29 nov. 2019

Threat Hunting: Ciclos de Cacería [II]

En la primera parte de esta serie (Threat Hunting: La Pirámide del Dolor [I]), discutimos las seis categorías de Indicadores de Compromiso (IoC) que se pueden utilizar como pilares para estructurar la cacería de amenazas. En esta publicación (basada en esta de Threat Hunting), nos centraremos específicamente en cómo las organizaciones pueden construir "Ciclos de Cacería" basados en inteligencia para detectar las Tácticas, Técnicas y Procedimientos (TTP) de amenazas avanzadas.

Para realizar la cacería, es importante comprender el método del atacante. El framework más conocido es Cyber Kill Chain, creado por Lockheed Martin para rastrear los pasos que sigue un atacante para explotar, comprometer y llevar a cabo un ataque contra un sistema u organización objetivo. La interrupción de este proceso en cualquier punto de la cadena impide (o al menos degrada gravemente) la capacidad de un atacante para cumplir su misión. El otro framework es ATT&CK del cual hemos escrito mucho en este blog.

El arquitecto de seguridad de Sqrrl (ahora Amazon), David Bianco, ha desarrollado una metodología de defensa cibernética (inspirada en los bucles OODA de John Boyd -Observe–Orient–Decide–Act-) centrada en impedir el movimiento de un atacante a través de la cadena.

Cuando los defensores pueden manipular sus defensas más rápidamente que un adversario, se puede lograr la Defensa Persistente Avanzada (Advanced Persistent Defense - APD). El objetivo de este modelo es construir una estructura de defensa que evolucione con cada ataque contra ella. A medida que los defensores catalogan las observaciones sobre los TTP de los atacantes, los puntos débiles en sus defensas y cualquier obstrucción en el flujo de trabajo de investigación, pueden agilizar los tiempos de respuesta y compensar el desafío de la persistencia.

Los analistas pueden presentar la información que recopilan a su equipo de seguridad y utilizar las interpretaciones para mejorar constantemente las tecnologías defensivas y refinar las técnicas de detección y respuesta. Mejorar las fallas del pasado e invertir cada vez más en estrategias efectivas le permite al equipo de defensa estar un paso adelante de los atacantes, en lugar de estar un paso detrás (como siempre ha sido).

1. El ciclo de inteligencia

Se centra en desarrollar una conciencia situacional completa de las amenazas, vulnerabilidades y activos. Consiste en los siguientes pasos:
  • Dirigir la construcción de las defensas sabiendo qué tipo de información desea recopilar sobre posibles atacantes, identificando activos centrales y considerando posibles vulnerabilidades.
  • Recopilar la mayor cantidad de datos posible, teniendo en cuenta qué tipo de datos proporciona cada control de protección, y almacenarlos el mayor tiempo posible.
  • Analizar los datos con herramientas automatizadas, mientras se prepara para mantener las defensas y, en el futuro, investigar y responder a los ataques.
  • Difundir el análisis de la información recopilada y utilizar ese análisis para influir en la construcción de las defensas y los puntos de partida que se utilizarán para orientar los próximos "viajes de cacería de amenazas". 

2. El "Ciclo de Cacería"

Se centra en la búsqueda proactiva e iterativa a través de los datos recopilados para encontrar amenazas avanzadas ocultas dentro de la red y los sistemas. Consiste en los siguientes pasos:
  • Orientar la dirección de la cacería. Cada "viaje de cacería" comienza con un sendero que sirve como punto de partida para una cacería. Sqrrl define tres tipos diferentes inicios de caminos: hipótesis, indicadores de compromiso y resultados de algoritmos.
  • Consultar la información que necesitará para reconstruir la progresión y el contexto de un ataque, girando a través de las fuentes de datos de red, aplicaciones y sistemas afectados. Las narrativas de ataque avanzadas solo serán útiles si se toman múltiples conjuntos de datos. El análisis de patrones y detección de anomalías acortará el tiempo necesario para reconstruir los TTP de un ataque dado.
  • Analizar los patrones y estar atento para identificar las señales de un atacante en una etapa avanzada del ataque (por ejemplo en el envío de datos a un C&C). Se debe compare las observaciones a lo largo de la cacería con lo que esperaría encontrar en condiciones normales.
  • Revisar las consultas a lo largo de la búsqueda mientras se eliminan los datos menos útil y se afina la narrativa del ataque.

3. El ciclo de respuesta

Se centra en mitigar el daño de un incidente identificado. Después de que los cazadores de amenazas determinan qué ha ocurrido o que está ocurriendo, se escala al Ciclo de Respuesta, donde se puede investigar, remediar y contener por completo. Los pasos en este ciclo incluyen lo siguiente:
  • Contener una amenaza al restringir su acceso (ya sea humano o automatizado) a los sistemas internos.
  • Investigar el alcance del alcance mediante el desarrollo completo de su narrativa, que proporcionará retroalimentación al ciclo de cacería en términos de la profundidad y la calidad de del próximo ciclo..
  • Remediar los efectos de la violación y sumar los indicadores recién descubiertos al Ciclo de Inteligencia.

4. Todo junto

Juntos, estos tres ciclos forman un marco de defensa persistente avanzada que evoluciona a medida que los analistas recopilan cada vez más datos sobre los ataques.


Una cualidad importante del marco Advanced Persistent Defense es que está equipado de manera única para detectar TTP. Como mencionamos en Pyramid of Pain, los TTP son el Indicador de Compromiso más poderoso para detectar y detener ataques avanzados. Con su enfoque en la búsqueda y respuesta de amenazas impulsadas por la inteligencia, la Defensa Persistente Avanzada va más allá de la dependencia de indicadores simples y es un marco para profundizar en las acciones de los adversarios al aprovechar la comprensión de su comportamiento y ayudar que las defensas evolucionen lo más rápido posible, o al menos más rápido que los ataques.

La Defensa Persistente Avanzada requiere la capacidad de navegar de manera rápida y eficiente por los conjuntos de datos para reconstruir el alcance completo del ataque, desde la armamento y la entrega hasta la acción sobre los objetivos.

En la tercera y última parte de esta serie, analizaremos en profundidad porqué es tan importante descubrir los TTP y cómo usarlos de manera efectiva.

Fuente: Threat Hunting [PDF]

Relacionados

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!