la búsqueda de amenazas ocultas · también existe una serie de disciplinas de seguridad con...
TRANSCRIPT
La búsqueda de amenazas ocultasIncorporación de la búsqueda de amenazas en su programa de seguridad
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 • BÚSQUEDA DE AMENAZASAGOSTO DE 2019
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
2
Introducción 3
La realidad 3
Más vale prevenir 3
Dónde empezar 3
La búsqueda de amenazas frente a 4
La respuesta ante incidentes 4
Las pruebas de penetración 4
La gestión de riesgos 4
La evaluación del riesgo 4
Las cinco cuestiones fundamentales 5
¿Por qué? 5
Identificar quién 5
Cuándo buscar 6
El qué y el dónde 6
La pirámide del dolor 7
Cómo buscar 8
Analizar los registros 8
Probar una teoría 8
Ir tras la fuente 9
Las consecuencias 11
Conclusión 11
Herramientas para la búsqueda de amenazas 12
Índice
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
3
Introducción
Tal vez sea hora de considerar la búsqueda de amenazas. La búsqueda de amenazas implica ir más allá de lo que ya sabemos o de lo que se nos ha alertado. El software de seguridad solo nos alerta de los riesgos y comportamientos que sabemos que son maliciosos. La búsqueda de amenazas consiste en adentrarse en lo desconocido.
La búsqueda de amenazas es un ejercicio de seguridad activo, con la intención de encontrar y erradicar a los atacantes que han penetrado en el entorno sin activar las alarmas. Esto contrasta con las investigaciones y respuestas tradicionales que surgen de las alertas que aparecen después de que se haya detectado actividad potencialmente maliciosa.
La realidadPor supuesto, este escenario podría sonar algo idealizado. Es decir, ¿quién tiene realmente una tarde libre? Siempre hay algo más que se tiene que hacer, ¿verdad?
La realidad es que, la mayoría de las veces, la búsqueda de amenazas no es una actividad que se hace por capricho. Tampoco es algo que se haga en una investigación en curso como el siguiente paso de un procedimiento. Más bien es una actividad que se planea deliberadamente y que se lleva a cabo regularmente para ayudar a fortalecer su postura en materia de seguridad. Básicamente, es otra herramienta de su arsenal de seguridad.
Nada de esto suena fácil cuando su horario está abarrotado y su lista de tareas pendientes llega hasta el techo. Sin embargo, hay algunas ventajas clave en reservar tiempo en el calendario para realizar actividades de búsqueda de amenazas.
Más vale prevenirPara empezar, la identificación y erradicación de amenazas desconocidas y no detectadas siempre es algo bueno. Incluso cuando no se descubre una amenaza en particular, los ejercicios de búsqueda de amenazas a menudo identifican debilidades en su entorno que se pueden apuntalar y que obligan a establecer nuevas políticas. En última instancia, el fruto obtenido de la búsqueda de amenazas regular es que puede reducir significativamente la superficie de ataque de futuros agentes maliciosos.
También se dan oportunidades sustanciales de aprovechar lo aprendido durante una campaña de búsqueda de amenazas. Estos ejercicios pueden identificar zonas donde se podrían implantar alertas de comportamiento malicioso, así como dónde desarrollar la automatización para repetir un ámbito de búsqueda de amenazas en particular. A partir de ahí, puede llevar a cabo otros ejercicios de búsqueda de amenazas, desarrollando y ampliando sus protecciones y funciones.
Dónde empezarEl objetivo de este informe es ofrecer una visión general de la disciplina de la búsqueda de amenazas. Exploraremos los pormenores de la búsqueda de amenazas, resaltaremos por qué es un esfuerzo que vale la pena, quién debe estar involucrado, qué y dónde deberá buscar y cuándo deberá hacerlo.
También existe una serie de disciplinas de seguridad con tareas que se superponen con la búsqueda de amenazas. Compararemos y contrastaremos las disciplinas, para demostrar que, si bien la búsqueda de amenazas es similar a otras tareas, merece un lugar en su arsenal de seguridad.
Son las una en punto y todo está bien. Ha vuelto del almuerzo y, como investigador sénior de amenazas del centro de operaciones de seguridad (SOC) de la empresa, acaba de revisar sus paneles SIEM en busca de alertas de seguridad. No hay nada fuera de lo común que haya llamado su atención. Un proyecto de automatización reciente ha reducido drásticamente el tiempo que se tarda en hacer este barrido de seguridad, pues ha liberado un tiempo valioso que previamente se habría dedicado a tareas manuales. Entonces, ¿en qué emplear este nuevo tiempo?
