Hoy en día todo el mundo habla del Threat Hunting o Caza de Amenazas. Todo el mundo quiere ser un cazador de amenazas. Todos los empleadores quieren contratar a un cazador de amenazas. Y todos los proveedores afirman que sus productos son adecuados para la caza de amenazas.
La Threat Hunting (Caza de Amenazas o TH) es la búsqueda proactiva de rastros de hacking o malware que no son detectados por las defensas estándar. Las amenazas no detectadas incluyen ataques como APT, ataques a vulnerabilidades de día 0, Living off the Land, etc.
El 95% de las amenazas a la seguridad de la información son conocidas y se pueden proteger con medios tradicionales como antivirus, cortafuegos, IDS y WAF. El 5% restante de las amenazas son desconocidas y las más peligrosas.
Queremos saber cómo contrarrestar este 5% de amenazas. Hoy hablaremos de cómo funciona este proceso, qué herramientas se pueden utilizar para encontrar amenazas y qué hay que tener en cuenta a la hora de formar y comprobar las hipótesis.
Tabla de Contenido
Qué es la Threat Hunting y por qué es necesaria
Durante la caza de amenazas, el analista no espera a que se activen los sensores de los sistemas de seguridad, sino que busca específicamente rastros de compromiso. Para ello, desarrolla y comprueba las hipótesis sobre cómo podrían haber penetrado los atacantes en la red. Estos controles deben ser coherentes y regulares.
La aplicación adecuada del proceso debe tener en cuenta los principios:
- Es necesario asumir que el sistema ya ha sido comprometido. El objetivo principal es encontrar rastros de intrusión.
- La búsqueda requiere una hipótesis de cómo se ha comprometido exactamente el sistema.
- La búsqueda debe realizarse de forma iterativa, es decir, después de probar otra hipótesis, el analista plantea una nueva y continúa la búsqueda.
A menudo, las defensas automatizadas tradicionales pasan por alto complejos ataques dirigidos. La razón es que estos ataques suelen extenderse en el tiempo, por lo que las herramientas de seguridad no pueden correlacionar las dos fases del ataque. En este caso, los atacantes consideran cuidadosamente los vectores de penetración y desarrollan escenarios en la infraestructura. Esto les permite evitar cometer acciones perturbadoras y hacer pasar su actividad por legítima. Los atacantes mejoran constantemente sus conocimientos, comprando o desarrollando nuevas herramientas.
La detección de ataques dirigidos es especialmente relevante para las organizaciones que han sido hackeadas previamente. Según el informe M-Trends de FireEye, el 64% de las organizaciones previamente comprometidas fueron atacadas de nuevo. Resulta que más de la mitad de las empresas hackeadas siguen en riesgo. Por lo tanto, tenemos que aplicar medidas para la detección temprana del ataque, lo que puede lograrse con el TH.
La caza de amenazas ayuda a los profesionales de los SI a reducir el tiempo que se tarda en detectar una brecha y también a actualizar los conocimientos sobre la infraestructura que se protege. El TH también es útil cuando se utiliza la inteligencia sobre amenazas (TI), especialmente cuando los indicadores de TI se utilizan en la formulación de hipótesis.
Cómo generar hipótesis para ponerlas a prueba
Como una investigación de TH supone a priori que un atacante ya se ha infiltrado en la infraestructura, lo primero que hay que hacer es localizar el lugar donde se han producido las pruebas de la irrupción. Esto se puede determinar formulando una hipótesis de cómo se produjo la intrusión y qué pruebas se pueden encontrar en la infraestructura.
Una vez formulada una hipótesis, el analista comprueba la veracidad de su supuesto. Si la hipótesis no se confirma, el experto pasa a desarrollar y probar una nueva. Si la prueba de hipótesis da como resultado rastros de manipulación o si confirma la presencia de la amenaza, se inicia la investigación.
La idea de una hipótesis puede nacer de la experiencia personal del analista, pero hay otras fuentes para construir la hipótesis, como:
- Indicadores de inteligencia de amenazas (indicadores TI). La hipótesis más simple que tiene una estructura: un atacante utiliza una nueva modificación de la utilidad X que tiene un hash MD5 Y.
