Equipo de Cytomic, unit of Panda Security

La respuesta rápida y ágil ante incidentes es un aspecto básico para una buena estrategia de ciberseguridad. Poco a poco, cada vez más compañías son conscientes de ello, y eso se demuestra en la evolución favorable que está teniendo el tiempo de remediación. Esta afirmación la corrobora el último estudio publicado por SANS sobre incident response, en el que se muestra que, por segundo año consecutivo, se ha producido una mejora en la forma en la que los equipos responden ante incidentes. El 67% de los encuestados indica que han pasado de la detección a la contención en menos de 24 horas, un aumento del 6% respecto al año anterior. Además, el 89% de los esfuerzos de remediación suceden dentro del primer mes, un periodo que, dependiendo de la naturaleza del incidente, puede considerarse como razonable. No obstante, y a raíz de estas cifras, aún hay margen de mejora. Con el fin de asegurar y mantener una infraestructura TI (Threat Intelligence), la estrategia de ciberdefensa tiene que ser capaz de detectar lo antes posible toda la actividad anómala, identificarla y reaccionar rápidamente ante el incidente. Además, también es fundamental llevar a cabo un análisis avanzado de todos los eventos de seguridad para reunir los patrones e información potencialmente maliciosa en lo que se denomina Indicador de Compromiso (IOC), que ayuda dando contexto a la descripción del incidente para que las compañías desgranen la naturaleza del daño que han sufrido y reaccionen ante él. Búsqueda de IOCs, una necesidad Teniendo en cuenta la velocidad a la que avanza el cibercrimen, la rapidez con que se detecte y mitigue un incidente es crucial para la supervivencia de cualquier negocio. De cara a agilizar la identificación de dispositivos y la respuesta ante amenazas, contar con un proveedor de servicios que tenga soporte de búsqueda retrospectiva y en tiempo real de IOCs, así como reglas avanzadas para hunting (Yara) en el endpoint, no es una opción a escoger, sino una necesidad. Pero, ¿a qué se debe esa importancia? Ante un incidente en una organización, la posibilidad de buscar indicadores de compromiso en tiempo real en todo el set de endpoints de la compañía permite agilizar la identificación de los dispositivos que están siendo atacados, y poder tomar las medidas de remediación pertinentes para contener la brecha lo más rápido posible y reducir el tiempo de exposición. En definitiva, con la búsqueda de IOCs, el equipo de TI y el CISO tienen una mayor visibilidad del entorno y de lo que ocurre, pudiendo adelantarse al problema y ponerle freno antes de que las consecuencias vayan a mayores. Refuerzo de la estrategia con un plan de Incident Response El personal de ciberseguridad no solo debe utilizar esos indicadores de compromiso a su favor, sino también reforzar su estrategia con un plan de Incident Response y soluciones punteras que les permitan mantener un enfoque proactivo y atender a las amenazas de manera efectiva. Para cumplir – y superar – los estándares de efectividad a la hora de responder ante los incidentes de ciberseguridad, hay cinco pasos que se deben tener en cuenta: preparar por adelantado un plan sólido de respuesta que ayude a evitar las brechas; una vez detectada la amenaza, determinar la causa del incidente para intentar contenerlo; evaluar todos los esfuerzos llevados a cabo y necesarios para dar la mejor respuesta (triaje y análisis); contener el daño, erradicarlo y recuperarse ante él; y aplicar los cambios adecuados a la estrategia de ciberseguridad para evitar que vuelva a ocurrir. Visibilidad e inteligencia al servicio de la respuesta a incidentes En este contexto en el que se han visto claramente las ventajas de la búsqueda de IOCs y de tener un plan de respuesta y remediación en firme y actualizado para mitigar el daño, es muy importante contar con la tecnología más puntera disponible. Por ejemplo, hay soluciones en el mercado que son capaces de acelerar la respuesta a incidentes y la búsqueda de amenazas malwareless en base a analítica de comportamiento a escala desde la nube. En este sentido, tecnologías como las librerías de Threat Hunting o los Jupyter Notebooks son recursos que han de estar presentes para dar visibilidad e inteligencia a la búsqueda efectiva de amenazas, a la investigación acelerada y a la actuación sobre el endpoint de forma inmediata. Las investigaciones preconstruidas, los Jupyter Notebooks, favorecen, además, una corta curva de aprendizaje de los analistas y hunters al ser auto explicativas, extensibles y repetibles. Una detección temprana es, sin duda, el primer paso para contener y erradicar un atacante de la red, pero esto no sirve de nada sin una actuación inmediata en los endpoints como mecanismo de respuesta, y ahí es donde entran en juego herramientas avanzadas que son capaces de amplificar las capacidades del SOC para distinguir entre la actividad esperada y acciones anómalas que pueden indicar la presencia de una amenaza.

