¡Piensa en el gráfico!

Defcon es una de las conferencias de hackers más grandes del mundo, a menudo denominada “campamento de verano de hackers”. Por lo general, se realiza en verano en Las Vegas, justo después de la conferencia Black Hat.

Esta fue mi primera asistencia a Defcon, por lo que fue emocionante competir entre las aldeas y muchas pistas de conversación. Había tantas técnicas de piratería, nuevas vulnerabilidades e incluso cosas geniales para abrir cerraduras en los programas.

Además de los piratas informáticos, muchos de los asistentes fueron profesionales de seguridad y tomadores de decisiones de seguridad corporativa. Blue Village, en su segundo año, atrajo a mucha gente de InfoSec.

Fui a algunas charlas en la aldea del equipo azul, incluida una sobre tener una mentalidad de inteligencia sobre amenazas cibernéticas, una charla sobre el uso de herramientas de código abierto para hacer análisis de malware y otra sobre el uso de una herramienta llamada sabueso para utilizar datos de Active Directory para rastrear ataques caminos.

Una cita que se mencionó en varias charlas diferentes me llamó la atención. La cita fue “Los defensores piensan en listas. Los atacantes piensan en gráficos. Mientras esto sea cierto, los atacantes ganan “. Por John Lambert de Microsoft.

La idea es muy cierta desde mi experiencia. He trabajado para Hillstone Networks, una reconocida empresa de seguridad de red, durante varios años. Sí, es correcto: cuando desarrollamos aplicaciones de defensa de seguridad, pensamos en listas. Una lista de activos, una lista de usuarios, una lista de vulnerabilidades, una lista de amenazas, y mostramos todas esas listas a los clientes.

Entonces, ¿qué significan esas amenazas? ¿En qué sistemas están? ¿Quién usa esos sistemas? ¿Cuál es el camino de ataque? Una mentalidad basada en listas no responde esas preguntas. Necesitamos conectar los puntos, y un gráfico obviamente puede ayudar.

Los defensores tienen que cambiar. Podemos ver que el pensamiento basado en gráficos es ahora una tendencia industrial. Por ejemplo, VirusTotal, la herramienta de búsqueda de malware que usamos todos los días, ha desarrollado la herramienta VirusTotal Graph. Conecta los puntos y deja en claro ver las conexiones entre muchos nodos de datos (archivos, URL, dominios y direcciones IP).

También se están realizando cambios en los productos de Hillstone. Me alegra ver el movimiento en la dirección correcta. Una visualización gráfica (vista de gráfico topográfico) para mostrar los activos de la red y las conexiones de red / servicio.

Esto no solo es agradable a la vista, sino que también puede ayudar a los administradores de red a comprender rápidamente cómo funcionan las redes y los activos críticos potencialmente riesgosos. Las amenazas detectadas entre nodos pueden ayudar a los investigadores a encontrar la ruta de ataque, el reconocimiento y el movimiento colateral en el perímetro o dentro de la red.

La inteligencia de amenazas en la nube que estamos desarrollando se construye naturalmente sobre el pensamiento gráfico. Todo el conjunto de datos y los modelos se crean utilizando una base de datos de gráficos nativa, lo que hace que los bordes de relación sean ciudadanos de primera clase en el conjunto de datos. Así que estoy feliz de ver que los defensores podemos pensar de la misma manera que lo hacen nuestros adversarios, lo que seguramente espero nos dé una ventaja para ganar en el juego de atacar-defender gato y ratón.