La búsqueda de amenazas es una actividad que se planea deliberadamente y se lleva a cabo regularmente para ayudar a fortalecer su postura en materia de seguridad.
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
4
Por último, analizaremos cómo puede crear campañas eficaces de búsqueda de amenazas dentro de su organización. Una de las cosas más difíciles de determinar es por dónde empezar. Para ayudar, comenzamos con los sencillos pasos que puede seguir para comenzar a desarrollar su postura en materia de búsqueda de amenazas, fortaleciendo la seguridad de su organización en el proceso.
En cuanto a las disciplinas de seguridad, la búsqueda de amenazas es una especialidad joven en comparación. Dado esto, existen solapamientos con otras prácticas relacionadas con la seguridad. De hecho, muchas personas actualmente involucradas en la búsqueda de amenazas tienen experiencia con estos otros roles en sus trayectorias profesionales. Las siguientes comparaciones son comparaciones rápidas con otras disciplinas.
La respuesta ante incidentes
Esta función es quizás la más similar a la búsqueda de amenazas. Ambas disciplinas se ocupan directamente de las amenazas en su entorno. La diferencia principal es que la respuesta ante incidentes es reactiva: sabe que hay algo en la red o, al menos, que ha intentado acceder a la red, debido a las alertas de seguridad, el comportamiento de la red o del terminal u otros indicios. Por el contrario, en la búsqueda de amenazas, no existe necesariamente ningún indicio de una amenaza. En su lugar, busca activamente algo en lugar de tratar de contener y corregir lo que sabe que está ahí.
Las pruebas de penetración
La búsqueda de amenazas y las pruebas de penetración también comparten algunas similitudes. En esencia, ambas intentan buscar debilidades en una red. Sin embargo, las pruebas de penetración buscan generalmente problemas de configuración o vulnerabilidades conocidas para obtener acceso a una red o a información confidencial. El objetivo de la búsqueda de amenazas no es necesariamente obtener acceso a nada, sino identificar las amenazas ocultas presentes en un entorno, erradicarlas y establecer políticas para prevenirlas en el futuro.
La gestión de riesgos
La idea de la gestión de riesgos es determinar las debilidades dentro de la red o en los sistemas, determinar su gravedad, priorizar y, a continuación, tomar las medidas adecuadas para corregirlas. Esto puede implicar la identificación de fuentes de amenazas y la búsqueda de amenazas puede ayudar a informar sobre la evaluación del riesgo. Sin embargo, dichas evaluaciones generalmente abarcan mucho más terreno que la búsqueda de amenazas, pues se analizan todos los posibles riesgos, tanto conocidos como desconocidos.
La evaluación del riesgo
La evaluación del riesgo, similar también a la búsqueda de amenazas, consiste en averiguar si su red ha sufrido una brecha por la acción de agentes maliciosos desconocidos. Sin embargo, es un ejercicio mucho más amplio que la búsqueda de amenazas. Durante las evaluaciones del riesgo, se instalan varias herramientas en una red, para buscar en todos los niveles cualquier cosa fuera de lo común. Por el contrario, la búsqueda de amenazas comienza con una idea o un escenario muy concreto y mantiene el enfoque en dicho ámbito.
La búsqueda de amenazas frente a
4
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
5
Averiguar por dónde empezar puede resultar un desafío a la hora de establecer los ejercicios de búsqueda de amenazas dentro de su organización. Utilizar las cinco cuestiones fundamentales, a menudo utilizadas en el periodismo, puede ser una buena manera de comenzar a planificar el proceso.
¿Por qué?La inversión inicial en la detección proactiva de amenazas puede fortalecer significativamente la postura de seguridad de una organización. El hecho es que existen atacantes organizados, expertos y bien financiados. Si se convierte en objetivo de uno de estos grupos, pueden trabajar diligentemente en busca de una debilidad para acceder. Lamentablemente, quizás no se pueda descubrir todo con, incluso, las mejores herramientas de seguridad. Aquí es donde entra en juego la búsqueda de amenazas: su mandato principal es encontrar solo este tipo de atacantes.
Una ventaja añadida a la búsqueda de amenazas es que llevar a cabo dichos ejercicios genera familiaridad con herramientas y técnicas que son muy importantes cuando se produce un brote o una brecha. Es probable que su equipo de búsqueda de amenazas se solape con su equipo de respuesta a incidentes y la búsqueda de amenazas agudice sus habilidades y tiempos de respuesta cuando se enfrente a un incidente real. Se puede considerar una práctica para cuando las cosas vayan mal.
