Detección y respuesta basadas en ciberinteligencia. Parte 2: juntando todas las piezas

Una vez contamos con la visibilidad que aporta un Endpoint Detection & Response (EDR) y el conocimiento que proporciona la adopción de la inteligencia de amenazas, ya disponemos de los dos principales pilares para comenzar nuestro viaje hacia una organización ciber-resiliente.

En la actualidad, la mayor parte de las compañías se encuentran en un nivel de madurez de seguridad básica. Cuentan con un SIEM como eje principal donde se almacenan ciertos y se generan alertas a partir de correlación de reglas, pero careciendo aún de toda la telemetría necesaria, así como de las herramientas e inteligencia necesaria para una detección efectiva de ataques sofisticados.

¿Cómo saltar al siguiente nivel? Combinando la telemetría completa ofrecida por un EDR, junto con la información de inteligencia de amenazas e indicadores de compromiso. De esta forma podemos dar el siguiente paso: mejorar la visibilidad sobre la actividad de los atacantes en los endpoints, mejores capacidades de detección en el SIEM -gracias al empleo de IoCs-, y más eficiente labor de triaje e investigación de incidentes sobre las alertas del SIEM a partir de la aplicación de contexto y enriquecimiento que aporta la inteligencia de amenazas.

Con estos nuevos ingredientes en la mesa, nos encontramos ya en disposición de desbloquear la siguiente fase de nuestro viaje, y beneficiarnos de nuevas eficiencias en los procesos de detección de incidentes. No obstante, y como ya sabemos, en seguridad no existen garantías absolutas. Por ello, debemos introducir un nuevo concepto: el hunting proactivo de amenazas. Estos procesos de hunting se apoyan en analistas expertos o hunters que “bucean” de manera continua y proactiva sobre la telemetría recogida, con el propósito de identificar señales de compromiso a partir de la exploración de nuevas técnicas de ataques y artefactos empleados por actores y campañas emergentes. De esta forma, los hunters son capaces de frustrar los ataques antes, incluso, de que se produzca una brecha, así como detectar amenazas que hubieran podido evadir las anteriores capas de seguridad.

Hasta el momento, nos hemos detenido en las principales aproximaciones que, aunque avanzadas y eficaces, tienen un carácter ciertamente reactivo y pretenden mantener a nuestros adversarios apartados de nuestra infraestructura. Existe un dicho que dice: “Mantén a tus amigos cerca, y a tus enemigos aún más”. Esta expresión nos lleva a la siguiente reflexión: ¿por qué no darle la vuelta a la ‘tortilla’ e intentar, en su lugar, atraer a nuestros adversarios hacia “nuestra red”? No, no nos hemos vuelto locos. Únicamente estamos introduciendo un nuevo concepto de defensa activa: los sistemas de deception.

Estos enfoques, basados en las técnicas militares tradicionales de contrainteligencia, nos permiten desplegar escenarios falsos que simulan infraestructuras, activos y perfiles de nuestra organización para desencaminar a un atacante hacia un entorno controlado y monitorizado, donde se le plantean nuevos desafíos y dificultades a lo largo de un árbol de ataque, diseñado específicamente en base a la naturaleza de cada organización. De esta forma se consigue dirigir los recursos de un atacante hacia una infraestructura falsa, mientras nuestros verdaderos activos se encuentran protegidos y logramos obtener inteligencia del adversario (indicadores sobre su C&C, herramientas empleadas, capacidades, motivaciones, etc.).

Y con esto, llegamos al último peldaño dentro de nuestro viaje: los sistemas de analítica avanzada, que emplean técnicas de procesamiento en tiempo real de altos volúmenes de información e inteligencia artificial, para detectar anomalías y desviaciones representativas de posibles intentos de compromiso. Hablamos aquí de una categoría emergente de capacidades y herramientas que engloban ciertas tecnologías SIEM de nueva generación, así como otras soluciones específicamente enfocadas a temas UEBA (User Entity Behaviour Analytics). Estas soluciones han despertado un gran interés por la promesa de resolver, de forma automática, el problema de detección de ataques sofisticados. Son, sin embargo, soluciones que requieren alta madurez operativa para poder ser implantadas y optimizadas, y en la actualidad están siendo analizadas en entornos reales y de laboratorio para determinar si podrán cumplir la totalidad de las expectativas generadas.

Nuestro viaje para localizar a Wally y mejorar nuestras capacidades finaliza aquí, pero ¿cómo hacemos ahora para “eliminarlo de la foto”? Ser capaces de detectar una brecha mientras se está produciendo, sirve de poco si no somos capaces de ejecutar una respuesta rápida, eficaz y eficiente. Por tanto, dentro de esta evolución de las operaciones de seguridad no puede faltar un equipo de respuesta a incidentes (CSIRT) con capacidades avanzadas de Digital Forensics and Incident Response. Una capacidad que puede ser costosa de construir a nivel interno, ya que requiere perfiles expertos con mucha experiencia en análisis forense, reversing de malware, analistas de inteligencia, etc., todos ellos perfiles escasos en las plantillas de la mayoría de las organizaciones pueden disponer en su plantilla.

CÃ³mo hacemos frente a los incidentes desde ElevenPaths

Como conclusión, la pregunta que puede surgir a un profesional de seguridad que comparte esta visión es ¿cómo puedo llegar a tener todas estas capacidades?, especialmente en un momento donde existe una escasez muy importante de personal, una inmensa diversidad tecnológica en términos de proveedores y soluciones, y una enorme presión para prepararse y evitar que nuestra organización sufra una brecha de seguridad con daños irreparables.

En ElevenPaths disponemos de un MDR Lab que facilita la elección de aquellas piezas tecnológicas que mejor se adaptan a las necesidades de cada empresa. En este laboratorio probamos a fondo los productos más punteros empleando nuestra propia metodología, infraestructura y técnicas de exploiting y malware. De esta manera, podemos eliminar de la foto parte de la complejidad inicial relativa a la selección de los componentes sobre los cuales basar sus operaciones de seguridad.

Adicionalmente, podemos ofrecer estos productos como servicios gestionados, así como abordar proyectos de consultoría e integración para posibilitar una implementación integral dentro de los procesos operativos de su SOC.

Finalmente, ofreceremos servicios de outsourcing completo de SOCs, incorporando estas capacidades avanzadas de forma transparente para facilitar aún más este viaje hacia las operaciones de seguridad basadas en inteligencia.