Monitoreo y detección: cuando la prevención falla
El monitoreo de seguridad, asociado a los controles de detección, es una disciplina que ha acompañado a la ciberseguridad desde hace años y ha evolucionado incorporando nuevos métodos y sistemas de apoyo que hagan, de que este desafío, uno menos complejo.
¿Se puede disminuir efectivamente el riesgo de las amenazas avanzadas?
Una historia de automatización
ACME decidió que se movería a una seguridad completamente automatizada, donde cada control no sólo detectaría, sino que bloquearía los ataques que pudieran recibir. De este modo, invertiría en buenas tecnologías y elegiría las más recomendadas por los expertos. Adicionalmente, complementaría esto con una buena estrategia de parchado, que evitaría las vulnerabilidades, para dejar sin espacio a los atacantes.
Los beneficios eran evidentes: eliminar el equipo de turnos de monitoreo y tener una seguridad más rápida y efectiva. Fueron algunos meses de esfuerzos para ajustar configuraciones e incorporar tecnologías hasta que todo ese potencial estuvo a punto.
Al día siguiente de la puesta de producción de la plataforma de seguridad, algunos clientes del portal de la empresa comenzaron a llamar: decían que no podían comprar productos en su sitio web. Y eran varios los que estaban en esa situación.
Bajo la lupa virtual
Se comenzó una investigación y se determinó que el WAF detectaba como ataques a la información de SKUs de los productos. Era razonable, el WAF tiene una serie de firmas que no son más que strings de caracteres usados en un ataque y varios de ellos coincidían con los SKU de los productos.
Unas cuantas excepciones solucionaron el problema. Al mismo tiempo, una empresa que daba soporte al ERP no podía conectarse de manera remota. La investigación determinó que el IPS reconocía a estos accesos remotos como riesgosos y los bloqueaba. Se decidió, entonces, crear una excepción también para estos protocolos, pues más desastroso sería que se cayera un sistema crítico y no contar con soporte.
Luego, el departamento de marketing se quejó: el sitio web se había caído justo a la hora de su oferta de un viaje pagado a quienes compraran sobre cierto monto. Este había sido el turno del sistema de DDoS, que interpretó estar frente a un ataque de denegación de servicio. La excepción también apareció...
Durante las semanas siguientes continuaron apareciendo necesidades de excepcionar para que llegaran correos, para que se pudiera conectar un usuario a cierta red profesional, para que el tráfico proveniente de un CDN no fuera bloqueado y una larga lista de situaciones. Un hecho parecido en los end-point había detenido la red por varias horas, pues una ejecución de un comando fue interpretada como un ataque y varios end-points sufrieron problemas.
¿Y ahora quién podrá ayudarme?
Luego de dos meses, la red se vino completamente abajo. Las hipótesis eran varias, pero había una que preocupaba especialmente al equipo: ransomware. Se contrató a una empresa de ciberseguridad para que apoyara en responder a ese incidente y la confirmación vino muy rápido.
En las horas posteriores, se confirmó todo: un
correo electrónico había llegado a un usuario de finanzas con una supuesta planilla para actualizar los
datos de un banco con el que trabajaban. El usuario llenó la planilla y la envió. Esta contenía una macro que ejecutó un PowerShell.
Ahora bien, ¿de qué se trata? PowerShell es una poderosa herramienta provista por Microsoft, utilizada por adiestradores para mantener las plataformas. Todo esto se podía ver con claridad en el EDR, que había generado alertas que indicaban varias acciones potencialmente maliciosas. El atacante había establecido un tráfico de comando y control hacia afuera. A través de este medio, recibiría las instrucciones de cómo continuar el ataque.
El sistema de sandboxing del perímetro había detectado este tráfico, pero no lo había bloqueado, pues el bloque había sido eliminado debido a algunos problemas que se tuvo con un socio de negocios. El atacante comenzó a bajar las piezas de un malware como si estuviera ensamblando una temible maquinaria de ataque. Terminado aquello, esta pieza comenzó un frenético movimiento hasta hacer explotar vulnerabilidades entre los end-points.
