Las ciberamenazas no solamente han aumentado en número, también en complejidad, campañas de hacking que hace unos pocos años estaban orientadas a explotar ciertos códigos medianamente conocidos han pasado a ser procesos estructurados y camaleónicos, capaces de estudiar una red y sus vulnerabilidades antes de explotar las mismas. Por ende, soluciones basadas en el análisis de comportamientos de los códigos maliciosos ya conocidos en los END POINT (llámese servidores, PCs, Tablets, Moviles entre otros) han tenido que evolucionar. Una nueva serie de herramientas orientadas a defender los ENDPOINT de aquellas amenazas cuyos trabajos son cada día más especializados, son imprescindibles en las nuevas estrategias de ciberdefensa de toda organización u empresa, estas soluciones se conocen con el nombre de EDR (Endpoint Detect and Response) y se han convertido en una de las tendencias de defensa más importantes del mercado de la ciberseguridad, cambiando la perspectiva reactiva ante incidentes de seguridad por respuestas proactivas que priorizan la operación segura de las empresas. Este concepto asociado a la proactividad se conoce como THREAT HUNTING (Caza de Amenzas) y es una tendencia que se esta desarrollando en la industria, y que se puede ver o aplicar en muchas capas, ENDPOINT, RED, APLICACIÓN, entre otras.

Durante los últimos años las amenazas han evolucionado a una velocidad considerable, casi en términos exponenciales, y es en esta misma medida que las organizaciones han ampliado sus niveles de exposición, las necesidades de trasformación digital, comercio electrónico, tendencias de conectividad entre otras han derivado en una ecuación cuya resultante no es otra que un espectro tecnológico cada vez más amplio y complejo para proteger.

Las estrategias orientadas al uso de tecnologías que en otra época eran funcionales han desencadenado en tener una sensación falsa de seguridad. Por ejemplo, cuando las herramientas tradicionales de protección de ENDPOINT generan una gran cantidad de reportes en donde se señala que se han identificado y limpiado un número significativo de códigos maliciosos hace pensar que se está completamente protegido y resta importancia a mejorar la postura de ciberseguridad.

Lamentablemente de no existir códigos maliciosos o los a veces mal llamados Virus, que al ser explotados generen un impacto visible a la organización seria casi imposible entender la necesidad de mejorar y/o evolucionar los controles de seguridad existentes.

De ninguna manera se pone en entredicho la necesidad de herramientas como firewalls, anti-virus (anti-malware), WAF, IPS entre otras. Estas son herramientas que hacen parte de la protección por capas en un modelo de defensa en profundidad que toda empresa debe tener hoy en día; sin embargo, que pasa con aquellas amenazas que son capaces por medio de una u otra técnica (ofuscamiento, fileless, logical bomb, wrapping entre otras) de evadir los controles básicos, ellas requieren también una atención especial, peor aún si estas están de forma silenciosa en la red, quizás teniendo el control de uno o varios equipos, quizás servidores, modificando archivos, sacando información, quizás minando criptomonedas o en el peor de los casos interviniendo comunicaciones.

Una de las nuevas tendencias en cuestión de mejoramiento de posturas de ciberseguridad y que está encaminada de forma bastante acertada en hacer frente a aquellas amenazas que han y siguen evolucionando es el Threat Hunting (Caza de Amenzas).

¿Pero que es el threat hunting (Caza de Amenzas)?  

El threat hunting se puede definir como la continua iteración dentro de la red de datos para la búsqueda de amenazas avanzadas, su posible detección y aislamiento. El resultado del proceso de Threat Hunting (Caza de Amenzas) debe verse como un análisis proactivo y no reactivo.

Es la perspectiva de proactividad la que enmarca la gran diferencia con otro tipo de herramientas que suelen ser más reactivas, que suelen utilizarse una vez se ha dado el ataque o el incidente.

Se puede ejemplificar de manera muy sencilla a partir de un incidente de seguridad, en donde si se piensa desde la perspectiva reactiva, este (el incidente) se puede dar partiendo de la premisa de un evento que genero un impacto sobre la organización y el cual las diferentes herramientas de seguridad nos permitirían entender lo sucedido, luego afinar los niveles de detección y control, ya sea creando nuevas reglas, activando algún nuevo tipo de funcionalidad o simplemente descargando un paquete extra actualizado de firmas; ahora bien si se piensa desde la perspectiva proactiva o el Threat Hunting (Caza de Amenzas), el incidente se da a partir de la recolección y análisis continuo de la actividad normal de la red y sus posibles desviaciones, entendiendo que quizás posibles accesos a archivos del sistema, apertura de puertos, ejecución de powershell, lectura de carpetas, modificación de llaves de registro o simple conectividad con ciertos sitios, pueden ser nuevos indicadores de compromiso y así deben ser tratados después de un proceso arduo de telemetría de seguridad que debe perfilar de la manera más acertada los equipos, usuarios, redes y/o el tráfico de la compañía.

