Un caso de estudio – TecnoFans Blog

En 2020, no fue difícil encontrar información sobre la brecha de SolarWinds. De hecho, el problema para los analistas de seguridad cibernética como Drew Gallis fue el ruido ensordecedor de los comentarios. sobre el incumplimiento. En tiempos de crisis, sitios como el New York Times y otras fuentes editoriales tienden a ahogar la información técnica procesable de fuentes específicas de seguridad.

Drew es analista de seguridad cibernética en WillowTree, una consultoría de productos digitales con clientes como HBO, Domino’s, Anheuser-Busch InBev, FOX Sports y Hilton. Forma parte de un pequeño equipo de seguridad responsable de la respuesta a incidentes, la reparación de incidentes, la presentación de informes sobre noticias de seguridad y la protección de aplicaciones web y móviles. Dada la cantidad limitada de tiempo que tiene para monitorear la inteligencia de amenazas, Drew necesitaba una forma de separar las actualizaciones técnicas críticas de los comentarios de noticias inútiles sobre el ataque de SolarWinds.

Encontrar información técnica procesable en medio del ruido del ataque

“Muchas organizaciones de noticias simplemente señalan con el dedo a diferentes empresas, sin proporcionar ningún respaldo técnico de por qué están diciendo estas cosas”, dice Drew. Necesitaba encontrar información útil y procesable que pudiera aprovechar para equipar a su empresa con los datos que necesitaban para protegerse a sí mismos y a sus clientes de infracciones relacionadas con SolarWinds.

Drew y el equipo de seguridad cibernética de WillowTree se apoyaron en gran medida en su configuración de TecnoFans para monitorear las noticias de seguridad durante el ataque de SolarWinds. En el artículo que publicó sobre la infracción, Drew escribe: “TecnoFans nos permite aprovechar y utilizar una IA llamada Leo, que puede clasificar y agregar nuestros “feeds” mediante filtros que reducen los indicadores clave, como las infracciones de la organización, CVE críticos, lanzamientos de proveedores, vulnerabilidades del sistema, nuevas herramientas de seguridad, etc.”

Uso de Leo para eliminar información falsa y recopilar IoC

Drew usó a Leo para eliminar rápidamente la información falsa que abundaba sobre el tema, como las acusaciones de la empresa de propiedad rusa TeamCity. También pudo recopilar cualquier indicador de compromiso (IoC) sobre el problema, como registros, datos y estadísticas.

Al recopilar información sobre amenazas durante el ataque de SolarWinds, Drew y su equipo pudieron entregar informes prácticos a los desarrolladores y gerentes de proyectos para ayudar a los clientes de WillowTree a protegerse de manera proactiva contra las infracciones. Él dice: “Uso TecnoFans para consolidar información y generar rápidamente documentación procesable e informes que luego podemos compartir con nuestros clientes. Para SolarWinds, les estaba dando a nuestros clientes indicadores de compromiso y diferentes dominios asociados con la brecha real para que pudieran protegerse mejor”.

Drew usa la información que encuentra en TecnoFans para asegurarse de que no solo educa a los clientes sobre los indicadores de compromiso y las pruebas de concepto relacionadas con SolarWinds, sino que también los ayuda a protegerse durante futuros ataques.

WillowTree usa TecnoFans for Cybersecurity para separar los conocimientos prácticos de los comentarios ruidosos. Para obtener más información sobre el uso de TecnoFans para la inteligencia de amenazas, lea el estudio de caso completo sobre la configuración de WillowTree.