| Índice de Contenidos: |
La función del SOC en la postura de seguridad de cualquier organización es clara: la prevención. Detectar ataques en sus primeros compases para contenerlos y reducir el daño que el atacante se haya propuesto causar.
Para conseguir este objetivo, se aplican distintas estrategias y tecnologías que tratan de evolucionar con la misma velocidad que lo hacen las técnicas y métodos utilizados por los ciberdelincuentes. Los Indicadores de Ataque (IoA) es una de ellas.
No obstante, las técnicas más utilizadas para la detección de ataques, a distintos niveles, se basan en la caracterización de patrones en lo que se denomina Indicadores de Compromiso, abreviado como IoC, del inglés Indicators of Compromise.
¿En qué consisten los Indicadores de compromiso o IoC?
Un IoC es el resultado del análisis de un ataque y pueden ser datos de distinta naturaleza y formato: Una dirección IP, un dominio, un hash, un valor en el registro de Windows, la ejecución de un determinado programa, etc. Cualquier rastro que el atacante haya podido dejar en el sistema vulnerado y que pueda ser utilizado para reconocer casos similares. Las “firmas” utilizadas por el software antivirus es el ejemplo más inmediato y conocido de IoC.
La eficacia de estos patrones en la alerta temprana ha quedado demostrada a lo largo del tiempo y, actualmente, la práctica totalidad de las plataformas SIEM los incorpora en sus análisis de eventos de seguridad. Y han evolucionado en su caracterización y uso, hasta conformar la base de una “inteligencia colectiva” de ciberseguridad. Los IoC identificados por distintas organizaciones se comparten a nivel global, haciendo más difícil que un ataque reconocido pueda volver a tener éxito.
OneseQ (by Alhambra) mantiene una participación activa en la identificación y difusión de IoC a través de la Red Nacional de SOC, asociación promovida por el CCN-CERT. Alimenta la base de datos MISP que mantiene esta asociación con los IoC identificados en su SOC e incorporando los IoC reconocidos por otros miembros de esta red, a la inteligencia de su plataforma SIEM y compartiendo estos datos con sus clientes, para que puedan agregarlos a sus dispositivos de seguridad, principalmente firewalls y sistemas de detección de intrusiones, IPS.
Los IoC son efectivos para detener y resolver ataques, evaluar los daños que hayan podido provocar y en la realización del análisis forense. Aunque, desgraciadamente, no es la herramienta definitiva para la detección de ataques. Implementa una barrera de protección estática y es muy posible que los atacantes intenten sus fechorías utilizando técnicas novedosas que no estén pautados en un IoC. Modus operantis que se da en las maniobras de ataques que perpetran los grupos organizados de ciberdelincuentes, para tomar ventaja sobre la detección que implementan sus víctimas.
Entonces, ¿qué estrategia de ciberseguridad se puede implementar para detectar ataques que no siguen patrones reconocibles?
Ciberdefensa predictiva: IA y Machine Learning
En la actualidad, la única respuesta que cabe es analizar comportamientos. Lo que se conoce como UEBA (User and Entity Behavioral Analytics) o Análisis del Comportamiento de Usuarios y Entidades). Una estrategia de detección temprana de ataques que sólo es realmente efectiva si se incorporan a esa detección, capacidades de Inteligencia Artificial (IA) o de Machine Learning (ML). Tecnologías que se desarrollan rápidamente y que se están incorporando en ciberseguridad con la misma velocidad, siendo en SIEM donde más expectativas en protección se están generando.
No obstante, a su aplicación en la monitorización de SIEM aún le falta recorrido y hay aspectos que deben desarrollarse más, tecnológicamente y en su operativa.
IoA o Indicadores de ataque
Esto no significa que haya que descartar la detección predictiva del SIEM por análisis de comportamiento. Ya es posible aplicarla y de hecho se aplica. Haciendo foco en eventos sospechosos relacionados con las actividades que un atacante realiza en su intento por comprometer el sistema, se puede detectar un ataque sin considerar el exploit, malware o sitio malicioso que el atacante pueda estar utilizando.
Estas actividades pueden ser caracterizadas y, en consecuencia, monitorizadas y analizadas para detectar posibles ataques que no se ajusten a patrones estáticos. Aunque el atacante no recurra a herramientas y otros elementos conocidos, deja indicios que denotan una actividad maliciosa compatible con la perpetración de un ataque.
Estas trazas es lo que se conoce como IoA (Indicator of Attack o Indicador de Ataque) y su modelado representa la tendencia de la actual estrategia de defensa en ciberseguridad, incluido el SOC, mientras se integra plenamente la Inteligencia Artificial y el Machine Learning. La migración en la utilización de software EDR contra malware (Endpoint Detection and Response), frente a los programas convencionales de reconocimiento de firmas, es un claro exponente de este cambio de tendencia e ilustra la diferencia entre el uso de IoC (antivirus de firma) e IoA (antivirus EDR).
A modo de ejemplo sencillo de IoA para identificar un ataque de exfiltración de datos, podría ser la monitorización de la ejecución de scripts, cmd o powershell, en un equipo y correlar esos eventos con conexiones inusuales hacía el exterior desde el mismo. Al monitorizar por separado la ejecución de comandos y las conexiones externas, o sólo monitorizar uno de estos tipos de eventos, puede hacer pasar desapercibida la fuga de datos. Si se correlan adecuadamente, los indicios de ataque son claros y la activación de la respuesta más rápida.