Identificar quiénCrear dicho equipo de búsqueda de amenazas puede parecer tan desalentador como reunir un equipo de superhéroes que actúe para derrotar a un enemigo común. Una parte de reunir dicho equipo es juntar a personas con diferentes competencias y antecedentes.
Si la suya es una organización grande, el primer paso puede ser tan sencillo como reservar un espacio de tiempo durante el mes para que un grupo, o un
equipo de expertos en diversas especialidades (o “tiger team”), planee, ejecute e informe sobre una campaña de búsqueda de amenazas. Sin embargo, si la suya es una organización pequeña con solo un par (tal vez solo una) de personas dedicadas a la TI, puede no resultar tan fácil. Teniendo en cuenta esto, es posible que desee traer a un experto externo como ayuda. Esto conlleva ventajas y desventajas. En el lado positivo, es probable que tenga acceso a personas que cumplen los requisitos de competencias en búsqueda de amenazas. Sin embargo, un equipo externo de búsqueda de amenazas no estará tan familiarizado con los pormenores de su red en concreto como lo estará el personal interno.
A pesar de todo, existe una mezcla de competencias básicas necesarias en un equipo para llevar a cabo una campaña de búsqueda de amenazas:
● Familiaridad con la seguridad de terminales y redes
Esto se sobreentiende. Necesitará miembros expertos de su equipo de SOC o TI que cuenten con una gran amplitud y profundidad de conocimientos en torno a los problemas de seguridad y las prácticas recomendadas.
● Comprensión del análisis de datos
A menudo, la búsqueda de amenazas requiere generar patrones a partir de datos sin procesar. Tener una comprensión del análisis estadístico ayudará a identificar patrones en los datos. La visualización de datos es igualmente importante para detectar y compartir las anomalías que se encuentren.
● Una curiosidad innata
La búsqueda de amenazas no es un ejercicio inmutable. A veces, se puede comparar con una búsqueda artística. Requiere cierto nivel de pensamiento creativo, para conectar elementos aparentemente no relacionados o preguntarse: “Me pregunto qué pasaría si…”.
Las cinco cuestiones fundamentales
Es probable que su equipo de búsqueda de amenazas se solape con su equipo de respuesta a incidentes y la búsqueda de amenazas agudice sus habilidades y tiempos de respuesta cuando se enfrente a un incidente real.
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
6
Una ventaja añadida en la búsqueda de amenazas, desde la perspectiva de un profesional de la seguridad, es que es divertida. La búsqueda de amenazas aporta al personal de su departamento de SOC o TI un descanso de la naturaleza reactiva diaria de sus funciones y la oportunidad de actuar a la ofensiva. Estas tareas activas y de cumplimiento de los empleados a menudo pueden conducir a mayores tasas de retención de los empleados de SOC, con objeto de retenerlos en un campo donde las personas muy cualificadas pueden resultar difíciles de encontrar y se mueven a menudo.
Cuándo buscarEn última instancia, las búsquedas más exitosas son las que se planean. Necesita fijar un alcance para la búsqueda, identificar objetivos claros y reservar un espacio de tiempo para realizar la búsqueda. Cuando haya terminado, ha de evaluar los pasos para mejorar su postura en materia de seguridad y establecer campañas de seguridad para abordar los resultados en el futuro.
En otras ocasiones, es posible que también desee realizar un ejercicio de búsqueda de amenazas cuando sospeche que se ha producido un comportamiento de riesgo.
● ¿Hay un usuario en particular descargando muchos más datos de lo habitual un día concreto?
● ¿Un usuario intenta iniciar sesión en un sistema al que no tiene acceso?
● ¿Parece que un administrador ha borrado sus registros de Bash?
Muchos de estos comportamientos podrían indicar que las acciones de un agente malicioso han puesto en riesgo un dispositivo y es un puesto bastante sencillo para comenzar una búsqueda de amenazas.
Por último, hay momentos en los que una búsqueda de amenazas puede surgir inesperadamente. ¿Alguna vez una noticia sobre ciberseguridad que llamara la atención de su CIO ha inducido a enviar un correo electrónico o realizar una llamada
telefónica en la que se preguntase si la empresa es vulnerable? Esta es una pregunta perfectamente válida y contar con un proceso implantado para consultas de campo como esta puede ahorrar una cantidad significativa de tiempo y recursos.
