La respuesta a incidentes en la época de amenazas avanzadas (segunda parte)

En las últimas semanas los ataques cibernéticos que han tenido grandes impactos se han incrementado y han causado mucho ruido, no solo en la industria sino en personas que no se relacionan directamente con temas de ciberseguridad; el sitio de Internet www.informationisbeautiful.net cuenta con una sección llamada “Word’s Biggest Data Breaches”[1] donde se pueden observar las brechas de seguridad relacionadas con la exposición de datos y cada una de las brechas documentadas nos permite plantearnos preguntas tales como:

• ¿La organización estaba preparada para enfrentar una brecha de este tipo?
• ¿La organización cumplió su due-diligence y due-care?
• ¿Reaccionaron a tiempo ante un evento de estas características?

Retomando la idea de la primera parte de este artículo en la que se mencionó que “si las organizaciones no logran que la respuesta a incidentes sea parte de su DNA y un proceso core del negocio”, es casi un hecho que fallarán durante un incidente de estas características.

Para continuar con las recomendaciones respecto al proceso de respuesta a incidentes, uno de los puntos más significativos es aquel que permite que las organizaciones obtengan capacidad de análisis y detección; desde mi perspectiva existen muchos tabúes al respecto, uno de ellos es “Si cuento con un SIEM, ya se cubre completamente el ciclo de monitoreo, análisis y detección de una brecha de seguridad”. Esto es un tabú pues mensajes de este tipo crean falsos sentidos de seguridad, y provocan la idea de que el tener tecnología es suficiente. A continuación describo algunos puntos importantes que toda organización debe considerar y ser capaz de tener.

• Continuous diagnostic monitoring and mitigation program(CDM): durante muchos años uno de los puntos más complejos de las organizaciones consistía en implementar y mantener un programa de administración de vulnerabilidades, sin embargo es complejo hablar de casos de éxito en este tema. Como una iniciativa en los EE.UU. el Homeland Security[2] desarrolló un programa que permite a los organismos y agencias gubernamentales americanas tener ciclos muy cortos que cubren desde la detección hasta la remediación de huecos de seguridad. Si entendemos que iniciativas de este tipo no ayudan a una organización a detectar intrusiones, sino a identificar posibles huecos/vulnerabilidades conocidas, que sumadas brindan vectores de ataque, entonces un programa similar en cada organización podrá fortalecer sus controles preventivos.

• Continuous security monitoring (ISCM): en el pasado, cuando una organización implementaba un programa de monitoreo de seguridad, casi siempre se basaba en el alertamiento de los controles tecnológicos; esto redundó en que, si las soluciones no se encontraban bien afinadas, no brindaban la calidad de seguridad esperada. Con el surgimiento de los sistemas de correlación, más conocidos como SIEM, se llegó a pensar erróneamente que los problemas estarían resueltos, sin embargo la implementación correcta de estas tecnologías era directamente proporcional a la madurez de generación de alertas que podía generar la organización. Si no se contaba con un footprinting de los procesos no se conseguía la información completa que permitiera la correlación de eventos de manera efectiva. Poco a poco los SIEM se convirtieron en gestores de bitácoras (log), a los cuales se les aplican reglas genéricas de ataque bien conocidas.

Con el propósito de contrarrestar estos problemas existen esfuerzos importantes como el del NIST que establece la manera de implementar un programa de ISCM[3], en el que se vuelven pilares del éxito del programa la identificación temprana de la tolerancia al riesgo a la organización, la selección correcta de métricas de medición, el cumplimiento a regulaciones, pero sobre todo el entendimiento correcto de la organización, sus procesos de cambio y los ambientes de operaciones.

Con la implementación de un programa CDM y un programa ISCM podría pensarse que una organización tendrá las capacidades de análisis, detección y prevención de amenazas conocidas, sin embargo, en un mundo tan cambiante como el actual, esto no es suficiente; es por tal razón que cada organización debe contar con una capa adicional.

• Hunting: esta capacidad se relaciona con romper el paradigma de la prevención y tiene como fundamento pensar que hoy la organización ya fue vulnerada y se tiene que hacer todo lo posible para detectar una intrusión. Para lograr lo anterior se tienen que enfrentar varios retos listados a continuación:

• Entendimiento de la organización: si se ha implementado un programa robusto de ISCM, este retro se sobrepasará de manera muy simple, sin embargo en organizaciones con menos niveles de madurez siempre será un reto el entender completamente el flujo de datos durante la operación regular. Con esto es fácil crear puntos de control que al ser sobrepasados permiten iniciar una búsqueda de anomalías.
• Tiempo de retención: no porque una alerta de seguridad no se haya activado no representa que no existe una intrusión, pero el saber desde cuando una intrusión ha estado presente en una organización es un tema más de capacidades de retención de información que de técnicas de detección. No es lo mismo almacenar dos años de bitácoras de aplicaciones, que tres meses de captura de tráfico de una salida a Internet, así que la creación de arquitecturas dinámicas y robustas de seguridad deben contemplar el tiempo de retención de fuentes de información relevantes.

Es muy complejo determinar un estándar de tiempo de retención, sin embargo cada organización debe definirlo de acuerdo a su tolerancia al riesgo. Ahora si la organización sigue modelos como el de Zero Trust[4] debe tener más cuidado por los puntos de visibilidad que se deben contemplar.

• Integración de threat intelligence: hoy podemos afirmar que una organización no solo debe estar preocupada por lo que sucede dentro de ella, sino que debe tener presente el acontecer del sector al que pertenece, los actores o atacantes de su vertical, el tipo de tácticas, técnicas y procedimiento que usan, contexto geopolítico. Es aquí donde contar con feed de threat intelligence puede ayudarles o complicarles el día a día. Este tema debe abordarse con mucho cuidado ya que existen diversos niveles de acceso a información y cada uno de ellos habilita a una organización con diversas capacidades. Una muy buena referencia de este tema es “The Pyramid of Pain”[5] donde David Bianco nos muestra estas diversas capas y cómo pueden ayudar.
• Blind Hunting: cuando no se cuenta con indicios de qué es lo que se busca, es cuando nos encontramos en la situación de realizar un blind hunting y la capa de threat de intelligene apoya rotundamente. Se puede iniciar haciendo búsquedas de IOC (Indicator of compromise) o Yara Rules de las amenazas más recientes detectadas en la industria a la que pertenece la organización. Después se puede implementar la plataforma de machine learning que permite la identificación de anomalías y patrones fuera de rango.

Es importante mencionar que no todas las organizaciones y grupos de respuesta a incidentes poseen la madurez para llevar a cabo este tipo de actividades, y es aquí donde aliados pueden apoyar a contar con las capacidades necesarias.

Investigación, análisis y detección deben ser procesos bien establecidos y medibles en las organizaciones en cuanto a seguridad de la información se refiere, sobre todo cuando se asocian a un proceso de respuesta a incidentes.

En la parte 3 de este artículo se mencionarán aquellos puntos a mejorar en las fases de respuesta y lecciones aprendidas, pero sobre todo hablaremos del proceso de preparación.

[email protected]

.

[1] http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

[2] https://www.us-cert.gov/sites/default/files/cdm_files/CDM_ProgramOverview.pdf

[3] http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf

[4] http://csrc.nist.gov/cyberframework/rfi_comments/040813_forrester_research.pdf

[5] http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html