Protegerse contra el phishing, el malware y otras amenazas cibernéticas es un desafío de seguridad cibernética difícil para cualquier organización, pero cuando su empresa tiene más de 20,000 empleados y gestiona un servicio utilizado por casi mil millones de personas, el desafío es aún más difícil.
Pero ese es precisamente el desafío al que se enfrenta LinkedIn: la red profesional más grande del mundo tiene más de 875 millones de miembros, que van desde empleados de nivel inicial hasta ejecutivos de alto nivel, quienes la usan para relacionarse con colegas y compañeros, discutir ideas y encontrar nuevos trabajos.
Con cientos de millones de usuarios, LinkedIn necesita garantizar la seguridad de sus sistemas frente a una serie de ciberamenazas en constante evolución una tarea que recae en el equipo de Detección de amenazas y respuesta a incidentes de LinkedIn.
Al frente de la operación está Jeff Bollinger, el director de ingeniería de detección y respuesta a incidentes de la compañía, y no se hace ilusiones sobre la importancia del desafío que enfrenta la compañía con las amenazas cibernéticas.
Es bien sabido que grupos de piratas informáticos altamente sofisticados tienen empresas de alto perfil como LinkedIn en la mira, ya sea tratando de engañar a los usuarios para que hagan clic en enlaces de phishing o instalar malware a través de ataques manipuladores de ingeniería social.
«Los atacantes bien financiados son todo un reto, porque no paran de atacar; tenemos que acertar siemrpe, pero ellos solo deben acertar una vez», dice Bollinger.
«Ese es uno de los desafíos, siempre tenemos que estar atentos. Siempre tenemos que estar listos, ya sea un atacante oportunista o un atacante dedicado y persistente, tenemos que disponer de nuestros sensores y nuestra recopilación de señales para hacerlo, sea quien sea».
Crear una ciberseguridad significativa y más madura para la empresa no era tarea fácil, algo que Bollinger describe como «algo parecido a disparar a la luna», por lo que el programa se llamó Moonbase.
Moonbase se propuso mejorar la detección de amenazas y la respuesta a incidentes, y su objetivo era mejorar la calidad de vida de los analistas e ingenieros de seguridad de LinkedIn con la ayuda de la automatización, reduciendo la necesidad de examinar manualmente los archivos y los registros del servidor.
Fue con este objetivo en mente que, durante un período de seis meses entre marzo de 2022 y septiembre de 2022, LinkedIn reconstruyó sus capacidades de monitoreo y detección de amenazas, junto con su centro de operaciones de seguridad (SOC), y ese proceso comenzó con la reevaluación de cómo las amenazas potenciales se analizan y detectan en primer lugar
“Todo buen equipo y programa comienza con un modelo de amenazas adecuado. Tenemos que comprender cuáles son las amenazas reales a las que se enfrenta nuestra empresa”, explica Bollinger.
Esa conciencia comienza con el análisis de qué datos necesitan protección con mayor urgencia; cosas como la propiedad intelectual, la información del cliente y la información regulada por leyes o estándares, y luego pensar en los riesgos potenciales para esos datos.
Para LinkedIn y Bollinger, una amenaza es «cualquier cosa que dañe o interfiera con la confidencialidad, integridad y disponibilidad de un sistema o datos».
El examen de patrones y datos de incidentes del mundo real proporciona información sobre cómo se ve una variedad de ataques cibernéticos, qué clases son actividades maliciosas y qué tipo de comportamiento inusual debería activar alertas. Pero confiar únicamente en las personas para hacer este trabajo es un desafío que requiere mucho tiempo.
Al usar la automatización como parte de este proceso de análisis, Moonbase cambió el SOC hacia un nuevo modelo; una operación de seguridad definida por software y centrada en la nube. El objetivo del SOC definido por software es que gran parte de la detección inicial de amenazas se deja en manos de la automatización, lo que marca posibles amenazas que los investigadores pueden examinar.
Pero eso no quiere decir que los humanos no estén involucrados en absoluto en el proceso de detección. Mientras que muchos Aunque muchos ciberataques se basan en técnicas comunes y probadas, en las que se apoyan los hackers malintencionados a lo largo de la cadena de ataque, la naturaleza evolutiva de las ciberamenazas significa que siempre hay amenazas nuevas y desconocidas que se despliegan en los esfuerzos por penetrar en la red, y es vital que esta actividad también pueda detectarse.
«Cuando se trata de lo que no sabemos, todo depende de que busquemos señales extrañas en nuestra búsqueda de amenazas. Y esa es realmente la forma de obtenerlo: dedicando tiempo a buscar señales inusuales que, con el tiempo, podrían convertirse en una detección permanente», dice Bollinger.
Sin embargo, uno de los desafíos que rodean este esfuerzo es que los atacantes cibernéticos a menudo usan herramientas y servicios legítimos para realizar actividades maliciosas — así que, si bien es posible detectar si se ha instalado malware en el sistema, la búsqueda de comportamientos maliciosos que también podrían ser realistamente comportamientos legítimos de los usuarios es un reto, y algo en lo que se ha centrado la reconstrucción de LinkedIn.
