Los registros de API en la nube son un punto ciego importante para muchas organizaciones y, a menudo, influyen en las filtraciones de datos anunciadas públicamente a gran escala. Plantean varios desafíos para los equipos de seguridad:

• Las transacciones de la API en la nube no dejan evidencia basada en la red o en el host. Por esta razón, no se pueden monitorear, buscar o analizar con herramientas y productos de seguridad convencionales, como dispositivos de seguridad de red o agentes de seguridad basados ​​en terminales. Esto tiende a crear puntos ciegos importantes en la detección de amenazas en la nube, como veremos en los estudios de casos a lo largo de este blog.
• Tienden a resistir la detección utilizando reglas de búsqueda convencionales. Un mensaje de registro de transacciones de la API en la nube creado por una actividad no autorizada o maliciosa puede ser indistinguible (aparte de matices contextuales muy sutiles) de los miles o millones de mensajes similares que eran benignos.
• Distinguir entre mensajes rutinarios y maliciosos puede requerir experiencia técnica y familiaridad con el entorno para comprender los matices, como el contexto del usuario que llama o la ubicación de la fuente. Alertar sobre tales amenazas con reglas de búsqueda requeriría un conocimiento previo de cómo se manifiestan los ataques comunes y qué contextos de usuario es probable que se vean comprometidos.

Por todas estas razones, los registros de API en la nube son resistentes a las técnicas convencionales de detección y búsqueda de amenazas. Incluso si hubiera suficiente personal técnico para que todas las organizaciones mantengan equipos robustos de búsqueda de amenazas, no es factible filtrar manualmente millones o miles de millones de eventos de CloudTrail para encontrar los pocos valores atípicos que indican actividad maliciosa.

En este blog, analizaremos en profundidad las técnicas de detección a través del análisis de registros de API en la nube, explorando dos casos de uso de incidentes de registros públicos para aplicar ejemplos del mundo real de cómo las amenazas pueden pasar por los métodos de detección convencionales. Analizaremos cómo usar las reglas de detección basadas en búsquedas y mostraremos cómo usar la detección de anomalías basada en el aprendizaje automático de Elastic para identificar actividades raras e inusuales en los registros de la API en la nube.

Nota completa desde el Blog de Elastic, clic en el enlace.