Retrospectiva de la carrera de ciberseguridad: mis experiencias personales
Cuando estoy aprendiendo algo, paso por un proceso cognitivo específico; estos son los procesos que me han llevado a escribir este blog.
Este es mi método.
¿Captas el concepto?
¿Cómo se debe aplicar el concepto?
¿Aplicar el principio consistentemente?
¿Qué podemos llevarnos de este encuentro?
Captar el concepto.
Azure Sentinel (SIEM) y lo conectó a una máquina virtual en vivo que sirvió como un tarro de miel. Observando ataques en vivo (RDP Brute Force) de todo el mundo. ¡Utilice un script de PowerShell personalizado para recuperar los datos de geolocalización del atacante y trazarlos en el mapa de Azure Sentinel!
¿Cómo se debe aplicar el concepto?
Crear un honeypot y observar lo que hace el atacante a continuación es posible con Azure Sentinel (SIEM), iniciar sesión en RDP en la VM, así como comenzar a ejecutar la API y el script de Powershell en la VM y monitorear el ataque de fuerza bruta del actor de amenazas.
Cuando los atacantes intentaron acceder al honey pot, usaron User y Admin como nombres de usuario en varias formas. Recopilación de información, como nación, ciudad, estado, provincia, dirección IP, longitud y latitud, para identificar a los atacantes.
Esto nos ayuda a decidir qué hacer a continuación con los datos que hemos recopilado.
¿Aplicar el principio consistentemente?
Para aplicar el principio de manera consistente, quería experimentar ciberataques para que cuando comenzara a trabajar como analista de SOC, supiera por qué y cómo usar Microsoft Sentinel (SIEM). Esto me ayuda a comprender cómo es un ataque y cómo remediar el problema. .
He utilizado el Ciclo de Inteligencia de Amenazas Cibernéticas;
Discutiré esto con más profundidad en otro blog, pero para este usaré el primer paso.
Paso 1: Requerir
¿Qué impulsa a los atacantes y quiénes son?
Los atacantes de diferentes naciones atacaron el honeypot debido a su fácil acceso debido a la ausencia de seguridad, especialmente porque el firewall estaba desactivado: los tres grandes eran Etiopía, China y Taiwán.
Para usar una ilustración, si un ladrón está en su área y su hogar es vulnerable, es decir, no hay alarma, las ventanas están abiertas y las puertas están desbloqueadas, hay una oportunidad para un ladrón.
¿Qué es la superficie de ataque?
El ataque fue un ataque de fuerza bruta a través del puerto RDP 3389.
¿Qué acciones específicas se deben tomar para fortalecer sus defensas contra un ataque futuro?
Al configurar máquinas, ya sea en un entorno virtual o físico, el firewall está habilitado. En la observación, la cantidad de ataques que usaban la palabra "nombre de usuario" o "administrador" al intentar ingresar al honeypot fue astronómica. para fortalecer las defensas cuando se trata de ataques de fuerza bruta mediante la creación de nombres de usuario y contraseñas de acuerdo con los procedimientos de seguridad cibernética aceptables.
¿Qué podemos llevarnos de este encuentro?
El aprendizaje más importante fue aprender sobre Microsoft Azure: SIEM, cómo este ejercicio comenzó cuando un equipo azul monitoreaba lo que estaba haciendo el atacante, qué tan rápido podía convertirse en un equipo rojo al recopilar datos y perseguir al atacante, y creo que esto es por qué me fascinó la seguridad cibernética que puede ser tan fluida en la forma en que trata con el atacante y recopila información para determinar una decisión basada en resultados sobre qué hacer a continuación.
Resumen
En este artículo de blog, utilizaremos datos de ubicación geográfica para encontrar a los atacantes mediante la recopilación de información como la ciudad, el estado, la provincia, la dirección IP, la longitud y la latitud.
Etiopía, China y Taiwán fueron las tres naciones más predominantes coordinaron ataques de fuerza bruta utilizando el puerto RDP 3389.
La cantidad de ataques que intentaron acceder al honeypot usando la palabra "nombre de usuario" o "administrador" fue asombrosa.
Los usuarios deben fortalecer su seguridad cibernética mediante la creación de nombres de usuario y contraseñas de acuerdo con los procedimientos de seguridad cibernética aceptables.
Ciberseguridad 101 Consejos
❑Use siempre contraseñas de seguridad con al menos 16 caracteres que contengan minúsculas, mayúsculas, números y caracteres especiales.
❑Utilice una bóveda de contraseñas para almacenar y realizar un seguimiento de todas sus contraseñas.
❑Utilice la autenticación multifactor para todas sus cuentas que requieran inicio de sesión.
❑Proteja su identidad registrándose en un servicio de protección de identidad para controlar su crédito en busca de cualquier cuenta que no haya abierto usted.
❑Nunca escriba sus contraseñas.
❑Si recibe una llamada solicitando el pago de su factura de electricidad, factura de gas, hipoteca de la vivienda a cambio de una tarjeta de regalo... cuelgue, ya que se trata de una estafa clásica.
❑Si recibe una llamada de asistencia técnica para su computadora de escritorio/portátil... cuelgue, ya que se trata de otra estafa clásica.
❑Si recibe un mensaje de texto al azar que indica que ganó dinero y/o proporcionan un enlace... bloquee o coloque el número en su carpeta de correo no deseado dentro de su dispositivo móvil.
❑Si recibe un correo electrónico solicitando información personal, siempre valide el "remitente" que es directamente de una empresa u organización legítima
Me gustaría agradecer personalmente a Josh Makador por este fantástico tutorial, que puedes ver en el video de arriba.
David Meece merece un reconocimiento especial por ofrecer consejos sobre seguridad cibernética 101.
![¿Qué es una lista vinculada, de todos modos? [Parte 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
