Los equipos de seguridad modernos a menudo sienten como si estuvieran conduciendo en medio de la niebla con los faros rotos. Las amenazas se están acelerando, las alertas aumentan y los SOC luchan por comprender qué peligros son actualmente importantes para el negocio. Alejarnos de la defensa reactiva ya no es una opción. Es la diferencia entre prevenir un incidente y gestionarlo después.
He aquí un camino desde la extinción de incendios reactiva a un SOC proactivo y rico en contexto que realmente sabe lo que va a pasar.
Cuando el SOC sólo puede ver el espejo retrovisor
Muchos SOC todavía dependen de flujos de trabajo retrospectivos. Los analistas esperan alertas, investigan, escalan y, en última instancia, responden. Este patrón es comprensible. El trabajo es ruidoso, las herramientas son complejas y la fatiga de alerta puede hacer que incluso los equipos más duros entren en modo reactivo.
Sin embargo, la actitud reactiva esconde algunos problemas estructurales.
No sabemos qué tienen reservados los actores de amenazas. Capacidad limitada para predecir campañas dirigidas a sectores de la organización. No puedes ajustar tus defensas antes de que llegue el ataque. Dependencia excesiva de firmas que reflejan la actividad de ayer.
Como resultado, los SOC siempre se están poniendo al día, pero rara vez avanzan.
El coste de esperar a que suene la alarma
Los SOC reactivos pagan por tiempo, dinero y riesgo.
Investigación más larga. Los analistas deben investigar cualquier objeto sospechoso desde cero debido a la falta de un contexto más amplio. Desperdicio de recursos. Sin visibilidad de qué amenazas son relevantes para su industria o región, su equipo buscará falsos positivos en lugar de centrarse en los peligros reales. La probabilidad de que se produzca una infracción es mayor. Los actores de amenazas a menudo reutilizan la infraestructura y apuntan a industrias específicas. Descubrir tarde estos patrones le da al atacante una ventaja.
Un SOC proactivo cambia este guión al reducir la incertidumbre. Usted sabe qué amenazas prevalecen en su entorno, qué campañas están activas y qué alertas merecen una escalada inmediata.
Inteligencia sobre amenazas: el motor de la seguridad proactiva
La inteligencia sobre amenazas llena el vacío que dejan las operaciones reactivas. Esto proporciona un conjunto de pruebas sobre lo que los atacantes están haciendo actualmente y cómo están evolucionando sus herramientas.
Las búsquedas de inteligencia sobre amenazas de ANY.RUN sirven como una lupa táctica para su SOC. Transforme los datos de amenazas sin procesar en activos operativos.
Búsqueda de TI: investigue amenazas e indicadores, haga clic en la barra de búsqueda y seleccione parámetros
Los analistas pueden inmediatamente:
Potencia tus alertas con datos de comportamiento y de infraestructura. Identifique con precisión familias y campañas de malware. Comprenda cómo se comportan las muestras cuando se explotan en una caja de arena. Investigue artefactos, DNS, IP, hashes y relaciones en segundos.
Para las organizaciones que buscan desarrollar una postura más proactiva, TI Lookup sirve como punto de partida para una clasificación más rápida, decisiones más confiables y una comprensión más clara de las relaciones entre amenazas.
Convierta la inteligencia en acción y reduzca el tiempo de investigación con un contexto de amenaza instantáneo.
Póngase en contacto con ANY.RUN para integrar TI Lookup.
El feed TI de ANY.RUN complementa su flujo de trabajo SOC al proporcionar indicadores continuamente actualizados recopilados de ejecuciones de malware reales. Esto permite que las defensas se adapten a la velocidad a la que evolucionan las amenazas.
Céntrese en las amenazas que realmente importan para su negocio
Pero el contexto por sí solo no es suficiente. Los equipos deben interpretar esta inteligencia para su entorno empresarial específico. Las amenazas no se distribuyen uniformemente en todo el mundo. Cada sector y región tiene sus propias familias de malware, campañas y grupos criminales.
¿En qué industrias y países las empresas se encuentran con más frecuencia con Tycoon 2FA en estos días?
Las búsquedas de inteligencia de amenazas respaldan la atribución geográfica y por industria de amenazas e indicadores, lo que ayuda a los SOC a responder preguntas importantes.