Descripción grafica de la diferencia entre Detección de amenazas y Theat Hunting (Caza de amenazas)

 

Sin embargo, es precisamente sobre la hipótesis y el análisis de los “Datos” mostrados en la Ilustración 1 y obtenidos del ENDPOINT que las herramientas EDR están teniendo éxito.

Las estrategias EDR se basan en el uso de herramientas de esta naturaleza, donde monitorean el ENDPOINT y su tráfico de red asociado, llevando esta entrada a una base de datos muy diferente a la de las herramientas antivirus tradicionales. En esta base de datos se llevan a cabo los procesos asociados a la telemetría de seguridad, los cuales son apoyados por las herramientas de análisis de datos reales de la organización; no firmas ni patrones genéricos.

El análisis que brindan este tipo de herramientas permite no solo un acercamiento real a la situación de seguridad del ENDPOINT sino también una mejora en la postura de seguridad al desviar o contener ataques basados ​​en la identificación temprana de amenazas internas y externas.

Técnicamente hablando, una estación de trabajo que lanza un proceso anómalo, genera un cambio sobre algún tipo de clave de registro que no se había presentado antes, abre puertos altos para conexiones o aumenta considerablemente el tamaño de un proceso del sistema donde existe algún tipo de envoltura, estará asociado al análisis avanzado de la EDR como un objetivo de investigación y respuesta rápida; una tarea que la protección de endpoints tradicional no cubre debido a su validación de firma y / o naturaleza de base heurística. No pretende restar valor a las herramientas antivirus, sino complementar los esfuerzos de protección y respuesta del ENDPOINT, ese es el significado de un EDR.

Es importante comprender que no solo una estrategia de EDR se basa en lo que la herramienta puede ofrecer, también es importante considerar las fuentes de investigación que respaldan esas herramientas y, al mismo tiempo, generar los nuevos indicadores de compromiso. Por ello, se recomienda durante los procesos de inmersión de la estrategia de caza, dar seguimiento a la adquisición de tecnologías con grupos de investigación que tengan las habilidades para leer, investigar y alimentar los indicadores de compromiso específicos de cada organización.

References

What is Endpoint Detection and response – https://digitalguardian.com/dskb/endpoint-detection-response

FireEye Endpoint security – https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/ep/ds-endpoint-security.pdf

¿Qué es Thraat hunting y porque es necesario? – https://www.pandasecurity.com/spain/mediacenter/adaptive-defense/threat-hunting-por-que-necesario/

Endpoint Detection and response Architecture and Operations practices. – https://www.gartner.com/doc/3895048/endpoint-detection-response-architecture-operationsAhora bien, es justamente en el planteamiento de la hipótesis y la analítica de la “Data” mostrada en la Ilustración 1 y que se obtiene de los ENDPOINT, donde las herramientas de EDR están teniendo éxito.

Las estrategias de EDR parten del uso de herramientas de esta naturaleza, donde ellas hacen un monitoreo del ENDPOINT y sus respectivos tráficos de red, llevando dicho input a una base de datos muy diferente a la de los antivirus tradicionales. En dicha base de datos se realiza los procesos asociados a la telemetría de seguridad, los cuales se soportan en herramientas de analítica de datos reales de la organización; no firmas o patrones genéricos.

La analítica que proveen este tipo de herramientas permite no solo un enfoque real de la situación de seguridad de los ENDPOINT sino también una mejora en la postura de seguridad desviando o conteniendo ataques con base a la identificación temprana de amenazas internas y externas.

Técnicamente hablando una estación de trabajo que levante un proceso anómalo, genere un cambio sobre algún tipo de llave de registro que no se venía presentando, abra puertos altos para conexiones hacia él o incremente considerablemente el tamaño de un proceso del sistema donde seguro exista algún tipo de wrapping, será asociado por la analítica avanzada de los EDR como un objetivo de investigación y rápida respuesta; labor que la protección de endpoint tradicional no cubre debido a su naturaleza de validación de firmas y/o heurística base. No se pretende restar valor a las herramientas de antivirus sino complementar la labor de protección y respuesta de los ENDPOINT, ese es el sentido de un EDR. 

Es importante entender que no solamente una estrategia de EDR se basa en lo que la herramienta pueda entregar, es importante las fuentes de investigación que acompañen dichas herramientas y que al mismo tiempo generan los nuevos indicadores de compromiso. Por ende, se recomienda en los procesos de inmersión en estrategias de hunting, acompañar la adquisición de tecnologías con grupos de investigación que posean las habilidades de leer, investigar y alimentar los indicadores de compromiso propios de cada organización.

Referencias

• What is Endpoint Detection and response –https://digitalguardian.com/dskb/endpoint-detection-response

• FireEye Endpoint security – https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/ep/ds-endpoint-security.pdf

• ¿Qué es Thraat hunting y porque es necesario? – https://www.pandasecurity.com/spain/mediacenter/adaptive-defense/threat-hunting-por-que-necesario/

• Endpoint Detection and response Architecture and Operations practices. – https://www.gartner.com/doc/3895048/endpoint-detection-response-architecture-operations