Para cuando te hayas comprometido, ya es demasiado tarde
Por Zeki Turedi, estratega de tecnología, EMEA en CrowdStrike
Las organizaciones que intentan proteger sus datos se enfrentan actualmente a un nivel de amenaza sin precedentes. los Informe de riesgos globales del Foro Económico Mundial 2019 clasificó el robo de datos y el ciberataque como dos de los cinco principales riesgos globales en términos de probabilidad. Incluso las organizaciones internacionales más grandes y mejor equipadas han demostrado que son susceptible al ataque de adversarios persistentes y hábiles.
Al igual que asegurar su hogar contra inundaciones (mas informacion aqui), necesita proteger sus datos digitales.
La dura realidad para muchas organizaciones es que cuando se han visto comprometidas, ya es demasiado tarde. Para detectar estas amenazas, los equipos de ciberseguridad tradicionalmente se han basado en Indicadores de Compromiso (IoC) que funcionan detectando firmas, exploits, vulnerabilidades y direcciones IP para ayudar a determinar si se ha producido un incidente de seguridad. Esto ha significado que, en lugar de prevenir una infracción, los equipos de seguridad se han centrado en investigar lo que ya sucedió. Sin embargo, en los últimos años han surgido soluciones de seguridad de próxima generación que permiten a los equipos de seguridad ir más allá para comprender realmente el intención de lo que un atacante está tratando de lograr y, por lo tanto, cuál es la mejor manera de frustrarlo.
¿Qué son los indicadores de ataque (IoA)?
Los IoA permiten a los equipos de seguridad desarrollar un enfoque más proactivo para las investigaciones ayudándolos a identificar y comprender rápidamente las acciones comunes que un adversario debe realizar para tener éxito. Estos incluyen ejecución de código, persistencia, actividad sigilosa, control de comandos y movimiento lateral dentro de una red. La ventaja clave de IoA es que permiten a los equipos de seguridad detener a los adversarios antes de que puedan comprometer las defensas de una organización, si se detectan y se actúa en consecuencia.
Por ejemplo, una campaña de pesca submarina, que está diseñada para sondear las defensas de un sistema, podría actuar como precursora de un ciberataque. Por lo general, esto comienza con un correo electrónico que busca persuadir a un objetivo para que abra un archivo que infectará su máquina. Una vez comprometido, el atacante ejecutará silenciosamente otro proceso, se ocultará en la memoria o en el disco y mantendrá la persistencia en los reinicios del sistema. Los equipos de seguridad que monitorean de manera proactiva los IoA podrán detectar la ejecución de cualquiera de estos pasos e identificar a un adversario al inferir lo que estas acciones están tratando de lograr. Esto significa que es más probable que los equipos de seguridad descubran a los malos actores antes de que puedan comprometer una red.
Una analogía del mundo real
Pongamos las cosas en contexto. En muchos sentidos, una violación de datos podría compararse con un robo a un banco. El atacante debe superar los sistemas de seguridad del defensor y exfiltrar con éxito su objetivo, ya sean datos confidenciales o barras de oro. Cuando se roba un banco, las autoridades suelen llegar después de que ha ocurrido el delito y pueden comenzar a recopilar pruebas. Pueden encontrar evidencia en las cámaras de seguridad; el ladrón conducía un convertible rojo, llevaba una gorra de béisbol y utilizó nitrógeno líquido para entrar en la bóveda.
Estos puntos de evidencia solo se descubren después del hecho, al igual que los IoC: muestran que hubo un ataque, pero el dinero ya se ha ido. Esta misma evidencia podría usarse para eventualmente encontrar al ladrón, pero solo si no cambian sus métodos. Si la próxima vez que el perpetrador usa un hatchback azul, usa un sombrero de pescador y usa un taladro para irrumpir en la bóveda, es posible que tenga éxito por segunda vez. Esto se debe a que el equipo de seguridad no estará preparado para buscar estos nuevos puntos de evidencia.
Sin embargo, si el banco se configuró para monitorear IoA, es posible que pueda evitar un robo por completo. Así como una filtración de datos suele ir precedida de un ataque de phishing, un ladrón de bancos podría «acusar» al banco antes del atraco. Como una campaña de phishing, este proceso implica pasos que un equipo de seguridad proactivo podría detectar. Si el ladrón intenta deshabilitar el sistema, se mueve hacia la bóveda o intenta descifrarlo, el equipo de seguridad puede inferir que está tratando de robarlo. Con esta información, pueden detener el intento antes de que el perpetrador pueda robar algo.
IoAs en la práctica
Durante un ciberataque, estos puntos de evidencia pueden ser menos obvios que en un banco, pero se aplican los mismos principios. Si un equipo de seguridad puede detectar IoC, como un hash MD5, un dominio C2 o una dirección IP codificada, es posible que pueda utilizar estos indicadores para evitar futuros ataques. Sin embargo, dado que los IoC no son una variable constante, los equipos de seguridad podrían quedarse atrás mientras luchan por mantenerse al día con el panorama de amenazas en evolución.
Por otro lado, IoA permite a los equipos de seguridad monitorear comportamientos sospechosos, ayudándolos a adaptarse rápidamente y tomar medidas para prevenir una infracción. Al centrarse en las tácticas, técnicas y procedimientos de los atacantes, los equipos de seguridad pueden determinar quién es el adversario, a qué intentan acceder y por qué, al tiempo que proporcionan un enfoque proactivo para afrontar amenazas avanzadas.