Análisis del SOC de la pila de amenazas: Investigación de incidentes relacionados con herramientas de automatización

Como parte de su trabajo 24/7 para brindar soporte a los clientes a través del Programa Cloud SecOps℠, los analistas de seguridad del Centro de operaciones de seguridad (SOC) de Threat Stack investigan periódicamente actividades sospechosas en nombre de nuestros clientes. En los últimos meses, nuestros analistas de seguridad han notado un aumento constante en el uso de herramientas de automatización que incluyen funciones SSH basadas en web.

El uso de estas herramientas es una señal concreta de que muchas organizaciones están madurando su entorno de nube y se están volviendo más sofisticadas en la orquestación de la nube y la gestión diaria. Al utilizar SSH basado en web y otras funciones que pueden ejecutar scripts personalizados en servidores remotos, los equipos de operaciones pueden reducir drásticamente los gastos generales y optimizar el ciclo de vida de sus servidores y la configuración de servicios a escala.

Sin embargo, como hemos visto en el pasado, la automatización de operaciones complejas puede dar lugar a errores o riesgos pasados por alto. En primer lugar, garantizar que sus políticas de IAM estén actualizadas y sean específicas para las características individuales de determinados servicios se vuelve aún más crítico. Además del enfoque en IAM, muchas herramientas de automatización, incluidas aquellas con funciones SSH basadas en la web, presentan desafíos únicos para los equipos de seguridad mientras investigan actividad sospechosa en su entorno de nube.

En los sistemas Linux, las herramientas SSH basadas en web no se manifiestan como sesiones SSH tradicionales en los registros subyacentes. Esta diferencia puede generar eventos del sistema en registros que no están asociados con ningún usuario conectado. Normalmente, esto parece una actividad de automatización normal y confiable, pero no si un usuario puede emitir comandos arbitrarios detrás de ella. Las implicaciones aquí son bastante obvias: Si un actor malicioso, ya sea alguien interno o que aprovecha credenciales comprometidas desde el exterior, puede obtener acceso a una herramienta SSH basada en la web, la ofuscación se vuelve trivial.

Las capacidades de observación de seguridad de pila completa y análisis de comportamiento de herramientas como Threat Stack Cloud Security Platform® pueden identificar esta actividad sospechosa, pero aquí es donde la naturaleza automatizada de las herramientas SSH basadas en la web presenta un desafío para los analistas de seguridad. Se requiere una técnica de investigación diferente para reconocer y aprovechar los matices de los eventos de automatización para descubrir la intención subyacente de un usuario.

Ahí es donde entran en juego los analistas de Threat Stack SOC. Al trabajar directamente con algunos de los entornos de nube más progresistas de la industria, están íntimamente familiarizados con cómo investigar este tipo de incidentes. Si desea obtener una mirada interna a cómo los analistas del Programa SecOps de Threat Stack Cloud investigan las acciones posteriores de las herramientas de automatización al realizar análisis forenses que requieren atribución de usuarios, descargue nuestro último Informe de inteligencia de amenazas o regístrese para nuestra demostración en vivo: "Actividad automatizada o amenaza interna: ¿Puedes notar la diferencia?”, que se llevará a cabo el 19 de marzo.