El qué y el dóndeEn última instancia, los datos son la clave para las búsquedas de amenazas. Antes de que pueda hacer cualquier cosa relacionada con la búsqueda de amenazas, tendrá que asegurarse de que tiene el registro adecuado habilitado para llevar a cabo la búsqueda. El hecho es que, si no puede ver lo que ocurre en sus sistemas, no puede responder en consecuencia.
Elegir de qué sistemas extraerlos a menudo dependerá del alcance de la búsqueda: una búsqueda podría ser en los terminales del departamento de finanzas y otra podría centrarse en los servidores web. En algunos casos, es posible que incluso desee instalar herramientas dentro del entorno para supervisar determinados tipos de tráfico. Los registros extraídos de estos sistemas temporales se utilizarán en la búsqueda.
Por supuesto, habilitar el registro puede atestar rápidamente los recursos de almacenamiento y la recopilación de registros puede consumir fácilmente el tiempo de su equipo. Esto puede requerir la reserva de recursos físicos para almacenar registros y la configuración de la automatización básica para enviarlos allí. A corto plazo, es posible que tenga que ser selectivo acerca de la exhaustividad con la que configura los sistemas de registro. El uso de herramientas como el software de información de seguridad y gestión de eventos (SIEM) puede contribuir en gran medida a hacer que el análisis de los registros sea más rápido y sencillo.
En los primeros ejercicios de búsqueda de amenazas, el resultado puede incluir una lista de preguntas que no se hayan podido responder en función de los registros disponibles. Con el tiempo, se verá más claro qué sistemas han de tener habilitado el registro, y a qué nivel, con el fin de obtener los resultados que se desean.
Antes de que pueda hacer cualquier cosa relacionada con la búsqueda de amenazas, tendrá que asegurarse de que tiene el registro adecuado habilitado para llevar a cabo la búsqueda.
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
7
Duro
Difícil
Molesto
Sencillo
Fácil
Trivial
El investigador de seguridad David Blanco dio con un enfoque denominado la pirámide del dolor, que describe cómo generar a los adversarios la máxima dificultad a la hora de atacar su red. Cada una de las seis capas representan diferentes enfoques que puede adoptar, comenzando con lo sencillo y abriéndose camino hasta el más difícil.
Por ejemplo, en la base de la pirámide están los hashes. Los archivos que llevan hashes maliciosos conocidos son fáciles de detectar, pero también fáciles de reemplazar por el atacante. Lo mismo ocurre con las direcciones IP, aunque esto requiere un poco más de trabajo, tanto para encontrarlas como para que el atacante las reemplace, por lo que constituyen una parte más pequeña de la pirámide. Los dominios son un poco más difíciles, los artefactos de red lo son aún más, etc.
El objetivo de su ejercicio de búsqueda de amenazas deberá ser descubrir las tácticas, las técnicas y los procedimientos (TTP) de un atacante. Estos son los recursos más valiosos, porque son difíciles de reemplazar por el atacante. A menudo, es lo más difícil o lento de identificar, principalmente porque requiere comparar puntos de datos de diferentes conjuntos de datos y realizar conexiones donde la relación no es evidente en un principio.
El truco es que, a medida que se sube por la pirámide, se obliga a los adversarios a dedicar más recursos a atacar la red, lo que lo hace más difícil y aumenta las posibilidades de que se les pille en el acto. El objetivo final de la pirámide del dolor es que, siguiendo sus principios, su red se vuelva tan difícil de hackear que los atacantes pasen a otros objetivos más sencillos.
La pirámide del dolor
TTP
Herramientas
Artefactos de red/host
Nombres de dominio
Direcciones IP
Valores de hash
Fuente: David J. Bianca, blog personal
El objetivo de su ejercicio de búsqueda de amenazas deberá ser descubrir los TTP de un atacante (lo más valioso, puesto que son difíciles de reemplazar por el atacante).
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
8
En cuanto al cómo, hay varias maneras de abordar un ejercicio de búsqueda de amenazas. Los recursos y las competencias que tiene disponibles influirán en la forma en que se lleva a cabo una campaña de búsqueda de amenazas.
En la siguiente sección, comenzaremos con métodos sencillos y básicos para iniciar la búsqueda de amenazas y, a continuación, avanzaremos hacia métodos cada vez más complejos. La idea aquí es que, después de cada ejercicio de búsqueda de amenazas, pueda basarse en lo aprendido. Establecer manuales de estrategias, la automatización y cambios en las políticas allí donde sea necesario le aporta una base para pasar a técnicas más avanzadas.
