Columnas de opinión, Noticias

La pirámide del dolor y el insider silencioso: Adaptando la CTI a los negocios

agosto 1, 2023
La palabra inteligencia parece ser el trending topic de hoy. Cada día es más frecuente encontrar en el mundo académico, en la oferta de diplomados y magíster, títulos de Inteligencia Artificial, Inteligencia de Negocios, Inteligencia Político–Estratégica, por mencionar algunos.

Poco se habla de ciberinteligencia de Amenazas y, si bien sabemos que existe, aún así luce oscura, lejana y un tanto costosa de implementar.

¿Qué es la Ciber Inteligencia de Amenazas? Cyber Threat Intelligence, o CTI en otros términos, es un área que se dedica a la recolección y procesamiento de datos que nos permita mitigar ciberataques. El proceso de captura de datos es uno de los más importantes, ya que el equipo debe propender a obtener las fuentes originales como un recurso prioritario de información, no así datos ya procesados o manipulados que puedan encontrarse en un estado de obsolescencia y provenientes de terceras personas.

Un escenario ideal, implica que nuestra organización tenga la capacidad de producir sus propios indicadores de compromiso; lo que afecta a una organización no necesariamente impactará a la nuestra. Para lograr con éxito esa tarea, necesitamos contar con profesionales de habilidades específicas que puedan; por ejemplo, diseccionar malware, realizar cacería de amenazas, desmantelar una botnet o infiltrarse en foros underground. 

Por este motivo, muchas compañías (con billeteras abultadas) deciden contratar servicios de grandes empresas en inteligencia tales como GroupIB, Intel471, Blueliv o ZeroFox, estando dispuestos a pagar entre USD 200K a 300K por un servicio que ofrece mediar con atacantes, recuperar credenciales, desmantelar sitios de phishing y una serie de funciones extras derivadas del estudio del adversario. 

Pero, el escenario no tiene por qué ser tan adverso, incluso para aquellos que no pueden invertir en ese tipo de seguridad, existen alternativas. Por ahí en el año 2013, David Bianco, actual instructor del Instituto SANS, acuñó el término “la pirámide del dolor”, la cual establece una jerarquía entre los diferentes indicadores de compromiso, siendo esta definición una forma de enfrentar al adversario, obstaculizando su ataque proporcionalmente al grado de implementación de los parámetros propuestos en la figura.

El contenido de cada nivel se explica por sí solo salvo que, partiendo desde la base, lo más trivial es realizar bloqueos de hash en nuestras plataformas de seguridad. El autor plantea que los actores de amenaza, estando conscientes de ello, pueden modificar a voluntad los hashes, direcciones IP y nombres de dominio y, que por lo demás estos IoC, tienen una duración activa bastante efímera en la web, no así en nuestras plataformas.

Puede ser más difícil descifrar artefactos de red o del host, sobre todo si esos datos quedan permanentemente escritos en un ejecutable o son rescatados desde la RAM.

En los niveles de Herramientas y TTPs –Técnicas, Tácticas y Procedimientos–, se empieza a complejizar el escenario para ambas partes ya que; por un lado, es un desafío para nosotros determinar qué aplicaciones debemos monitorear o bloquear y, por otro, en la vereda del atacante son cada vez menos las opciones a utilizar, dado que sus técnicas se hacen conocidas tras cada ataque ejecutado. En este punto, cobran relevancia los marcos de trabajo o frameworks de ciber amenazas.

Frameworks de ciberamenazas

Para definir un marco de ciberamenazas, es importante reconocer al menos cuatro etapas que involucran al adversario y su comportamiento, siendo estas las de preparación, compromiso, presencia y consecuencias (modelo del US Government). Luego, surgen otros frameworks con más o menos etapas, cada uno con su propia estrategia pero, en general, involucran los conceptos de reconocimiento, preparación de herramientas, explotación, centros de comando y control y exfiltración. Sin profundizar mayormente en cada uno de ellos, los principales marcos son:

  • MITRE ATT&CK, describe técnicas, tácticas y procedimientos en una base común de conocimientos respecto del atacante.
  • Cyber Kill Chain de Lockheed Martin, basado en una visión más militar enfocada en amenazas persistentes avanzadas.
  • Modelo de Diamante, con origen en la inteligencia tradicional utilizando las relaciones entre las entidades del diamante.

