Detectando los indicadores de un ataque

En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como son las celdas fotovoltaicas, las puertas trampa o las cámaras de vídeo. Todas esas medidas previenen o disuaden a los delincuentes a entrar a una propiedad, pero para que cumplan su función requieren una configuración previa y un mantenimiento o monitoreo constante.

Adicionalmente, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando las posibles debilidades que pueda aprovechar para su objetivo criminal. Por lo que, para que puedan ser realmente preventivas, es necesario que estén bajo un monitoreo constante y una investigación de las anomalías o comportamientos sospechosos almacenados en los vídeos o en los eventos de los mecanismos instalados.

Configurando sistemas para prevenir y disuadir

Esto mismo sucede con los sistemas de seguridad de la información, dónde todos los recursos técnicos que se configuran buscan prevenir o disuadir, para lo cual toman como base de configuración las características que permiten detectar los ataques que se van conociendo y que, dependiendo de cada mecanismo de protección, se van configurando dentro de los motores de detección y alerta, para que los sistemas de monitoreo puedan ser avisados de la presencia de una amenaza.

Por lo tanto, al igual que como sucede en la seguridad física, son mecanismos que si no se mantienen monitoreados y actualizados en sus configuraciones de detección, se convierten en sistemas que pueden ser analizados por delincuentes para la detección de fallas que puedan ser aprovechadas.

Para mantener estas actualizaciones, cada tecnología dispone de formas automáticas o manuales de actualización de los sensores de detección Por ejemplo, los sistemas tradicionales de antivirus reciben constantemente actualización de las formas de detección, y los sistemas actualizados que utilizan Machine Learning aprenden a detectar las amenazas usando muestras de diferentes tipos de malware, como las que tenemos en nuestra herramienta CARMA de las amenazas de Android.

Indicadores de compromiso (IoC) como mecanismo de actualización

Sin embargo, uno de los mecanismos que más se ha propagado para mantener una constante actualización de las configuraciones son los indicadores de compromiso (IoC), los cuales son piezas de evidencia forense que se han recolectado tras un incidente y que permite identificar patrones comunes como direcciones IP, dominios o hashes que hayan sido utilizamos previamente y actualizar así los sensores de detección para que califiquen como amenaza a cualquier acción dentro de la red que contenga una de estas piezas de evidencia.

Una de las técnicas de prevención es realizar investigaciones sobre alertas de los sistemas de monitoreo que permitan determinar si las acciones recolectadas se pueden relacionar con incidentes previamente reportados en el mundo, este método en seguridad de la información es conocido como Threat Hunting, siendo la metodología más completa y compleja para la detección de posibles intrusiones que hayan saltado los controles establecidos, usando los IoC como base de comparación.

De detectores reactivos a detectores proactivos

Pero, ¿qué pasa si el delincuente usa mecanismos totalmente desconocidos?, ¿qué pasa si el malware no toca el disco y los antivirus no pueden comparar con sus firmas?, ¿qué pasa si el IPS no tiene ese trama de datos dentro de sus comparaciones de alerta? Lo que sucede es que nada se alerta, el monitoreo por más que sea persistente no va a recibir ninguna alarma de anomalía y, el delincuente, tras un riguroso análisis de nuestros sistemas de seguridad, habría encontrado la brecha o la técnica para esconderse y conseguir su objetivo.

En muchas ocasiones, esto es lo que esta sucediendo en los incidentes cibernéticos que se han reportado este año, por lo que es necesario que las áreas de seguridad de la información empiecen a cambiar el enfoque de detectores reactivos, como los IoC, a detectores proactivos, que permitan poder detectar amenazas o incidentes en el mismo momento que suceden y que no dependan del conocimiento previo de otros incidentes.

Indicadores de Ataque (IoA)

Esto es lo que se ha denominado como Indicadores de Ataque (IoA), que permite a los equipos de detección (Blue Team) identificar sucesos por patrones de comportamiento, por ejemplo un escaneo de red, una comunicación a un C&C o cualquier comportamiento que entregue señales de que algo saltó las defensas de la red.

Debido a esta particularidad, es complicado tener un listado o una base de datos común de IoA’s, pues están atados a las tácticas mostradas en la matriz de ATT&CK de Mitre y a las características de seguridad propias de cada empresa, usando el contexto para determinar cuando una acción es o no un indicador de ataque.

Por este motivo, la implementación no es sencilla y requiere de un conocimiento a profundidad de las actividades TI normales de todos los departamentos de una organización, de la implementación de sistemas de Zero Trust Network Access e implementación de controles de trafico de red en todos los sistemas que gestionen información, para así poder tener las actividades básicas que se mencionan a continuación para la detección de los IoAs:

• Análisis de todas las conexiones cuyo destino sea fuera de la red corporativa, dando prioridad a destinos marcado como maliciosos o a lugares donde no se debería hacer comunicaciones desde la empresa.
• Todo intento de trafico en la red por puertos no convencionales o de servicios que se hayan habilitado dentro de la red o en horarios fuera de oficina.
• Cualquier equipo que tenga múltiples conexiones activas o intentos de conexión con equipos dentro de la red a los cuales no tienen permiso o que no tenga dentro de su historial de conexiones.
• Reporte de eventos repetidos, como malware o trafico malicioso, en uno o varios equipos por los sistemas de detección.
• Procesos de autenticación de los usuarios, que impliquen cualquier conexión simultanea o intentos fallidos.

Con estas investigaciones permanentes se inicia la generación de la base de conocimiento de los IoA y los procesos de respuesta de incidentes mejoran. De esta manera el sistema se basa no en datos que han sucedido y que pueden ser evadidos por los atacantes, si no en actividades y técnicas asociadas tanto a las tácticas de ataque como a las características propias de la red de la organización.