Analizar los registros A veces, las actividades de búsqueda de amenazas más sencillas derivan de investigaciones o informes sobre amenazas recién descubiertas. Es una práctica frecuente en estos días incluir indicadores de compromiso (IoC) en la investigación para que otros los usen. Estos puntos de datos se componen generalmente de direcciones IP, URL, dominios, hashes de archivos u otros IoC que constituyan una amenaza.
Uno de los métodos más sencillos de iniciar un ejercicio de búsqueda de amenazas es comprobar los registros de sus sistemas en comparación con los IoC. Las herramientas de línea de comandos o los scripts sencillos pueden ser suficientes para empezar. El uso de un SIEM es otro método para comparar rápidamente los IoC con los registros. También hay productos de seguridad más avanzados que pueden ayudar a facilitar la búsqueda de amenazas al permitirle copiar y pegar los IoC en un panel para comprobar si se han detectado en su entorno.
Una vez que se sienta cómodo con estas actividades, es el momento de profundizar en los registros y empezar a descubrir nuevos IoC que
puedan existir. Aquí es donde entran en juego las competencias en análisis de datos. La aplicación de modelos estadísticos a los registros, como la agrupación en clústeres o la distribución de frecuencias, puede ayudar a arrojar luz sobre las anomalías. En última instancia, usted espera llegar a la cima de la pirámide del dolor e identificar los TTP de un atacante.
Cómo buscar
La búsqueda de amenazas en acción
Jeff Bollinger gestiona las investigaciones de seguridad para CSIRT en Cisco. A continuación, presentamos un relato de primera mano de un ejercicio de búsqueda de amenazas que su equipo llevó a cabo.
“Buscando por los datos históricos de terminales de Cisco AMP los indicadores de riesgo, detectamos un troyano binario sospechoso que el usuario había borrado.
Recuperamos el binario restaurando el archivo único desde el archivo de copia de seguridad (corporativo) del usuario y pudimos revertirlo y extraer otros indicadores (nombres de host C2) que luego aplicamos a toda nuestra telemetría de red.
Esto generó hosts afectados adicionales que no se activaron en el hash del troyano original”.
8
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
9
Probar una teoríaAlgunos pueden argumentar que comprobar simplemente los registros en busca de IoC conocidos no es realmente una búsqueda de amenazas. El razonamiento dice que simplemente se buscan coincidencias lineales. En estos casos, para calificarlo como búsqueda de amenazas, tiene que buscar más a fondo.
Aquí es donde la creatividad desempeña un papel. Tiene que idear una teoría sobre dónde puede residir una amenaza, los vectores que puede haber utilizado para llegar allí o las técnicas que ha podido explotar. Las siguientes son algunas ideas del tipo de investigaciones que podría llevar a cabo.
● Leer noticias sobre seguridad
Las últimas noticias sobre el panorama de las amenazas pueden estar llenas de material para una búsqueda de amenazas. Por ejemplo, si se dio una vulnerabilidad crítica en un proceso de Windows divulgada recientemente, investigue si se ha producido alguna actividad extraña en torno a dicho proceso. Por supuesto, preste especial atención al material que incumbe a su sector. Por ejemplo, si trabaja en aviación, un ladrón de tarjetas de crédito no constituiría una prioridad alta. Por el contrario, si trabaja en la banca, una amenaza detectada en la que se ataque un ICS no sería pertinente.
● Investigar informes de comportamiento extraño
Investigue los informes de actividad inusual del personal. ¿Los sistemas en suspensión se activan repentinamente durante la noche? Investigue qué los está activando. ¿Una oficina ha informado de que ha encontrado datos internos en una fuente externa? Busque indicios de fuga de datos.
● Filtrar lo normal para hallar lo anómalo
La actividad inusual es un buen punto de partida, pero no siempre es fácil de detectar. A veces,
se tiene que apartar la maleza para encontrarla. Observe una actividad en particular con un objetivo malicioso en mente. Por ejemplo:
∙ Busque conexiones de red largas,que pudieran ser un signo de fuga de datos. Filtre las conexiones esperadas y compruebe si alguna de las restantes es sospechosa.
∙ Observe los picos de actividad de la CPU y los procesos que los crean, lo que podría ser indicio de criptominería o de una actividad de registro de un ladrón de información. Filtre los que son bien conocidos y examine los que no.
