La aguja en el pajar
Buscar una aguja en un pajar. Esa es la metáfora que podríamos usar para referirnos al elusivo ejercicio de detectar un ciber-ataque. Sin embargo, como sucede con las metáforas, sólo son gruesas aproximaciones de la realidad. Buscar una aguja en el pajar antes de que este reviente, se acerca un poco más. Detectar en ciberseguridad tiene ese elemento de urgencia que agita los corazones de los avezados buscadores, pues sabemos que el tiempo no es infinito.
No sólo es un ejercicio que podría ser tedioso, sino también apremiante. Buscar una aguja en un pajar y en un pastizal y en un basural antes de que uno de estos explote. La metáfora va perdiendo esa simple elegancia, que es la gracia de las metáforas, pero en ciberseguridad, son múltiples los ambientes y por lo tanto múltiples las adaptaciones que el especialista debe tener. Buscar una aguja que se mimetiza, se esconde, en un pajar y en un pastizal y en un basural antes de que uno de estos explote. Ya esto no es una metáfora, es algo más bien burdo, pero la realidad de los atacantes esconden sus pistas, sus movimientos, son actores ágiles e inteligentes.
La aguja y el pajar han cambiado y con ello han debido cambiar las estrategias y técnicas de los que defienden si es que quieren tener éxitos. El esquema de detección tradicional consideraba algunos sistemas perimetrales (Firewall, IPS, WAF, EGP), un antivirus y logs de algunos servidores. La guinda de la torta, el SIEM, une todo esto y a través de la correlación genera señales amplificadas que nos permiten ver al atacante. Tras esta estrategia de monitoreo existían algunos supuestos: cuando el atacante (un externo) ingrese o salga, lo vamos a ver en alguno de los sistemas perimetrales. Si ingresa con un archivo malicioso, será detectado al momento de llegar al end-point, cuando el antivirus cumpla su función. Y si se mueva hace algún servidor, gracias a sus logs veremos la actividad maliciosa.
Sigue leyendo
Las amenazas se complejizan: ¿cómo responder frente a los ataques?
Sin embargo, el paso por el perímetro, es, desde la perspectiva de quién defiende, fugaz y ambiguo. Tal es el caso de la gran cantidad de señales de acceso remoto. El acceso remoto, vía explotación de vulnerabilidades o robo de credenciales es uno de los mecanismos más utilizados para ingresar a una organización. Sin embargo, son tantas las situaciones legítimas de RDP que podemos pasar años revisando tráfico RDP sin encontrar nada. Agotador, caro, poco efectivo.
La industria ha buscado nuevos mecanismos para detectar ataques que permitan solucionar la fatiga de investigación de los analistas y reducir el volumen de horas de experto, cada vez más caro y escaso, entre otras. El EDR fue en este sentido el primer gran paso. Este control, incorporado en el end-point, utiliza telemetría para ver todo lo que sucede de valor en el sistema que lo aloja. Luego, utilizar técnicas de machine learning para identificar dentro esta telemetría, patrones y anomalías enriqueciendo la mezcla con información de inteligencia de la amenaza. El EDR comenzó a revolucionar la industria de la detección, pues al estar dentro de la red, detectaba varias señales, pues acá los atacantes deben escalar privilegios, moverse lateralmente, explotar vulnerabilidades, es decir, toda una fiesta de rarezas.
Lee también
¿Por qué América Latina es una mina de oro para los ciberdelincuentes?
El concepto funcionó y la industria lo extendió a lo que se denominó XDR, es decir, sobre la capacidad centralizada de analítica del EDR, se incorporó la capacidad de recibir información de otros sistemas: los consabidos sistemas perimetrales, la nube, la red y otros. De pronto, nos llenamos de datos y el ML comenzó a ver cosas que quedaban ocultas a nuestros ojos. Los analistas comenzaron a incorporar técnicas de hunting para identificar los pasos que podían estar faltando y las presencias que podían permanecer aún ocultas.
Esta transformación supone una evolución de las tecnologías que usan las organizaciones, de su métodos, de sus servicios y de sus expectativas. Los sistemas de XDR son poco adecuados para facilitar los aspectos normativos y de cumplimiento. Lo suyo, al menos por el momento, es la detección pura y dura. En su desarrollo han dejado de lado las pretensiones de tener todo en un mismo sistema: detección, demostración de cumplimiento, reportería, gestión de casos. Es posible que se tienda a reunificar en algún momento, pero hoy han puesto el foco en aquello que duele de verdad, en el origen de todo, en encontrar aquella esquiva aguja en cualquiera sea el pajar que aparezca.
¿Qué podemos hacer? ¿Hay alguna forma de estar preparados?