La automatización para la detección y respuesta a los ciberataques incrementa significativamente el nivel de protección y su eficacia es directamente proporcional al staff técnico que hay detrás, en cuanto a enfoque e implementación.
Aunque no es perfecto, el empleo de IoA, en su planteamiento, incrementa el nivel de protección. Sin duda. Sin embargo, la implementación de la monitorización de sistemas en base al comportamiento observado, no es fácil ni sencilla. Mientras que es factible mantener una base de datos de IoC, como se ha comentado anteriormente, no lo es orquestar un repositorio de referencia similar para IoA. La razón es evidente. Los indicadores de ataque están ligados a movimientos y acciones sospechosas y esta consideración dependerá de la actividad que se produce en cada organización. Mientras que en algunos sistemas determinadas acciones requieren inspección de los analistas de ciberseguridad, esas mismas acciones en otros sistemas son completamente normales. Recibir conexiones de un país centroafricano de dudosa reputación, resultará preocupante si la empresa no mantiene ningún tipo de actividad en ese país. Para otra compañía con una delegación comercial allí, resultará de todo punto normal. La definición de IoAs es completamente dependiente del contexto y actividad que se da en cada sistema. Una caracterización que el aprendizaje automático de la AI y ML, simplifica mucho.
Con este punto de partida, la monitorización del comportamiento debe apoyarse en alguna base de conocimiento en donde se recojan las características de las actividades que pueden ser consideradas como maliciosas y que sirva como referencia para identificar posibles ataques, dentro de la casuística de cada sistema.
Construirla por medios propios resulta un esfuerzo heroico que muy pocas organizaciones se pueden permitir. Sí se puede recurrir a bases de conocimiento TTP, Tácticas, Técnicas y Procedimientos, ya disponibles. La más reputada, la que mantiene MITRE. Conocida como ATT&CK, una base de datos abierta, accesible públicamente, en donde se recogen una amplia relación de tácticas y técnicas utilizadas por los ciberdelincuentes para perpetrar sus ataques. Ésta se trata de una base de datos muy útil como referencia para concretar metodologías y modelos de amenazas. Para el SOC sirve para definir los eventos que deben correlarse en el SIEM con los que detectar comportamientos sospechosos e indicios de posibles ataques.
Como inconveniente, la información de las bases de conocimiento TTP también se vuelve obsoleta en un corto período de tiempo, como ocurre con los IoC. Y es entonces donde el factor humano, de nuevo, se convierte en pieza clave en la alerta temprana del SIEM.
Analistas de seguridad: pieza determinante
Para el uso de IoA en el SOC, los analistas de seguridad deben establecer alertas definiendo reglas de correlación que cubran las posibles acciones que pueden darse en un ataque. Para ello necesitan un buen conocimiento técnico y experiencia. El SIEM es sólo una herramienta y su eficacia dependerá de quién utilice esa herramienta.
Para la definición de las situaciones que deben generar alertas, los analistas deben, en primer lugar, conocer el contexto y actividad del sistema monitorizado, para identificar adecuadamente los riesgos a los que se encuentra expuesto, posibles vectores de ataque y determinar qué eventos representan realmente una amenaza.
Al identificar los activos del sistema y los canales para llegar a ellos, las alertas deben ser configuradas para detectar las actividades que los atacantes pueden realizar para conseguir sus objetivos, sabiendo cómo piensan y cómo actúan. Los IoA que puedan implementar en el SIEM los analistas de seguridad, serán más o menos efectivos según el conocimiento que tengan del “adversario”. No basta con identificar eventos concretos y considerarlos aisladamente. Los casos de uso se deben definir, sabiendo qué eventos son relevantes como indicios claros de actividad de ataque en el sistema supervisado.
Y cuando estos casos de uso generan alertas, la pericia en el análisis es fundamental para interpretar lo ocurrido, descartando un posible ataque, “falso positivo”, o activando el plan de respuesta, en caso de confirmarse. El nivel de conocimiento y experiencia del analista es la diferencia entre detectar y reaccionar a un ataque a tiempo o pasar tiempo lamentándolo.
En definitiva, los ciberdelincuentes actúan de manera muy dinámica en cuanto a las técnicas empleadas en sus ataques, por lo que no es factible fiar la detección de los mismos a una única táctica defensiva. La fórmula que asegure una mayor eficacia de la alerta temprana del SOC, pasa necesariamente por combinar distintos elementos, no aplicarlos de manera independiente. En el SIEM, conviene utilizar IoC como un medio eficaz frente a ataques indiscriminados, conocidos y “burdos” en cuanto a su ejecución, para complementarlos con reglas de análisis de eventos que recojan condiciones de IoA, para detectar aquellos otros ataques mejor planeados, complejos en su realización y que, normalmente, son dirigidos, ataques estos que representan el mayor riesgo. Y cuidar a las personas que hacen funcionar el SIEM. Políticas de incentivos que promuevan la retención del conocimiento y experiencia del SOC, junto a la definición de planes de formación continuada aseguran que las piezas claves en ciberseguridad están bien engranadas y engrasadas para hacer frente a las cambiantes amenazas.