∙ ¿Qué tipo de archivos está descargando la herramienta BITSAdmin? Se podría utilizar para tumbar herramientas maliciosas, ya que muchas amenazas utilizan herramientas locales para enmascarar sus acciones. Borre las descargas habituales que espera y céntrese en el resto.
∙ Observe las tareas programadas. Los atacantes pueden agregar sus propias tareas para iniciar una determinada actividad maliciosa. ¿Hay alguna que no haya sido ejecutada por los administradores del sistema? Investigue cualquiera que parezca sospechosa.
Los casos en que el comportamiento parezca fuera de lo común son áreas primordiales en las que profundizar y encontrar el origen del problema. Sin embargo, es importante abordar cualquier elemento encontrado con precaución. Solo porque algo parezca fuera de lo común, no significa necesariamente que sea un agente malicioso. Asegúrese de comparar sus hallazgos con otras fuentes de datos antes de llegar a cualquier conclusión. Al mismo tiempo, si es el veterano experto del equipo, no crea que ya lo ha visto todo. En su lugar, trate de demostrar que no es una amenaza. Si no puede hacerlo de manera improvisada, profundice.
Si es el veterano experto del equipo, no crea que ya lo ha visto todo. En su lugar, trate de demostrar que no es una amenaza. Si no puede hacerlo de manera improvisada, profundice.
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
10
Ir tras la fuenteHa logrado identificar una amenaza dentro de su red, identificar qué le permitió entrar y adoptar medidas para evitar que vuelva a suceder. Sin embargo, la próxima vez que realiza un ejercicio de caza de amenazas, descubre que los atacantes han vuelto por otra vía.
Si su organización es víctima de ataques constantes, podría merecer la pena investigar quién la ataca, la infraestructura que utilizan para ello e intentar que el grupo cese su actividad.
Sin embargo, esta no es una sugerencia para que practique la piratería ofensiva. Por tentador que sea, este método da lugar a una serie de problemas.
Para empezar, si ataca una infraestructura maliciosa, hay muchas posibilidades de que se den cuenta de ello y le devuelvan el ataque con una fuerza redoblada. Sin embargo, su motivación esta vez puede no ser el robo de información, sino más bien la venganza (deshabilitar o destruir sus sistemas).
Otra razón para no contraatacar es que en la mayoría de los países del mundo esto es ilegal. A pesar del hecho de que los sistemas en cuestión están realizando actividades ilegales, la piratería ofensiva sigue siendo piratería.
La buena noticia es que, aun así, hay mucho que se puede hacer. Los IoC de un ataque pueden revelar mucho sobre los atacantes sin siquiera tener que tocar sus redes.
El mejor enfoque para frenar a los agentes maliciosos es recopilar los IoC que pueda descubrir, desde hashes hasta TTP, crear un perfil del atacante y, a continuación, facilitar estos datos a las fuerzas y cuerpos de seguridad correspondientes. Estas autoridades son el mejor método para perseguir y frenar a un atacante por la vía legal.
Por supuesto, para todas las organizaciones, excepto las más grandes y atacadas, no siempre es algo que se pueda hacer fácilmente desde la propia organización. Como resultado, la mayor parte de las organizaciones pueden y deben confiar en los equipos de investigación de seguridad externos que hayan hecho de la investigación de dichos ataques su obligación. Las organizaciones de inteligencia de amenazas, como Talos Intelligence o los servicios de respuesta a incidentes de Cisco existen para ayudar en estos casos.
El mejor enfoque para frenar a los agentes maliciosos: recopile los IoC que pueda descubrir, cree un perfil del atacante y entregue estos datos a las fuerzas y cuerpos de seguridad correspondientes.
Aprovechar la búsqueda de amenazas
Sean Mason, director de Gestión de Amenazas de los Servicios de asesoría en materia de seguridad de Cisco, reflexiona sobre cómo sus equipos han aprovechado la búsqueda de amenazas en Cisco.
“Realmente empecé a entender y valorar la búsqueda de amenazas en 2011, inmediatamente después del ataque a RSA. Me encontré en reunión tras reunión analizando cómo podíamos detectar este tipo de amenaza. Realmente nos hizo pensar de otra manera. También nos dimos cuenta de qué tipo de brechas de visibilidad teníamos. A lo largo de los años, los diferentes equipos en los que he estado han aprovechado la búsqueda de amenazas de muchas maneras diferentes: ya sea siguiendo proactivamente una corazonada, respondiendo a un incidente o siendo diligentes después de leer las últimas noticias sobre seguridad. Puedo decir honestamente que, después de más de ocho años aprovechando la búsqueda de amenazas en varios niveles, no es difícil llegar a la conclusión de que la considero un componente fundamental para todos y cada uno de los programas de seguridad exitosos”.