La matriz MITRE ATT&CK se ha convertido en el estándar de clasificación de los posibles comportamientos de los adversarios. Su popularidad no ha hecho más que crecer en los dos últimos años. Las ventajas de este marco para los fabricantes son evidentes: ahora pueden, mapear, adaptar y mejorar sus capacidades de detección. Los beneficios para otros actores en ciberseguridad también son claros, como los Red Teams, que ahora pueden emular mejor la actividad de los adversarios; o para gestores de la ciberseguridad, que pueden evaluar mejor y de forma más sistemática sus defensas e identificar lagunas. ATT&CK es una base de datos de gran tamaño que sirve para identificar tácticas comunes, técnicas y procedimientos (TTPs por sus siglas en inglés) que las amenazas persistentes avanzadas utilizan contra plataformas informáticas. Ahora MITRE incorpora importantes cambios en su Matriz ATT&CK. El pasado 31 de marzo, como evolución del modelo y parte de su roadmap para este año, MITRE publicaba la versión beta de la nueva matriz. Nuevas técnicas, algunas otras descontinuadas, cambios en los nombres y descripciones y quizás el cambio más novedoso: la introducción de sub-técnicas, que añaden un nivel más a la estructura de la matriz. De esta manera, pasamos a contar con tácticas, técnicas, sub-técnicas y procedimientos. En total más de 340 técnicas y subtécnicas mapeadas en las 12 tácticas que conforman las columnas de la matriz. Un esfuerzo titánico por parte de MITRE, que con esta actualización permite contar con la catalogación más completa y sistemática del comportamiento de los ciberatacantes hasta la fecha. Figura 1. Ejemplo de técnicas agrupando varias sub-técnicas en la nueva versión de la matriz MITRE ATT&CK, en beta Utilización de MITRE ATT&CK en la evaluación de productos de seguridad A pesar de la gran mejora que esta iniciativa ha supuesto, existe cierto grado de confusión respecto a la interpretación de la aplicación del modelo, sobre todo a la hora de evaluar soluciones de seguridad. “Las evaluaciones en base a ATT&CK deben definir el tipo de cobertura a medir, según los objetivos de cada evaluación. Más cobertura “horizontal” no significa mejor protección.” En primer lugar, y tras la publicación de los resultados de la primera evaluación de producto de tipo EDR realizada por MITRE en 2018 (la llamada Round 1), algunos participantes -no MITRE-, trataron de equiparar el grado de cobertura de detección de las técnicas con una mayor calidad o efectividad de protección. La propia MITRE señala que ATT&CK documenta el comportamiento conocido de los adversarios y no intenta ser un checklist de las cosas que deben chequeadas. No todos esos comportamientos pueden o deben ser utilizados como base para enviar alertas o datos a un analista. Sin embargo, resulta tentador para un fabricante mostrar gráficas representando un mayor grado de cobertura de las técnicas de la matriz, independientemente de la táctica a la que pertenezcan. Por tanto, el concepto de cobertura puede ser engañoso. Las técnicas -y ahora, también las sub-técnicas- pueden implementarse de muchas formas cambiantes -procedimientos- por parte de los atacantes, y es muy difícil conocerlas todas a priori. El resultado puede ser distinto si se evalúa uno u otro procedimiento, para una misma técnica y producto. En un estudio publicado por OPTIV en 2019, ya pudimos comprobar el diferente comportamiento de varios productos de seguridad, testeando varios procedimientos para una misma técnica vs testeando uno solo -referencia-. Por lo tanto, mayor cobertura horizontal no significa necesariamente “mejor” producto. De hecho, no todas las tácticas pueden tener el mismo peso o importancia para una organización evaluando un producto determinado. Por ejemplo, si se está evaluando, la capacidad real de protección (incluyendo la prevención), entonces convendrá prestar especial atención a una cobertura más profunda, de más procedimientos, para las tácticas “más a la izquierda” en la matriz; de forma que se bloqueen los intentos de los atacantes para conseguir un acceso inicial a los sistemas objetivo, la ejecución de código malicioso o los intentos de ganar persistencia en dichos sistemas. Estas consideraciones deben establecerse en función de los objetivos de cada organización a la hora de plantearse el uso de ATT&CK. Los casos de uso pueden ser distintos y, por tanto, el peso relativo y el tipo de cobertura para tácticas y técnicas, también. Esto es algo que el propio marco no contempla. Para completar este punto, recordar también que algunas evaluaciones requieren que los productos tengan deshabilitadas las funcionalidades de prevención y bloqueo, como ocurrió en el Round 1 que citábamos antes realizado por MITRE. De otra forma, no se habrían podido evaluar las capacidades de detección de los productos. Evolución del modelo En estos momentos, se está a la espera de que MITRE publique los resultados de una segunda evaluación de productos (la llamada Round 2). El número de técnicas y la complejidad inherente al testeo de productos de seguridad hace que este trabajo requiera cada vez de más esfuerzo. Al mismo tiempo, otras empresas de testeo de soluciones de seguridad están también trabajando para adaptar sus tests y mapearse al modelo MITRE y al mismo tiempo emular situaciones reales de ataques, sin las limitaciones expuestas anteriormente. Sin duda, queda mucho camino por recorrer en esta área. “El modelo evolucionará incluyendo también la perspectiva de los defensores y la sistematización de analíticas y formas de prevención, detección y respuesta.” A futuro, esperamos también una mayor atención a otros proyectos interesantes- de la propia MITRE y de otros-, enfocados no solo en el comportamiento de los adversarios, sino en la catalogación de las defensas para detectarlo de forma sistemática, como es el caso del uso de LOLBAS (Living Off the Land Binaries and Scripts). Una compilación de las técnicas LOLBAS está disponible en GitHub. Otro ejemplo, de la propia MITRE, y enfocado también desde la perspectiva de los defensores, es el proyecto Cyber Analytics Repository (CAR): compilando analíticas que pueden ser utilizada por los defensores para detectar ataques, mapeándolas también con la matriz ATT&CK. Por lo tanto, el modelo irá extendiéndose e incluirá la sistematización de las defensas, desde la prevención hasta la detección y la respuesta.

