La mayoría de los profesionales de la ciberseguridad coinciden a la hora de describir el panorama de amenazas actual: dinámico y en constante evolución. De toda la información que circula diariamente al respecto, gran parte es muy precisa, pero en ocasiones resulta especulativa. En muchos casos, los ciberataques se atribuyen a un grupo criminal por algunos indicadores de compromiso (IOC, por sus siglas en inglés), el tipo de herramientas utilizadas por los atacantes o su modus operandi (denominado aquí como MO). Sin embargo, la atribución es a menudo difícil de determinar.
Vivimos en un mundo que está siempre conectado, que no duerme; siempre hay más y más que hacer, y necesitamos ser eficientes al máximo para cumplir con las demandas actuales. Esta es la razón por la que delegamos muchas veces en la automatización de tareas y procesos al permitirnos ahorrar en tiempo y costes. Sin embargo, algunas tareas requieren una atención al detalle que solo puede hacerse manualmente, y automatizarlas no resulta nada sencillo.
Aunque cada atacante es único y cada ataque también puede ser único, tendemos a caer en la generalización de las evidencias. Hay, por supuesto, algunos fundamentos que pueden aplicarse para ayudarnos a estudiar a nuestros adversarios y en este artículo compartimos ideas sobre los conceptos básicos que desempeñan un papel clave en la lucha contra las amenazas actuales en el entorno digital.
Punto de partida: indicadores de compromiso
Comencemos con la parte más simple de la investigación de amenazas: los indicadores de compromiso o IOC. Los mismos se pueden dividir en tres categorías principales:
- Infraestructura (IOC de red)
- Herramientas (hashes, mutexes, reglas yara, etc.)
- Humanos (uso específico de herramientas, comandos, etc.)
Nuestros indicadores favoritos son las herramientas y los IOC basados en comportamientos humanos. Por lo general, para un adversario resulta bastante económico echar abajo una infraestructura y cambiar a una nueva después de ser descubierto, pero es mucho más laborioso crear un nuevo conjunto de herramientas. Aquí es donde el asunto se pone interesante: estas herramientas son las que pueden mostrar cualidades únicas y proporcionar detalles que incluso podrían servir para identificar al actor. Además, todos tenemos nuestra propia forma de hacer las cosas; nuestros propios hábitos y patrones, que forman parte de nuestra identidad, como una huella. Y para un atacante, es difícil enmascarar este comportamiento humano inconsciente.
¿En quién podemos confiar?
Antes de asumir que estos IOC son auténticos, debemos recordar con quién estamos tratando. Es común entre los profesionales de seguridad confiar ciegamente en la información compartida por la comunidad de caza de amenazas y los proveedores de inteligencia sin verificar que los IOC sean reales. La doble verificación implica probar las muestras para confirmar si son parte del malware o de las familias de herramientas a las que se cree que pertenecen, verificar que los dominios estuvieron activos durante el período de tiempo correspondiente, verificar que los metadatos recopilados de los IOC coincidan o verificar si la herramienta IOC se corresponde con el comportamiento de la herramienta en el escenario que se está investigando.
No suena fácil, ¿verdad? Esto se debe a que este nivel de verificación de la IOC no lo es. En algunos casos, ni siquiera es posible volver a verificar toda la información. Somos afortunados por contar con el fantástico trabajo de la comunidad de Threat Hunting.
Falsas banderas, el riesgo esperado
Como bien hemos reconocido, no se debe creer en todos los IOC. Muchas veces pueden darse casos de falsa bandera: los ciberdelincuentes conocen las implicaciones que puede tener ser expuestos, por lo que no se arriesgan a que sus identidades sean descubiertas fácilmente. A menudo utilizan información conocida para intentar confundir a los investigadores y vincular su actividad con otros actores, con intención de protegerse.
Por lo tanto, si los IOC se pueden manipular, y si algunos de ellos son falsas banderas, ¿son todos inútiles? No, de ningún modo. Se puede y se debe aplicar la misma lógica de resolución de problemas que hemos estado utilizando durante años. A menudo, los atacantes se apresuran a tener acceso a los sistemas cuanto antes para cumplir con determinados plazos, y al igual que el resto de nosotros, cometen errores. Es posible que no tengan recursos suficientes para tumbar toda su infraestructura o para crear un nuevo conjunto de herramientas. A su vez, puede que sencillamente no le presten suficiente atención. Hemos visto a actores veteranos empleando las mismas herramientas durante años, por lo que el curso de acción obvio debería ser que nosotros también utilicemos los IOC. ¿Por qué no emplear algo que es sencillo de verificar y que proporciona una clara indicación de que se está produciendo un ataque?
Modelado de amenazas
Consideremos el modelado de amenazas. Consiste en crear una abstracción del ataque, dividir el ataque en pasos lógicos y analizar las actividades realizadas por el atacante en tácticas, técnicas y procedimientos (TTP) de alto nivel en un intento por definir su modus operandi.
