Cómo cazar actividades riesgosas
El monitoreo de seguridad tradicional, tal cual lo conocemos hoy, en esencia es reactivo. Su diseño radica en algo bastante simple: crear reglas de detección a partir de tráfico que ya fue identificado como malicioso.
Usualmente, este es sujeto de análisis post mortem de un escenario de ataque. En el fondo, los diferentes actores de la industria de ciberseguridad van aprendiendo de los atacantes, sus técnicas y, así, van armando sus propias reglas de identificación.
Pero ¿cómo podemos detectar las amenazas a tiempo?
Las reglas de detección, muchas veces, presentan ambigüedad, de ahí que se requiera analizar sus resultados para confirmar un ataque, anomalía o un falso positivo. Por otro lado, un sistema de reglas no es muy eficiente a la hora de querer identificar, más allá del tiempo real, mirar horas o días atrás, e incluso semanas, en diferentes sistemas de la red o la nube, algo que decante en detectar lo más parecido a lo que un atacante sofisticado suele realizar: comprometer el acceso inicial, esperar, descubrir, luego moverse lateralmente hasta conseguir las joyas de la corona, preparar el acto final y, por último, lograr su objetivo.
Si a esto sumamos que los atacantes logran avanzar en sus objetivos utilizando técnicas que pasan bajo el radar, con comandos y utilitarios benignos, aún más debemos ser conscientes de que un mecanismo de detección basado solo en firmas, reglas y correlación no es suficiente para lograr cazar las actividades realmente riesgosas.
Qué hacer y cómo
Se requieren, entonces, de otro tipo de datos y sumar otras estrategias. Se habla mucho de telemetría, datos extendidos de seguridad, etc., que vienen a complementar los eventos generados por las tecnologías de seguridad. También, se habla de detección de anomalías y comportamiento. Estas estrategias buscan detectar las actividades sutiles y la evasión de los controles de seguridad.
El problema que ahora se debe abordar es que tendremos más datos que analizar: eventos correlacionados, desviaciones de comportamiento, anomalías de red, telemetría de los EndPoints, telemetría cloud y quizás, en el futuro, todavía más. El desafío está en cómo abordar esta situación de un aumento de señales, pero con aún más ruido. ¿Seremos capaces de encontrar la aguja en el pajar?
Sigue leyendo
Las amenazas se complejizan: ¿Cómo responder frente a los ataques?
Un acercamiento posible es el monitoreo basado en observaciones y riesgos asociados a objetos de interés. ¿Cómo operaría esto? Un objeto de interés pueden ser los usuarios, los nombres de equipos, aplicaciones, etc. Si a estos se les asocia un score de riesgo por cada actividad diferente que es realizada podremos monitorear el acumulado individualmente y determinar si existe algún cambio en el comportamiento, algo que sea agresivo.
Las observaciones pasan a ser eventos generados por los diferentes tipos de controles, por ejemplo: podríamos asignar puntajes bajos a la actividad relacionada con accesos/login, uno un poco más alto a login fallidos, aún más alto a la detección de malware, puntaje intermedio a la actividad vinculada con la persistencia o comando y control, etc.
Si logramos determinar que, en una ventana de tiempo, se asociaron suficientes observaciones diferentes a un mismo usuario y que, en su conjunto, suman un puntaje que supera un determinado umbral, es posible que demos con actividad agresiva que se asemeja al comportamiento de compromiso de la red por un atacante real.
Si, además de esto, agrupamos actividades similares, digamos, una misma táctica, y tomamos en cuenta umbrales por la cantidad de tácticas diferentes en el tiempo para un mismo objeto de riesgo, es posible que nos lleve a eliminar gran parte del ruido generado por la actividad normal y ayudarnos en detectar los eventos de interés.
Lee también
¿Por qué América Latina es una mina de oro para los ciberdelincuentes?
¿Qué beneficio presenta este acercamiento?
La principal ventaja es que este acercamiento es más resistente a los cambios en las estrategias de ataque que el modelo tradicional basado en firmas y reglas, siempre y cuando contemos con la información de telemetría.
En el fondo, es una herramienta que nos permitirá ya no solo realizar un monitoreo a tiempo real basado en firmas, sino observar lo que ocurre en ventanas de tiempo más largas, algo así como entender que está pasando con los árboles y el bosque, lo cual nos acercará a detectar lo inusual, sutil y evasivo.
¿Existe tecnología que nos permita realizar esto?
La industria de ciberseguridad está incorporando este novedoso concepto. Plataformas como Crowdstrike Falcon Intsights y PaloAlto Cortex XDR, entre otras, permiten monitorear el comportamiento de las amenazas con un esquema de puntajes y desviaciones similar al planteado, que genera un ahorro notable en el esfuerzo de monitoreo, y lo que es mejor, en la disminución de falsos positivos. Todo esto resulta en una baja de los tiempos de detección y respuesta.
¿Qué podemos hacer? ¿Hay alguna forma de estar preparados?