«La actividad de administración normal y legítima a menudo se parece exactamente a la piratería porque los atacantes buscan el máximo nivel de privilegios: quieren ser administradores de dominio o quieren obtener acceso de root, para que puedan tener toda la persistencia y hacer lo que quieran. . Pero las actividades administrativas normales parecen similares», explica Bollinger.
Sin embargo, al usar el SOC para analizar el comportamiento inusual detectado por la automatización, es posible confirmar que se trata de una actividad legítima o encontrar una posible actividad maliciosa antes de que se convierta en un problema.
El SOC también lo hace sin requerir que el personal de seguridad de la información supervise metódicamente lo que está haciendo cada usuario de la empresa, y solo se pone manos a la obra con las cuentas individuales si se detecta un comportamiento extraño o potencialmente malicioso.
Y al usar esta estrategia, significa que el equipo de búsqueda de amenazas puede usar el tiempo para examinar rápidamente más datos con más detalle y, si es necesario, tomar medidas contra amenazas reales, en lugar de tener que tomarse el tiempo para examinar manualmente cada alerta. especialmente cuando muchas de esas alertas son falsas advertencias.
«Creo que eso nos da mucho más poder para trabajar en estos problemas», dice Bollinger.
Pero la detección de amenazas es solo una parte de la batalla, como cualquier organización cuando se detecta una amenaza LinkedIn debe poder actuar en su contra de la manera más rápida y fluida posible para evitar interrupciones y prevenir un incidente en toda regla.
Aquí es donde entra en juego el equipo de respuesta a incidentes, que busca y filtra activamente las amenazas, en función de lo detallado por el equipo de búsqueda de amenazas.
«Le damos a nuestra gente la mayor cantidad de contexto y datos por adelantado, para que puedan minimizar el tiempo que dedican a recopilar datos, investigar, buscar cosas, y pueden maximizar su tiempo en el uso real de las capacidades de pensamiento crítico del cerebro humano para comprender lo que realmente está sucediendo», explica Bollinger.
La operación de respuesta a incidentes no ha cambiado drásticamente, pero se ha revisado la forma en que se aborda, con el contexto adicional de datos y análisis, y ese cambio ha ayudado a LinkedIn a ser mucho más eficiente cuando se trata de detectar y protegerse contra amenazas potenciales. . Según Bollinger, las investigaciones ahora son mucho más rápidas, desde la detección de amenazas hasta su tratamiento.
“El tiempo para detectar es el tiempo desde que ocurre la actividad por primera vez hasta que la ves por primera vez, y acelerar eso, ha sido dramático para nosotros. Pasamos de ser varios días a minutos”, dice.
“Hemos reducido drásticamente nuestro tiempo de detección y también el tiempo de contención. Porque una vez que hemos reducido ese umbral de tiempo de detección, también tenemos más tiempo para contener el incidente en sí.
«Ahora que somos más rápidos y mejores para ver las cosas, eso reduce las oportunidades de que los atacantes causen daño, pero cuanto más rápido detectemos que algo está sucediendo, más rápido podemos cerrarlo, y eso minimiza la ventana en la que un atacante tiene que causar daño a los empleados, miembros, la plataforma o el público», dice Bollinger.
Mantener la seguridad de la empresa es una gran parte de la revisión de las capacidades de detección de amenazas de LinkedIn, pero también hay otro elemento clave para el trabajo: diseñar el proceso, de modo que sea útil y efectivo para el personal del SOC, ayudándolos a evitar el estrés y el agotamiento que pueden acompañar al trabajo en ciberseguridadparticularmente al responder a incidentes en vivo.
“Una de las piezas clave aquí fue preservar nuestro capital humano: queremos que tengan un trabajo satisfactorio aquí, pero también queremos que sean efectivos y no se desgasten”, dice Bollinger.
El enfoque también está diseñado para fomentar la colaboración entre los ingenieros de detección y los que responden a incidentes, quienes, aunque están divididos en dos equipos diferentes, en última instancia trabajan hacia el mismo objetivo.
Este enfoque conjunto también se ha filtrado a los empleados de LinkedIn, que se han convertido en parte del proceso de ayudar a identificar e interrumpir las amenazas.
Se informa a los usuarios sobre actividades potencialmente sospechosas en torno a sus cuentas, con contexto adicional y una explicación de por qué el equipo de búsqueda de amenazas cree que algo es sospechoso, además de preguntar al usuario si cree que es sospechoso.
Según la respuesta y el contexto, se activa un flujo de trabajo, lo que podría conducir a una investigación del incidente potencial y a una solución.
«En lugar de que las personas trabajen más duro, estamos haciendo que trabajen de manera más inteligente; esa fue realmente una de las piezas más importantes para nosotros en todo esto», dice Bollinger.
«Una gran parte del trabajo consiste simplemente en estar al tanto de las cosas. No podemos simplemente esperar lo mejor y esperar que nuestras herramientas lo encuentren todo. Necesitamos estar investigando constantemente, eso es una parte muy importante de lo que nos mantiene de puntillas», concluye.
