Revelando la magia detrás de tus metadatos

Agosto 2020

Los acontecimientos actuales han provocado un cambio repentino en el panorama de amenazas. La continuidad del negocio y la adaptación a los nuevos entornos de trabajo remotos han sido fundamentales. Ahora que se han producido los grandes cambios y las empresas se están acostumbrando a la nueva normalidad, nunca ha sido más relevante hacer la pregunta más importante en ciberseguridad: ¿Ya se ha visto comprometida mi infraestructura de red? Afortunadamente, al desbloquear el valor de los metadatos de la red ya a su alcance, puede responder esta pregunta de forma rápida y sencilla.

 

DNS
Todas las violaciones de datos, tanto novedosas como tradicionales, tienen un denominador común: el actor de la amenaza debe navegar a través de la infraestructura del sistema host. Por lo tanto, dejan un rastro de evidencia que puede seguirse en sus metadatos. El más importante de estos es DNS. Cuando un sistema se ve comprometido por un ataque de phishing o malware, el adversario intentará resolver un dominio para recibir instrucciones o para filtrar información. Si hay una colisión de datos DNS con un indicador de compromiso, la conclusión es evidente: su infraestructura de red se ha visto comprometida.

 

Registros de Proxy y Firewall
Si el ataque no se basa en consultas DNS, su única otra opción es usar una dirección IP. La evidencia de tal compromiso se puede encontrar analizando los registros de acceso de firewalls y servidores proxy.

 

Flujos de red
Analizar el comportamiento de un adversario dentro de la red revela mucho sobre la naturaleza y la intención del ataque. Estos detalles se pueden obtener analizando los flujos laterales de la red.

 

Caja de spam
Detener el spam es bueno, pero analizarlo es aún mejor porque es una fuente de inteligencia exclusiva de su organización. Cuando estos metadatos de red están correlacionados, las empresas aprenderán el grado de éxito que los actores de amenazas están logrando en los sistemas comprometedores.

 

fuente: https://lumu.io/network-metadata-magic/