Nueva herramienta CISA detecta actividad de piratería en los servicios en la nube de Microsoft

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha lanzado una nueva herramienta de respuesta a incidentes de código abierto que ayuda a detectar signos de actividad maliciosa en entornos de nube de Microsoft.

Conocida como la ‘Herramienta Goose sin título’ y desarrollada en colaboración con Sandia, un laboratorio nacional del Departamento de Energía de EE. UU., esta utilidad basada en Python puede descargar información de telemetría de los entornos Azure Active Directory, Microsoft Azure y Microsoft 365.

“Untitled Goose Tool es una herramienta robusta y flexible de búsqueda y respuesta a incidentes que agrega nuevos métodos de autenticación y recopilación de datos para ejecutar una investigación completa en los entornos de Azure Active Directory (AzureAD), Azure y M365 de un cliente”, dice  CISA .

“Untitled Goose Tool recopila telemetría adicional de Microsoft Defender para Endpoint (MDE) y Defender para Internet de las cosas (IoT) (D4IoT)”.

Con la ayuda de la herramienta de análisis e interrogación en la nube de Microsoft multiplataforma de CISA , los expertos en seguridad y los administradores de red pueden:

• Exporte y revise los registros de auditoría e inicio de sesión de AAD, el registro de auditoría unificado (UAL) de M365, los registros de actividad de Azure, las alertas de Microsoft Defender para IoT (Internet de las cosas) y los datos de Microsoft Defender para Endpoint (MDE) en busca de actividades sospechosas.
• Consulte, exporte e investigue las configuraciones de AAD, M365 y Azure.
• Extraiga artefactos de la nube de los entornos AAD, Azure y M365 de Microsoft sin realizar análisis adicionales.
• Realice la delimitación temporal de la UAL.
• Extraer datos dentro de esos límites de tiempo.
• Recopile y revise datos utilizando capacidades de límite de tiempo similares para datos MDE.

A principios de este mes, CISA  lanzó una herramienta de código abierto llamada ‘Decider’  para ayudar a los defensores a generar informes de mapeo MITRE ATT&CK para ajustar su postura de seguridad en función de las tácticas y técnicas de los adversarios.

Decider se lanzó después de publicar una  guía de “mejores prácticas”  sobre el mapeo MITRE ATT&CK en enero, destacando la importancia de usar el estándar.

También anunció que, a partir de enero de 2023, advierte a  las entidades de infraestructura crítica  sobre los sistemas expuestos a Internet vulnerables a los ataques de ransomware.

“Usando esta capacidad de defensa cibernética proactiva, CISA ha notificado a más de 60 entidades sobre intrusiones de ransomware en etapa temprana desde enero de 2023, incluidas organizaciones de infraestructura crítica en los sectores de energía, atención médica y salud pública, agua y sistemas de aguas residuales, así como la comunidad educativa. , “CISA reveló hoy.

Esto siguió al lanzamiento de  una nueva asociación  en agosto de 2021 para proteger la infraestructura crítica de EE. UU. del ransomware y otras amenazas cibernéticas, conocida como Joint Cyber ​​Defense Collaborative (JCDC).

La agencia de seguridad cibernética lanzó previamente en junio de 2021 un nuevo módulo para su Herramienta de evaluación de seguridad cibernética (CSET) conocida como  Evaluación de preparación de ransomware  (RRA) para ayudar a las organizaciones a evaluar su preparación para prevenir y recuperarse de ataques de ransomware.

Dos meses después,  publicó una guía  para ayudar a las organizaciones gubernamentales y del sector privado en riesgo a prevenir violaciones de datos resultantes de ataques de ransomware.