Un caso de estudio SolarWinds

En 2020, no fue difícil encontrar información sobre la violación de SolarWinds. De hecho, el problema para los analistas de ciberseguridad como Drew Gallis fue el ruido ensordecedor de los comentarios. sobre el incumplimiento. En tiempos de crisis, sitios como New York Times y otras fuentes editoriales tienden a ocultar la información técnica procesable de fuentes específicas de seguridad.

Drew es analista de ciberseguridad en WillowTree, una consultora de productos digitales con clientes como HBO, Domino’s, Anheuser-Busch InBev, FOX Sports y Hilton. Es parte de un pequeño equipo de seguridad responsable de la respuesta a incidentes, la remediación de incidentes, la presentación de informes sobre noticias de seguridad y la protección de aplicaciones web y móviles. Dada la cantidad limitada de tiempo que tiene para monitorear la inteligencia de amenazas, Drew necesitaba una forma de separar las actualizaciones técnicas críticas de los comentarios de noticias inútiles sobre el ataque SolarWinds.

Encontrar conocimientos técnicos prácticos en medio del ruido del ataque

“Muchas organizaciones de noticias simplemente señalan con el dedo a diferentes empresas, sin proporcionar ningún respaldo técnico sobre por qué están diciendo estas cosas”, dice Drew. Necesitaba encontrar información útil y procesable que pudiera aprovechar para equipar a su empresa con los hechos que necesitaban para protegerse a sí mismos y a sus clientes de las infracciones relacionadas con SolarWinds.

Drew y el equipo de ciberseguridad de WillowTree se apoyaron en gran medida en su configuración Feedly para monitorear las noticias de seguridad durante el ataque SolarWinds. En el artículo que publicó sobre la violación, Escribe Drew, «Feedly nos permite aprovechar y utilizar una IA llamada Leo, que puede ordenar y agregar nuestros» feeds «mediante filtros que reducen los indicadores clave como infracciones de la organización, CVE críticos, versiones de proveedores, vulnerabilidades del sistema, nueva seguridad herramientas, etc. »

Uso de Leo para eliminar información falsa y recopilar IoC

Drew utilizó a Leo para eliminar rápidamente la información falsa que abundaba sobre el tema, como las acusaciones de la empresa rusa TeamCity. También pudo recopilar cualquier indicador de compromiso (IoC) sobre el problema, como registros, datos y estadísticas.

Al recopilar inteligencia sobre amenazas durante el ataque SolarWinds, Drew y su equipo pudieron entregar informes procesables a los desarrolladores y gerentes de proyectos para ayudar a los clientes de WillowTree a protegerse de manera proactiva contra las infracciones. Él dice: “Utilizo Feedly para consolidar información y generar rápidamente documentación e informes procesables que luego podemos compartir con nuestros clientes. Para SolarWinds, les estaba dando a nuestros clientes indicadores de compromiso y diferentes dominios asociados con la infracción real para que pudieran protegerse mejor «.

Drew usa la información que encuentra en Feedly para asegurarse de que no solo está educando a los clientes sobre los indicadores de compromiso y las pruebas de concepto relacionadas con SolarWinds, sino que también los ayuda a protegerse durante futuros ataques.

WillowTree usa Feedly for Cybersecurity para separar las ideas procesables de los comentarios ruidosos. Para obtener más información sobre el uso de Feedly para la inteligencia de amenazas, lea el estudio de caso completo sobre la configuración de WillowTree.