En la actualidad las amenazas a las cuales están expuestas nuestras organizaciones son más cambiantes que en el pasado, y esto coloca a las áreas defensivas de la organización en una postura de desventaja. Por ejemplo, antes diseñábamos sistemas o redes de cómputo desde la perspectiva de ser impenetrables; hoy sin embargo sabemos que esto es algo que no se puede garantizar, entonces, ¿qué podemos hacer?
A través del tiempo los modelos de detección, prevención y respuesta ante una brecha de seguridad han sufrido cambios que tratan de adaptarse a los nuevos modelos y vectores de ataque, sin embargo pareciera que estos cambios no son tan rápidos como quisiéramos, y esto no necesariamente se relaciona con la tecnología; más bien es un cambio que debe suceder a nivel gente, procesos y componentes habilitadores. Cuando pensamos en un ambiente optimizado que se adapta o es resiliente ante los ataques que sufre, se puede visualizar como aquel que se conoce a sí mismo, conoce sus fortalezas y sus debilidades pero, sobre todo, entiende sus puntos de inflexión y quiebre, lo que representa un cierto nivel madurez y situational awarness[1] pero, ¿cómo podemos lograr esto?
Uno de los acercamientos que ha tenido la industria para lograrlo es intentar dotar a las diferentes capas defensivas de la organización con inteligencia, comúnmente llamado threat intelligence, la cual trata de dar un contexto a lo que sucede en la organización. Por ejemplo, si estamos en una compañía del sector energético, el tipo de amenazas que enfrentamos son diferentes a las del sector minorista. Estas amenazas pueden ser desde actores hasta las herramientas y tácticas que usan.
David Bianco ordena esto y establece lo que él llama “The Pyramid of Pain[2]” en la cual describe las diferentes capas de indicadores que pueden ayudar en la detección de una intrusión. Esta misma clasificación podría ayudarnos a visualizar niveles de inteligencia de amenazas y dónde deberían estar implementadas (ver Fig. 1).
A medida que se escala en la pirámide, se requiere mayor investigación y especialización para responder o dar información (“inteligencia”) de valor. Por ejemplo, hoy la mayoría de soluciones de seguridad que implementan mecanismos de detección de amenazas cuentan con capacidades de análisis de hashes, direcciones IP y nombres de dominios pues es relativamente simple mantener una base de datos actualizada, además de que existe acuerdo de colaboración entre diversos fabricantes, con lo que se garantiza que la inteligencia a este nivel se disemine de manera muy rápida y dinámica.
Una manera de etiquetar a este tipo de inteligencia es llamarla “operacional” y tiene como uno de sus objetivos detectar de manera muy rápida y oportuna alguna actividad sospechosa en la que se ve involucrado un archivo o una comunicación con un dominio o dirección malicioso. Esto debería ser un must en toda arquitectura de seguridad, ya que permite de manera simple detectar gran cantidad de cosas. Es importante comentar que este tipo de detección debería ser automatizada.
Cuando llegamos a niveles más altos de la pirámide, comenzamos a tener información con un mayor contexto, pero que requiere mayor tiempo para generarse e incluso usarse. Cuando un actor está usando un artefacto nuevo, con infraestructura nueva, no lo vamos a tener registrado en nuestra base de datos de reputación; y es ahí donde un análisis de los artefactos se hace necesario. Hoy en día existen diversos mecanismos para este análisis, el cual va desde el estático, que trata de identificar información que dé indicios sobre si es maliciosa o no, por ejemplo, si es una aplicación que esté firmada por una entidad confiable o si es un archivo ejecutable que no invoque funciones que pudieran causar condiciones maliciosas. Otro mecanismo es la ejecución del artefacto para detectar su comportamiento y la infraestructura en Internet que usa (comúnmente esto se hace mediante el uso de un SandBox). Si después de realizar el análisis se detecta que es malicioso, automáticamente se realimentan las capas inferiores con un hash, una IP y diversos URL.
Es importante conocer el ecosistema en que se mueven para entender las capacidades de los adversarios, lo que nos lleva a la punta de la pirámide, que se refiere a entender las tácticas, técnicas y procedimientos (TTP) de un atacante. Solo en ese momento estamos a la caza del actor detrás de las diversas actividades observadas y no solo de los artefactos o herramientas que usa.
Cuando sabemos quién podría estar detrás de un ataque, y no hablamos de un nombre, sino de un actor, podemos poner en contexto una cadena de sucesos observables. Por ejemplo, cuando se identifica que hay un grupo intentando comprometer nuestra infraestructura y entendemos sus TTP, podemos reconocer que el inicio de un ataque es mediante x correo electrónico, que al comprometer un equipo roba contraseñas y usa otro artefacto para hacerse pasar como administrador usando powershell, y que la exfiltración viene después de un ataque de DDoS, pero sobre todo nos percatamos de que ha atacado a otras organizaciones del mismo sector que el nuestro. Toda esta inteligencia la podemos catalogar como táctica y debería estar dirigida a nuestros equipos defensivos para realizar un análisis o hunting de las amenazas.
En la actualidad muchos estamos usando el Diamond Model[3] para poner toda esta información en un solo lugar para documentar a aquellos adversarios que pudieran intentar comprometer la seguridad de nuestras organizaciones. Este modelo permite tener en una vista la infraestructura, las capacidades y las víctimas potenciales de un actor; lo que a su vez permite a los grupos defensivos contar con la información suficiente para prevenir, detectar o actuar ante un actor en particular.
Diamond Model
.
Todavía existe un escalón más alto en la pirámide llamado inteligencia estratégica, que está dirigida a personas dentro de la organización que deben tomar decisiones, comúnmente la alta dirección, e incluso los consejeros. Esta inteligencia debe apoyar a los directivos para gestionar el riesgo e impactos de un ciberataque.
Para finalizar, me gustaría comentar que uno de los retos más grandes que enfrentamos los profesionales de seguridad es el colaborar y compartir esta inteligencia, por ello no hay que perder de vista iniciativas como las del mitre para usar protocolos como TAXII, STIX, y CybOX, que proporcionan gran apoyo en cuanto a que todos hablemos el mismo idioma y, sobre todo, a compartir el mismo contexto.
.
[1] Situational Awarness es uno de los conceptos que es complejo traducir al español, sin embargo, trata de darnos el contexto o conciencia del estado actual de seguridad, una lectura recomendada para este tema es “Situational Awarness a New Way to Attack Cybersecurity Issues Rather Than Using a System Defense Approach” http://csrc.nist.gov/cyberframework/rfi_comments/tri-county_electric_cooperative_part2_032613.pdf
[2] Bianco David, The Pyramid of Pain, 2014-01-17, http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
[3] Caltagirone Sergio, Pendergast Andrew, Betz Christopher, The Diamond Model of Intrusion Analysis, CENTER FOR CYBER INTELLIGENCE ANALYSIS AND THREAT RESEARCH HANOVER MD,5 Jul 2013
Interesante