10
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
11
Es importante identificar y erradicar las amenazas ocultas en su red, pero averiguar cómo accedieron y adoptar medidas para prevenir futuros ataques es quizás el aspecto más importante de la búsqueda de amenazas. Planee mantener una reunión posterior para tratar la búsqueda. En ella, muestre lo que se ha hallado y comente lo que se ha de hacer para solucionarlo. A continuación, implemente cambios en la política de red para fijarlo.
A veces, el objetivo no es tanto encontrar una amenaza, sino descubrir las debilidades de la organización. Una campaña de búsqueda de amenazas exitosa puede descubrir un servidor mal configurado o una infracción de políticas que haya de corregirse. Además, por contradictorio que parezca, a veces las mejores campañas de búsqueda de amenazas no descubren nada en absoluto. La ventaja es que ahora sabe de manera tangible que la vía investigada no es actualmente un riesgo para su organización.
Agregar automatización es otro paso fundamental después de la búsqueda de amenazas. Una vez completada la búsqueda de amenazas, es importante comprobar periódicamente si la actividad que ha descubierto vuelve a aparecer. Convierta lo que se ha encontrado en un proceso que se pueda ejecutar de nuevo. Configure una trampa con alertas para cuando se active. Con el tiempo, esta se incorporará a su manual de estrategias de seguridad.
Conclusión
No hay manera de saber si su red está completamente libre de amenazas. Esto no significa que la búsqueda sea inútil. La ventaja de la búsqueda de amenazas, además de descubrir las amenazas que han logrado superar sus defensas, es que puede desarrollar aún más su postura en materia de seguridad.
Piense en la búsqueda de amenazas como lo haría con la albañilería. Al construir una casa, comienza con ese primer anillo de ladrillos, añade mortero para mantenerlos en su lugar y, a continuación, otra capa de ladrillos. Repite el proceso capa por capa, para construir los muros.
Con la búsqueda de amenazas, esa primera capa de ladrillos podría ser activar suficientes registros y almacenarlos. El mortero es la automatización que mantiene la llegada periódica de dichos registros. La siguiente capa de ladrillos es comparar los registros con los IoC. Automatice dichos procesos para mantener los ladrillos en su lugar. Siga aprendiendo con capas de análisis de datos, pruebas de teorías, etc.
Muy pronto, habrá construido un proceso de búsqueda de amenazas resistente y estable que le dará la tranquilidad de que su organización está tan libre de amenazas como el entorno.
Las consecuencias
A veces las mejores campañas de búsqueda de amenazas no descubren nada en absoluto. La ventaja es que ahora sabe de manera tangible que la vía investigada no es actualmente un riesgo para su organización.
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
12
Las siguientes son algunas herramientas recomendadas que se pueden utilizar para la búsqueda de amenazas. Aunque la lista está lejos de ser exhaustiva, le ayudará al empezar.
Respuesta ante amenazas de Cisco
Respuesta ante amenazas de Cisco automatiza las integraciones en productos seleccionados de seguridad de Cisco, aplica inteligencia de amenazas de Cisco Talos y fuentes de terceros en los eventos de seguridad para investigar automáticamente los indicadores de riesgo(IoC) y confirmar las amenazas rápidamente. También ofrece la capacidad de recopilar y almacenar información clave de la investigación, gestionar y documentar su progreso y sus hallazgos y corregir las amenazas directamente desde el panel.
Threat Grid de Cisco
Threat Grid combina sandboxing avanzado con inteligencia de amenazas en una solución unificada para proteger a las organizaciones del malware. Gracias a una sólida base de conocimientos complementada con información de contexto de malware, comprenderá qué hace o intenta hacer el malware, cuál es el alcance de la amenaza que representa y cómo defenderse frente al mismo.
Cisco Stealthwatch
Cisco Stealthwatch es una solución completa de visibilidad y análisis de la seguridad de la nube y del tráfico de la red. Incluso puede detectar malware en el tráfico cifrado sin descifrarlo. Proporciona una detección de amenazas avanzadas, una respuesta acelerada a las mismas y una segmentación de red simplificada mediante el uso del aprendizaje automático de varias capas y un modelo de entidad. Gracias al análisis del comportamiento avanzado, puede averiguar quién está en su red o en su infraestructura de nube pública y qué está haciendo.
