el replanteamiento de la ciberseguridad
TRANSCRIPT
± Ñ ± � ± �
2000 2004 2006 2008 2010 2013
Accesos a la red Threat IntelligenceMonitorización Fugas de datos CompartamosPerímetro
�
2015
Endpoint
�
2016
Generemos TI
Replanteamiento de amenazas
Evolución - I• Cuidemos el perímetro• Miremos qué encontramos fuera del perímetro
• TTPs• Integración en elementos de seguridad• A veces difícil de sacar provecho• ¿Qué feeds elegimos?• Centrados en el sector financiero• Información de terceros – puede que no nos afecten
Evolución - II• Compartamos información e inteligencia
• ¿De quién nos fiamos?• Por grupos de confianza
• Sectores: FS-ISAC• CERTs• Diferentes por cultura y sector• Nomenclatura común
• STIX / TAXII• CyBOX• OpenIOC
• Herramientas de compartición• ThreatConnect, Soltra, MISP, CRITs
Manipulación- Gurú
TTPs – Desafío
Herramientas – Difícil
Observables - Complicado
Dominios - Simple
Direcciones IP – Fácil
Hashes - Trivial
Autor: David Bianco
Pirámide del dolor
Pirámide del dolor• Hashes de ficheros: rápidos de buscar; rápidos de modificar• Direcciones IP: rápidas de utilizar; fácil de cambiar (VPNs, Tor, proxies, etc.) • Dominios: fáciles de usar (cortafuegos, proxies, IDS, etc.); pudiera parecer que son más dañinos pero
vemos que usan dominios a su antojo o subdominios gratuitos.• Observables de red y sistema operativo: aquí es cuando el dolor que podemos infligir es mayor. Este tipo
de observables son detalles que pueden identificar a nuestros adversarios o sus operaciones: ciertas claves de registro, nombres de mutex, user-agents, emails utilizados en sus dominios o certificados, patrones de tiempo, etc. Si conseguimos bloquear y detectar estos observables, nuestros atacantes tendrán que dedicar tiempo para averiguar qué está pasando y solucionarlo.
• Herramientas: casi siempre nuestros atacantes utilizan las mismas herramientas a las que están acostumbrados, con lo que si podemos bloquearlas les romperemos su flujo de trabajo. Por ejemplo, herramientas como mimikatz, exploits-kits, troyanos etc. pueden ser detectadas utilizando reglas Yara o fuzzy hashes.
• Tácticas, Técnicas y Procedimientos (TTPs): el punto más interesante. Si estamos respondiendo a este nivel, operamos directamente contra el comportamiento y hábitos de nuestros atacantes, no contra sus herramientas. Si somos capaces de afectar sus TTPs, les forzamos a lo que va a ser más costoso para ellos: cambiar su modus operandi. Y muchas veces el resultado es que se van a dar por vencidos, a no ser que seamos un objetivo crítico para ellos.
La realidad de los incidentes• Mismo modus operandi:
• Investigación de empleados en redes sociales
• Envío de correos de spear-phishing a esos empleados o intentos de infección
• Acceso con credenciales robadas o equipos infectados a equipos y redes internas
• Uso de herramientas convencionales (no malware) para moverse lateralmente
• Robo de datos y exfiltración de los mismos.
Evolución - III
• Pasemos de utilizar threat intelligence de terceros, a combinar esa información con theatintelligence generada por nosotros:• Incidentes que nos están ocurriendo• Atacantes que nos atacan• IOCs que tenemos en nuestros sistemas
• ¿Cómo? Con el uso de defensa activa. • Si los atacantes nos engañan y nos manipulan, ¿por qué no podemos – siempre dentro
de la legalidad – utilizar sus técnicas?
Defensa activa es:1. conseguir que al atacante le sean
más costosos sus esfuerzos2. aprovechar su momentum en
nuestro beneficio
18
Defensa activa es:3. obtener la máxima información
del atacante4. alertar de forma temprana
compromisos o fases iniciales de un ataque
19
Ejemplo
20
Atacante DefensorNegación Evitar que descubran el
ataqueEvitar que descubran su
objetivoEngaño Engañar para que nos dejen
entrarEngañar para que nosrevelen su presencia
Desvío Llamar la atención del defensor en algo no
relacionado
Llamar la atención del atacante en el objetivo
equivocadoEngaño Hacer pensar al defensor
que el ataque es no sofisticado o no dirigido
Hacer pensar al atacanteque lo que están buscando
no está aquíEngaño Hacer pensar al defensor
que el ataque está controlado o finalizado
Hacer pensar al atacanteque ya han conseguido su
objetivoDesvío Hacer pensar que el
atacante es otroHacer que el atacante
ataque a otro o que piensenque se han equivocado de
objetivo
El papel del analista• Debemos pasar de gestionar incidentes a gestionar adversarios. • De pensar en parar ataques a pensar en hacer más costosos los ataques a
nuestros adversarios.• Ser expertos en los TTPs de nuestros atacantes.• Perfilado: organización, jerarquía, flujos de trabajo, financiación, localización, objetivos,
etc.• Utilizar cada una de las fases de la famosa Cyber-KillChain® en nuestro beneficio:
• Entregando información falsa• Poniendo trampas• Buscando el fallo humano• Conseguir atribución (tarea casi imposible)
Conclusiones• Evolucionemos nuestra forma de investigar y parchear incidentes de seguridad para
focalizarnos en gestionar a nuestros adversarios.
• Utilicemos threat intelligence de forma ‘inteligente’ haciéndoles daño donde más les duele.
• Usemos sus mismas armas, o aprovechemos la ventaja de que se encuentran en nuestro terreno (algo que raramente se tiene en cuenta).
• La figura de los analistas de seguridad es clave para afrontar con éxito esta nueva estrategia de seguridad; perfiles multi-disciplinares capaces de poder perfilar a los atacantes, sí, pero que a la vez sean capaces de gestionar las campañas de engaño y manipulación, siempre bajo la legalidad vigente.