El pasado mes de julio, el instituto SANS publicó los resultados de su encuesta anual sobre las prácticas, tecnologías y desafíos con los que se encuentran los SOCs. Como no era de extrañar, los tres desafíos principales citados por las más de 300 organizaciones participantes en la encuesta para lograr el máximo aprovechamiento del SOC, fueron: La falta de personal cualificado La falta de automatización y orquestación La falta de integración de las múltiples herramientas que utilizan. Fuente: SANS Institute ¿A qué se debe esta situación? Esta situación se debe, en parte, al cambio gradual en la naturaleza de las amenazas que estamos viviendo, de amenazas basadas en malware o en exploits (que continúan siendo los más frecuentes) a amenazas basadas en comportamiento humano (usuarios comprometidos o usuarios internos maliciosos). Este cambio hace que la tecnología necesaria para combatirlas necesite también adaptarse. La sofisticación de la analítica requerida para identificar comportamientos maliciosos, cuando el usuario utiliza software legítimo, y no existe malware de por medio, es mucho mayor (debido a la propia variabilidad del comportamiento humano, muy dependiente de cada contexto particular y no determinista por naturaleza). Por tanto, resulta todavía más difícil contar con personal capacitado para implementarla, o para automatizar los procesos de investigación. Machine Learning e Inteligencia Artificial, ¿son la solución? En este contexto, tecnologías como el Machine Learning, Deep Learning y la Inteligencia Artificial, en general, fuertemente publicitadas por la industria, parecían apuntar hacia la resolución del problema. Sin embargo, nos encontramos en una fase de ajuste de expectativas, tal vez demasiado altas. De hecho, según el informe de SANS, los profesionales encuestados otorgaban a la Inteligencia Artificial y el Machine Learning los puntajes más bajos en cuanto a satisfacción con la tecnología, con más de la mitad (el 53 %) declarando no estar satisfecho con ellas. Al mismo tiempo, el ritmo de adquisiciones de empresas de soluciones de orquestación, automatización y respuesta de seguridad tipo SOAR no ha parado. Desde 2016, se han producido 8 adquisiciones relevantes en el sector, con las promesas de reducir el tiempo de detección, respuesta y contención, mediante la automatización del proceso de triage, la centralización y expansión de la visibilidad de toda la infraestructura, la integración de fuentes de inteligencia de amenazas de forma eficiente, etc. No obstante, está por ver hasta qué punto estas promesas se materializan. Los retos de los SOCs Más allá de las innovaciones en tecnología, cabe destacar que hay una serie de retos a los que se enfrentan los SOCs hoy y que deben ser capaces de abordar. En primer lugar, destaca la escasez de talento, algo especialmente relevante habida cuenta del conocimiento especializado que requieren estos profesionales en campos como el análisis de malware, la analítica de datos o la respuesta a incidentes. Otra de las barreras a las que se enfrenta el SOC actual es la falta de automatización, que obliga a los analistas a dedicar más tiempo del necesario a tareas rutinarias que podrían destinar a analizar y responder a incidentes verdaderamente complejos. A esto se suman la conocida como “fatiga de alerta” por los analistas, como consecuencia de la falta de capacidad de priorizar dichas alertas y los elevados tiempos de respuesta ante un ataque. Para poder hacer frente a esta nueva realidad, los SOCs necesitan seguir procesos perfectamente documentados, implementar tecnologías innovadoras y conectadas entre sí y crear equipos de especialistas capaces de adaptarse continuamente, e incluso en ir un paso por delante, para responder a los cambios constantes en el panorama de amenazas. Si se integra un stack tecnológico completo, servicios automatizados que filtrar y descargan buena parte de la actividad rutinaria del SOC, y permitiendo integraciones directas con la infraestructura presente, se podrá conseguir importantes ganancias en eficiencia, escalabilidad, y por lo tanto en rentabilidad de la operación, ya sea para la propia organización, o frente a terceros.