Protección frente a malware avanzado (AMP) para terminales
AMP no solo protege sus terminales, sino que también puede ayudar en el análisis del malware y la búsqueda de amenazas proactiva. Las sólidas funciones de búsqueda de AMP le permiten encontrar información diversa, como archivos, hashes, URL, direcciones IP, claves de registro, usuarios, procesos, aplicaciones y mucho más. También puede mostrar el ciclo de vida de un archivo en su entorno, desde la primera vez que se detectó, qué hizo en el terminal y otro tipo de información.
Umbrella Investigate
Investigate ofrece la vista más completa de las relaciones y la evolución de dominios, direcciones IP, sistemas autónomos (ASN) y hashes de archivos. Accesible a través de la consola web y la API, la abundante inteligencia de amenazas de Investigate añade el contexto de seguridad necesario para descubrir y predecir las amenazas.
Herramientas de información de seguridad y gestión de eventos (SIEM)
Contar con un SIEM es un paso clave para llevar a cabo actividades de búsqueda de amenazas, especialmente al principio. Un SIEM bien configurado puede reducir en gran medida el tiempo dedicado a recopilar archivos de registro y realizar análisis básicos. Algunos ejemplos de SIEM muy conocidos son Splunk, IBM QRadar y Exabeam.
Herramientas de supervisión de terminales
Hay una variedad de herramientas disponibles para recopilar registros detallados de los terminales. El registro de eventos integrado de Windows es un buen punto de partida y las herramientas más complejas, como Sysmon y Process Monitor pueden ampliar sus funciones de registro. (Incluso hay configuraciones prediseñadas para ayudarle a comenzar). En el Mac de Apple, eche un vistazo a Consola para ver los registros.
Analizadores de paquetes
Estas son herramientas que se pueden utilizar para supervisar el tráfico de red. Aplicaciones como Wireshark y tcpdump, y API como pcap son herramientas populares para recopilar información sobre los datos que se transfieren a través de la red.
Herramientas para la búsqueda de amenazas
SERIE DE CIBERSEGURIDAD DE CISCO DE 2019 Búsqueda de amenazas
12
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, números de teléfono y fax se encuentran en la Web de Cisco en www.cisco.com/go/offices.
Publicado en agosto de 2019
© 2019 Cisco y/o sus filiales. Todos los derechos reservados.
Cisco y el logotipo de Cisco son marcas comerciales o registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Si desea consultar una lista de las marcas comerciales de Cisco, visite: www.cisco.com/go/trademarks. Las marcas comerciales de terceros que aquí se mencionan pertenecen a sus respectivos propietarios. El uso de la palabra “partner” no implica la existencia de una asociación entre Cisco y cualquier otra empresa. (1110R)
Sede central en América Cisco Systems, Inc. San José (California)
Sede central en Asia Pacífico Cisco Systems (EE. UU.), Pte. Ltd. Singapur
Sede central en Europa Cisco Systems International BV Ámsterdam, Países Bajos
Durante la última década, Cisco ha publicado cantidad de información sobre inteligencia de amenazas y seguridad para los profesionales de seguridad que están interesados en el estado de la ciberseguridad global. Estos completos informes han ofrecido cuentas detalladas de los panoramas de amenazas y sus implicaciones organizativas, además de prácticas recomendadas para defenderse de los efectos negativos de las brechas de datos.
En nuestro nuevo enfoque a nuestro liderazgo innovador, la seguridad de Cisco está divulgando una serie de publicaciones basadas en datos e investigación con el título Serie de ciberseguridad de Cisco. Hemos ampliado el número de títulos con el fin de incluir diferentes informes para profesionales de seguridad con intereses distintos. Hacemos un llamamiento a la amplitud y el alcance de la experiencia de los innovadores e investigadores de amenazas del sector de la seguridad, ya que la colección de informes de la serie de 2019 incluye el estudio comparativo de privacidad de los datos, el informe sobre amenazas y el estudio comparativo de CISO, además de otros documentos que se publicarán a lo largo del año.
Para obtener más información y acceder a todos los informes y copias archivadas, visite www.cisco.com/go/securityreports.
Información sobre la serie de ciberseguridad de Cisco
THRT_05_0819_r1