El proceso de parchado no había avanzado bien, porque hubo un problema en un segmento de la red que no dejaba pasar al sistema y porque otros equipos habían intentado ser parchados cuando estaban apagados.
Las trazas del ataque estaban por todos lados, los sistemas habían dejado la perniciosa huella, pero las necesidades del negocio obligaron a eliminar la automatización de varios de los controles, lo que le permitió al atacante ingresar y ejecutar su plan.
Quizás te interese seguir leyendo
¿Cómo mantener su negocio seguro en la nueva normalidad?
Por qué la detección y el monitoreo son controles claves
Todos los modelos y marcos de seguridad, como ISO 27001, NIST o PCI, requieren de la función de monitoreo, que consiste en equipos de analistas que observan las alertas que provienen de una consola que las agrupa, generalmente un SIEM. Este es un proceso sistemático que contempla la validación de la alerta por un lado, es decir, si es real o un falso positivo, y luego la categorización de esta: si tiene que ser investigada, escalada y con qué prioridad. Sin esta función, muchos ataques pasarían inadvertidos y sería demasiado tarde.
Una aspiración de los equipos de ciberseguridad es poder depender de los controles preventivos, el bloqueo automatizado de las alertas. Esta es una aspiración sensata, pero hoy irrealizable, debido a varias razones:
- Los sistemas de seguridad no son exactos
Detectan muchas situaciones con ambigüedad. Por ejemplo, un tráfico de una herramienta de control remoto, que puede ser usada legítimamente o ser parte de un ataque.
Los sistemas de seguridad generan estas señales ambiguas y falsos positivos, donde reconocen tráfico legítimo como de atacante. Si se activa el bloqueo, se afecta el negocio. Si no, alguien tiene que monitorear y analizar.
- Los atacantes viven de la comarca
Esto implica que ingresan a la red u utilizan las mismas herramientas legítimas de los sistemas: conexiones RDP, PowerShell y sus variados comandos, etc. Estas acciones no pueden ser bloqueadas o eliminadas a riesgo de afectar la operación. El monitoreo es la forma de actuar.
- Parchar es difícil
Este es uno de los problemas mal resueltos. Es difícil parchar porque hay sistemas como las aplicaciones que son únicos; existen sistemas legacy que no tienen parche, otros que preferimos no tocar para no afectar la operación o que, si los tocamos, requieren un laboratorio; otros que reinstalamos y las vulnerabilidades reaparecen.
- No toda la información es provista por los sistemas de seguridad
Muchas veces, un ataque deja trazas en otros sistemas y alguien debe juntar, analizar y descartar, o validar.
- Nos pueden atacar en cualquier momento
Por eso, alguien tiene que estar alerta para detectar y responder.
5 factores para considerar al monitorear y detectar
Tendemos a creer que el monitoreo es una actividad homogénea y relativamente mecánica. Nada más lejos de la verdad. Se trata de una disciplina que se debe adaptar a diversos escenarios y necesita del concurso de sistemas ad-hoc para cada contexto. Cada ámbito de monitoreo introduce desafíos diferentes.
- Monitoreo perimetral: es de seguridad y el más tradicional, requiere de la observación de eventos de sistemas, como firewalls, IPSs, WAFs, URL filtering y otros. La cantidad de eventos que produce son muchos y las tasas de falsos positivos resultan ser elevadas y necesita de sintonización.
Los analistas deben conocer de protocolos de comunicación y sistemas como DNS, web servers, correo electrónico, además de variadas modalidades de ataque aplicativo, intrusiones a sistemas operativos, ataques a aplicaciones web, ataques de denegación de servicio, entre otros. Los eventos que se generan son, muchas veces, ambiguos, y muestran sólo una exigua traza del ataque total. - Monitoreo de abuso de usuarios: se produce en la red interna, generalmente, e involucra fuga de información o intentos de accesos no autorizados a sistemas. Requiere del uso de sistemas como DLP, UBA, incluso cuando algunas trazas se pueden obtener desde los logs de sistemas operativos y cuando la información tiende a ser pobre y ambigua.
