Cómo hacer que su SOC tenga las identidades bajo control y sea eficiente
Aunque un atacante sólo necesita acertar una vez, los equipos de seguridad deben hacer lo correcto en todo momento. Por eso, los equipos del SOC deben evitar que los atacantes de ransomware exploten las debilidades de AD.
Los equipos del centro de operaciones de seguridad, que operan en turnos las 24 horas del día, se esfuerzan por prevenir, detectar y responder a las amenazas e incidentes de ciberseguridad. Sin embargo, en un escenario de amenazas en constante evolución en el que los maleantes atacan sin descanso activos críticos como Active Directory, los analistas de seguridad se dan cuenta de que las soluciones SIEM (gestión de información y eventos de seguridad) tradicionales se quedan cortas. Considere a los operadores importantes de ransomware como LockBit 2.0, Conti y BlackMatter, todos ellos usaron AD para introducir y propagar malware.
Los equipos del SOC dependen de soluciones SIEM para agregar y correlacionar registros y otros datos provenientes de activos a lo largo de la infraestructura de TI de la organización, incluyendo AD. Aunque SIEM es una solución poderosa para monitorear la infraestructura de red en general, no se diseñó para proteger la seguridad de AD.
Los desafíos clave que enfrentan los equipos del SOC incluyen:
Falsos positivos: Los analistas del SOC se esfuerzan por hacer frente a la infinidad de alertas generadas por las soluciones SIEM y por señalar los pocos eventos verdaderamente críticos. Debido a ello, los equipos del SOC dedican demasiado tiempo a evaluar innumerables falsas alarmas, lo que afecta a su capacidad para abordar amenazas reales de forma eficaz.
Dificultades al prevenir la creación de puertas traseras: Los recientes ataques de ransomware revelan que los hackers comprenden cada vez más que pueden acceder fácilmente sin restricciones al entorno de AD de una víctima al explotar configuraciones erróneas y crear puertas traseras. La lucha contra esta amenaza requiere capacidades que van más allá de lo que un SIEM puede ofrecer.
Adición del componente de inteligencia a SIEM
¿Cómo pueden los equipos del SOC obtener más visibilidad hacia AD para detectar mejor las amenazas que se escabullen entre las brechas del SIEM tradicional?
Una solución específica para AD, como Tenable.ad, no se limita a llenar los vacíos de la SIEM tradicional, sino que se integra con ella para mejorar la seguridad de AD e incrementar la eficiencia del SOC, lo que mejora la postura de ciberseguridad de la organización. Tenable.ad añade la pieza de "inteligencia en materia de AD" a su SIEM al eliminar los falsos positivos y enfocarse en las vulnerabilidades críticas que deben ser abordadas de inmediato. Con Tenable.ad, los equipos SOC pueden impulsar su productividad y eficacia, además de fortalecer la seguridad de sus entornos de AD.
Lea nuestro documento técnico Lo más imprescindible: haga que su SOC tenga las identidades bajo control para enterarse de:
- Por qué los equipos SOC se esfuerzan por monitorear Active Directory y detectar ataques en vivo con SIEM genéricos.
- Cómo los equipos SOC pueden cerrar las brechas de su SIEM al emplear una solución específica para AD.
- Cómo actúa Tenable.ad como una solución previa a SIEM para apoyar las defensas de seguridad e impulsar la eficacia del SOC.
Artículos relacionados
- Active Directory