Este proceso nos da una visión de alto nivel del ataque y, a menudo, proporciona una perspectiva diferente del mismo. Desde aquí, trabajamos para determinar cómo se comportan los atacantes. Es cierto que pueden perderse algunos detalles, por lo que el modelado de amenazas no debería considerarse un reemplazo de los IOC, sino ideas que lo complementan y mejoran.
MITRE y mapeo de amenazas
Se ha realizado una gran cantidad de investigaciones valiosas en este campo. Personalmente, el ATT&CK de MITRE nos gusta mucho y creemos que merece un gran reconocimiento por la labor realizada. Esta base de conocimiento permite ajustar técnicas de bajo nivel en TTP de más alto nivel; un tipo específico de mapeo que es particularmente difícil, porque algunas técnicas pueden encajar en más de un paso, y algunas pueden ser difíciles de encajar en alguno.
Este mapeo de amenazas puede ayudar a identificar el comportamiento típico de un actor y ver la actividad de un atacante mientras compromete una red o unos dispositivos. Como resultado, podemos intuir si el ataque aún se encuentra en sus primeras etapas y, posiblemente, lo que el atacante quiere lograr.
Mapear los modelos de amenaza es complicado. Los modelos de amenazas de atacantes pueden ser bastante genéricos, lo que puede ser algo bueno, pero también pueden arrojar un gran número de falsos positivos. Sin embargo, si el modelo de amenaza es complejo y completo e incluye información de varios ataques, es probable que un nuevo ataque no exponga todas las técnicas incluidas en él. En la mayoría de los casos, es poco probable que se pueda identificar a un actor en las primeras etapas de un ataque, pero esta información puede indicar los próximos pasos de un atacante o ayudar a determinar a qué tipo de actor nos enfrentamos.
Recopilando información: posibilidades y desafíos
Para terminar, centrémonos en cómo recopilamos esta información. No estoy hablando de compartir información dentro de la comunidad de caza de amenazas, sino sobre cómo obtenemos esta información en primer lugar.
¿Cómo se extraen los IOC y los TTP? ¿Tenemos suficiente visibilidad del actor para afirmar que descubrimos su modus operandi? ¿Es ese modus operandi que caracteriza al actor, o es el modus operandi utilizado solamente en el ataque analizado? ¿Estamos seguros de que cubrimos todas sus técnicas en el MO?
Esta es la parte realmente complicada. El análisis de incidentes desempeña un papel clave a la hora de proveer de información sobre el modus operandi del atacante, sus herramientas, etc., pero no garantiza una visibilidad completa del ataque. Una posible opción es intentar investigar y monitorizar la actividad delincuentes, algo que conlleva sus propios desafíos y que a veces está limitado por la ética del investigador o la posibilidad de detectar cualquier servidor malicioso y no tener manera de obtener la información almacenada en él.
Una vez que tengamos alguna evidencia con la que trabajar, la gran, compleja y oscura capa entre nosotros y los ciberatacantes, también conocida como Internet, dificulta el seguimiento de la actividad de los mismos.
Preparado para ser comprometido
Otra opción es preparar un sistema completo listo para ser comprometido. Esto es algo que hacemos utilizando CounterCraft Cyber Deception Platform. Desarrollamos un entorno con puntos débiles realistas en cuanto a seguridad para atraer a los ciberatacantes y engañarlos, haciéndoles creer que se han encontrado con una red lo suficientemente interesante como para entrar en ella. Tú controlas el entorno; tú lo supervisas y puedes expandirlo sobre la marcha si lo deseas. Una plataforma de deception también te brinda la opción de centrarte en actores específicos, aprovechar su metodología de ataque y ejecutar un documento malicioso o malware perteneciente a una campaña en curso dentro de tu sistema.
No se trata por tanto de desplegar una máquina vulnerable y esperar que algo suceda. Se trata de tener un sistema completo y realista habilitado que atraiga a un atacante para que puedas reunir inteligencia sobre él y el ataque mientras el sistema está siendo comprometido.
Nadie dijo que fuera fácil. ¡No lo es! Pero estamos dispuesto a jugar este juego. - Mikel Gastesi, Senior Threat Analyst en CounterCraft
Nos llevaría mucho más tiempo del que tenemos hoy en día para explorar todo el espectro de la caza de amenazas, y mañana esa información se habrá quedado obsoleta. Una cosa de la que podemos estar seguros es que no hay una solución única para ganar esta guerra. No existe una plataforma de detección o tecnología perfecta para abordar la multitud de desafíos que presentan las ciberamenazas. Sin embargo, las herramientas y el conocimiento que tenemos son lo bastante maduros como para permitirnos identificar conjuntos de datos únicos y patrones sospechosos que nos permitan fortalecer con éxito nuestras defensas y proteger nuestros sistemas.