuidas en CABA, GBA y Rosario.

Cerrar