Detección y respuesta basadas en Ciberinteligencia. Parte 1: los pilares básicos

Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”.

Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y.

Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario.

En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.).

Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR).

Un EDR ofrece:

• Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc.
• Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial.
• Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.).

Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular “Wally”.

En este punto, necesitamos información de alto nivel sobre el tipo de actores que atacan a nuestro sector o a nuestras regiones, cuál es su motivación o qué activos de nuestro negocio suelen atacar… es decir, se requiere de una inteligencia estratégica, que permita definir el perfil de riesgo y diseñar una estrategia de defensa. En un siguiente nivel, encontramos la información sobre las técnicas, herramientas y procedimientos específicos que utilizan normalmente estos actores. Este conocimiento, denominado inteligencia táctica, nos permite llegar a un mayor nivel de detalle técnico para organizar y fortificar nuestras defensas, así como para entrenar nuestro personal, y comprender más ágilmente el posible impacto de indicios de incidentes. Y, finalmente, necesitamos información operativa y técnica para poder buscar las huellas que dejan los atacantes durante su actividad, fuera o dentro de nuestra infraestructura: direcciones IP, dominios, URLs, nombres de ficheros, y en general, cualquier dato identificativo de nuevos incidentes y campañas.

Los grupos cibercriminales funcionan como un negocio, empleando modelos cost-effective que reaprovechan al máximo su infraestructura para optimizar la rentabilidad de sus “inversiones”, y la inteligencia de amenazas ayuda a evitar segundos, terceros y sucesivos incidentes con éxito. Es lo que llamamos Indicadores de Compromiso (IoCs), piezas de información entregadas en formatos estándar para que puedan ser procesados por dispositivos de seguridad, así como por equipos de personas.

Adicionalmente, y para aquellas organizaciones-suficientemente maduras que deseen potenciar las capacidades de telemetría, detección y analítica que proporciona un EDR, se recomienda el empleo de tecnologías complementarias dirigidas a cubrir la recolección y analítica sobre el tráfico de red (Network Threat Analysis). Estas soluciones recogen y analizan paquetes de red en tiempo real para detectar anomalías, apoyándose en técnicas de sandbox, analítica de comportamiento, bases de firmas e indicadores de compromiso.

La posibilidad de almacenar y disponer del histórico del tráfico de red permite realizar búsquedas avanzadas hacia atrás (retrohunting) sobre nuevas amenazas, así como realizar investigaciones exhaustivas para determinar el alcance y las medidas de mitigación y remediación necesarias sobre posibles compromisos e incidentes de seguridad en curso.