Sólo por condimentar más el asunto, podemos incluir una variable en que el ser humano, distinto al atacante, producto de su inacción se vuelve el peor adversario. Vale decir, no necesariamente tiene que ser un actor dispuesto a dañar nuestra organización intencionalmente, sino que la ausencia de concientización, plataformas de seguridad, manejo de buenas prácticas, hardening de sistemas operativos y servicios; puede provocar que nuestros propios colaboradores se conviertan en verdaderos “insiders silenciosos”, es decir, cualquier persona de nuestra organización puede vulnerar los controles de seguridad.

No todo está perdido

Tener un proveedor de los grandes en inteligencia ¿es una ayuda? sí, ¿cubre todo?… no lo creo. El phishing local es muy diferente al extranjero y, aún así, es muy efectivo en Chile. Y pienso, ¿seguimos hablando de ciberinteligencia?

Para que la visión de CiberInteligencia de Amenazas, se adapte a cada organización, debe ser planificada de acuerdo al core de negocio y a lo que realmente está a su alcance de desarrollar. Tal vez, la empresa no está en condiciones de pagar un servicio de USD 200K, pero sí hay acciones que podrían estar en su dominio:

Concientización, indagar acerca de qué brechas humanas tenemos presentes. Esto se puede medir a través de ejercicios de phishing, capacitaciones y encuestas. El enfoque no debe ser tan sólo desde el punto de vista del colaborador, sino que también desde el negocio y tener presente estos conceptos:

  • Cantidad de ataques sufridos a la fecha.
  • Riesgo de fuga de credenciales por stealers.
  • Herramientas de seguridad que administra la organización.
  • Vulnerabilidades que pueden ser explotadas.

Priorizar nuestras necesidades. Muchas veces nos enfocamos en la tecnología y lo costosa que es, así como en parchar sistemas y mejorar procesos internos. Pero en ocasiones, el negocio puede lanzar o modificar las condiciones de un producto y causar disconformidad en los usuarios. Esto se podría volver una amenaza difícil de detectar, salvo que estemos monitoreando redes sociales, blogs y foros, observando posibles campañas de desinformación o fake news. En lo referente a la detección automatizada de amenazas, podemos avanzar con:

  • Evaluar mi actual solución de antivirus o pensar en contar con un EDR.
  • Implementar plataformas de seguridad tipo firewall perimetral.
  • Planificar la adquisición/contratación de un correlacionador de eventos.

Técnicas, tácticas y procedimientos relacionados con nuestro negocio. El dolor de nuestro adversario es conocer los frameworks de ciber amenazas. Podemos poner especial atención sobre qué herramientas legítimas son habitualmente utilizadas por los atacantes, mirando específicamente a aquellos que se han caracterizado por vulnerar el sector de la industria en la que tenemos presencia. La base de conocimiento de MITRE es pública y puede ser un buen punto de partida, así como cuestionarios en línea dispuestos por algunos sitios de gobiernos, los que nos ayudan a medir qué tan preparados estamos frente a un ciberataque.

Prestar atención a las filtraciones de otras víctimas ¿Los datos divulgados me afectan? ¿Existe información de mi compañía en ese leak? ¿Cómo puedo recuperarla? Si bien es prácticamente imposible eliminar el repositorio de datos, al menos, debemos saber qué tipo de información fue divulgada lo cual nos habilita para idear una estrategia comunicacional y mitigar el daño reputacional, si lo hubiere.

Para finalizar y, por mencionar algún ejemplo cotidiano, podríamos decir que el phishing es uno de los principales métodos de engaño utilizado por grupos de amenaza. Los actores  Medusa y BitLocker, enfocan sus tácticas especialmente en la obtención de credenciales válidas lo que les permite continuar las siguientes fases del ataque. Por eso, cobra real interés la preocupación que debemos concentrar en el insider silencioso quien, en ocasiones puede permanecer inactivo y pasivo; sin embargo, despierta al más simple correo electrónico, llamado vía Whatsapp o ser víctima de otros engaños con fotografías de perfiles verdaderos, promociones y/o cualquier distractor de carácter urgente, exponiendo ingenuamente el activo más valioso de nuestra organización frente a ciber delincuentes.

ciberseguridadinsider

Comparte este Artículo

Artículos relacionados