¿Es esta alerta relevante para nuestro departamento? ¿Se sabe que este malware se dirige a empresas de nuestro país? ¿Estamos viendo actividad temprana en campañas dirigidas a organizaciones como la nuestra?
Al mapear la actividad tanto en regiones como en verticales de la industria, los SOC pueden comprender instantáneamente dónde existen amenazas en el panorama de riesgos. Esto reduce el ruido, acelera la clasificación y permite a los equipos centrarse en las amenazas que realmente requieren acción.
Mantenga su SOC enfocado en lo que realmente importa.
Utilice TI Lookup para ver qué amenazas se dirigen a su sector hoy.
Por ejemplo: se descubrió que dominios sospechosos estaban asociados con los ataques Lumma Stealer y ClickFix que se dirigieron principalmente a las industrias de telecomunicaciones y hotelería en los Estados Unidos y Canadá.
Nombre de dominio: «Benelui.Click»
Industrias y países más afectados por las amenazas que involucran a las IOC
O digamos que el CISO de una empresa manufacturera alemana quiere una base de referencia del riesgo del sector.
Industria: “Fabricación” y país de aplicación: “DE”
Descripción general de TI Lookup de muestras de malware analizadas por usuarios en Alemania dirigidas a la industria manufacturera
Esta consulta revela amenazas clave como Tycoon 2FA y EvilProxy, así como un interés en el brazo de producción nacional del grupo Storm-1747 APT que opera Tycoon 2FA. Esta será su lista de prioridades inmediatas para la ingeniería de detección, las hipótesis de búsqueda de amenazas y la capacitación en concientización sobre seguridad.
Los analistas acceden a sesiones sandbox y a IOC del mundo real relacionadas con estas amenazas. Las reglas de detección de combustible de TI Lookup proporcionan instantáneamente IOC y TTP para las amenazas más relevantes, de modo que pueda detectar y mitigar incidentes de manera proactiva para proteger su empresa y sus clientes.
Vea la sesión de espacio aislado para el análisis de muestras del ladrón de Lumma.
Análisis de espacio aislado: vea el malware en acción, vea las cadenas de eliminación, recopile IOC
Por qué necesita una mayor visibilidad de su panorama de amenazas
La infraestructura de los atacantes está cambiando rápidamente y los ataques ya no se limitan a una amenaza por campaña. Actualmente estamos viendo el surgimiento de amenazas híbridas, donde se combinan múltiples familias de malware en una sola operación. Estos ataques combinados combinan lógica de diferentes infraestructuras, capas de redireccionamiento y módulos de robo de credenciales, lo que los hace mucho más difíciles de detectar, rastrear y atribuir.
Ataque híbrido de Salty y Tycoon detectado en el sandbox de ANY.RUN en solo 35 segundos
Investigaciones recientes han revelado que Tycoon 2FA y Salty operan en paralelo dentro de la misma cadena. Un kit ejecuta el señuelo inicial y el proxy inverso, y otro kit se hace cargo del secuestro de sesiones y la captura de credenciales. Para muchos equipos SOC, esta combinación anula las estrategias de defensa y las reglas de detección existentes, lo que permite a los atacantes eludir las capas de seguridad.
Se ha vuelto importante realizar un seguimiento de estos cambios en todo el panorama de amenazas más amplio. Los analistas necesitan monitorear las variaciones del kit de catálogo, así como los patrones de comportamiento y la lógica de ataque en tiempo real. Cuanto más rápido los equipos puedan ver cómo se forman estos vínculos, más rápido podrán responder a las campañas de phishing creadas teniendo en cuenta la adaptabilidad.
Conclusión: una perspectiva más clara para el SOC moderno
Las empresas ya no pueden permitirse puntos ciegos en su SOC. Los atacantes se especializan, las campañas se localizan y el malware evoluciona más rápido de lo que las firmas pueden seguir el ritmo. La defensa agresiva requiere contexto, claridad y velocidad.
Las búsquedas de inteligencia de amenazas, impulsadas por el contexto regional y de la industria y respaldadas por las últimas métricas de las fuentes de TI, brindan a los líderes de SOC precisamente eso. En lugar de reaccionar a las alertas en la oscuridad, los tomadores de decisiones pueden obtener una perspectiva proactiva sobre las amenazas que realmente importan para su negocio.
Fortalezca su estrategia de seguridad con visibilidad específica de la industria.
Para obtener inteligencia sobre amenazas procesable, comuníquese con ANY.RUN.
Source link