Una parte importante de este tipo de monitoreo es la investigación, junto con los equipos del cliente, pues validar que es confidencial o el acceso no fue autorizado implica conocimientos muy específicos de la organización y su negocio. - Monitoreo de fraude: es especialmente complejo y con similitudes al monitoreo de abuso de usuarios. El fraude se produce en torno a un proceso de negocio y a sistemas muy propios de este, como sistemas ERP y de cuenta corriente, plataformas de clientes, etc. Esto exige un conocimiento bastante preciso de las casuísticas de fraude, que deben provenir necesariamente el negocio y no siempre se encuentran disponibles.
El uso de sistemas específicos para diversas industrias –financiero, sistemas SAP, telefónica, entre otros– es indispensable para navegar las particularidades y complejidades de estos. El acceso a logs de sistemas es, más de una vez, un desafío; especialmente cuando se trata de sistemas legacy. La investigación con los responsables de área, de las plataformas y auditores resulta ser un aspecto central para la validación de las alertas.
- Monitoreo en ambientes específicos: nuevos ambientes, como redes OT, redes médicas, la nube, imponen algunos requisitos especiales. Por ejemplo, disponer de sistemas específicos para esos ambientes, que comprendan los sistemas, sus protocolos y se integren adecuadamente a estos. La interpretación de las alertas exigirá conocimientos puntuales por el lado de los analistas y de interacción con los equipos especialistas para una correcta interpretación.
Algunas veces, la capacidad de contar con información más precisa se verá limitada por restricciones del ambiente, como en el caso de redes OT, donde la instalación de agentes en variados sistemas es un aspecto sensible o, directamente, no resulta posible, como en sistemas IoT. - Monitoreo de amenazas avanzadas: los años recientes han evidenciado un aumento sostenido de las denominadas amenazas avanzadas persistentes (APT). Por su naturaleza, son muy sofisticadas y se usan variadas técnicas, siempre adaptadas al ambiente del cliente. El uso de credenciales robadas, ejecución de comandos vía PowerShell y otras capacidades legítimas de los sistemas las hacen especialmente elusivas.
Para detectar y contener ataques se requiere de sistemas especializados, particularmente EDRs, NDRS y UEBA. Los analistas deben tener niveles de experiencia altos y, además de todas las capacidades requeridas, –por ejemplo, para el monitoreo perimetral– se necesitan altos conocimientos de sistemas operativos y de las distintas técnicas de ataque (ver Matriz de Mitre Att&ck).
Nuevas formas de monitoreo
Junto al monitoreo permanente avanzado, las amenazas avanzadas han llevado al desarrollo de nuevas técnicas, como el Threat Hunting.
Este forma parte de una premisa diferente: no observa alertas producidas por los sistemas, sino que genera hipótesis de posibles situaciones de riesgo y busca en repositorios de logs y eventos para ver si algo pasó inadvertido a los sistemas de monitoreo en tiempo real.
Respuesta a incidentes
La consecuencia no deseada del monitoreo es la respuesta a incidentes. El trabajo de un CDC en esta situación es el de proveer capacidades de monitoreo cercana para identificar nuevos movimiento del atacante y análisis sobre la data histórica, con el fin de identificar los pasos del atacante y cerrar esas vías, o para reconocer la naturaleza de él. La capacidad de interpretar la información de los sistemas proviene de los equipos de analistas de monitoreo.
Sigue leyendo
Los cinco desafíos del CISO que trae el 2021
Analizar adecuadamente las alertas
El monitoreo de seguridad es el complemento a las capacidades de detección de las tecnologías. Estas pueden reconocer una variada gama de amenazas, pero la ambigüedad de algunas alertas y los falsos positivos hacen necesario el análisis de un ser humano y de la sintonización de estos sistemas.
La función de un Cyber Defense Center es proveer estas capacidades de monitoreo, con analistas de diverso nivel de experiencia y el apoyo de especialistas de inteligencia y de plataformas, a fin de poder analizar adecuadamente las diversas alertas. Desde Neosecure acompañamos a nuestros clientes en este camino con el más completo abanico de servicios de seguridad.
¿Su empresa está evaluando implementar y/o contratar algún servicio de monitoreo?
Si es así, podemos ayudarlo.