- Técnicas, tácticas y procedimientos de los atacantes (TTP). En la base de datos ATT&CK de MITRE se puede encontrar información sobre las TTP de los ciberdelincuentes modernos.
- Análisis automatizado de datos de infraestructura. Tus datos pueden ayudar a identificar anomalías. Por ejemplo, con la ayuda de los sistemas de gestión de activos se puede notar la aparición de un nuevo nodo en la red sin que los administradores lo sepan. Un aumento repentino del volumen de tráfico en un nodo de la red también puede ser motivo de un estudio más detallado de este nodo.
- Información descubierta al comprobar las hipótesis anteriores.
Herramientas para la Threat Hunting
Una vez formulada una hipótesis, es necesario identificar las fuentes de datos que pueden contener información para probarla. A menudo estas fuentes contienen demasiados datos, entre los que es necesario encontrar los relevantes. Así, el proceso de TH se reduce a investigar, filtrar y analizar la gran cantidad de datos sobre lo que ocurre en la infraestructura. Por supuesto, es necesario el uso de herramientas para probar la hipótesis de búsqueda:
- HASSH: Es un estándar de fingerprinting de red que puede utilizarse para identificar implementaciones específicas de SSH de cliente y servidor. (https://github.com/salesforce/hassh)
- osquery: Es un framework de instrumentación, monitorización y análisis del sistema operativo basado en SQL, disponible para Linux, macOS, Windows y FreeBSD.
- Palantir osquery Configuration: Un repositorio para utilizar osquery para la detección y respuesta a incidentes. (https://github.com/palantir/osquery-configuration)
- Google’s GRR: GRR Rapid Response: Análisis forense remoto en vivo para la respuesta a incidentes. (https://github.com/google/grr)
- MITRE ATT&CK Navigator: Diseñado para proporcionar una navegación y anotación básicas de las matrices ATT&CK, algo que la gente ya hace hoy en día en herramientas como Excel.
- MITRE ATT&CK™: Base de conocimientos de acceso global sobre las tácticas y técnicas de los adversarios basada en observaciones del mundo real.
- MITRE Cyber Analytics Repository: Base de conocimientos de análisis desarrollada por MITRE basada en el modelo de adversario MITRE ATT&CK.
- HELK: Un ELK de caza (Elasticsearch, Logstash, Kibana) con capacidades analíticas avanzadas. (https://github.com/Cyb3rWard0g/HELK)
- Mordor Gates: Proporciona eventos de seguridad pregrabados generados por técnicas adversarias simuladas en forma de JavaScript Object Notation (JSON) para su fácil interpretación. (https://github.com/Cyb3rWard0g/mordor)
- Sysmon – DFIR: Una lista curada de recursos para aprender a desplegar, gestionar y cazar con Microsoft Sysmon. Contiene presentaciones, métodos de despliegue, ejemplos de archivos de configuración, blogs y repositorios Github adicionales. (https://github.com/MHaggis/sysmon-dfir)
- sysmon-config: Plantilla de archivo de configuración de Sysmon con rastreo de eventos de alta calidad por defecto. (https://github.com/SwiftOnSecurity/sysmon-config)
- sysmon-modular: Un repositorio de módulos de configuración de sysmon. (https://github.com/olafhartong/sysmon-modular)
- ThreatHunting: Una aplicación de Splunk asignada a MITRE ATT&CK para guiar tus búsquedas de amenazas. (https://github.com/olafhartong/ThreatHunting)
- Flare: Framework de análisis de redes diseñado para científicos de datos, investigadores de seguridad y profesionales de redes. (https://github.com/austin-taylor/flare)
- RedHunt: Máquina virtual para la emulación de adversarios y la caza de amenazas de RedHunt Labs. (https://github.com/redhuntlabs/RedHunt-OS)
- Oriana: Herramienta de caza de amenazas que aprovecha un subconjunto de eventos de Windows para construir relaciones, calcular totales y ejecutar análisis. (https://github.com/mvelazc0/Oriana)
- Detection Lab: Scripts de Vagrant y Packer para construir un entorno de laboratorio completo con herramientas de seguridad y mejores prácticas de registro. (https://github.com/clong/DetectionLab/)
- DeepBlueCLI: Un módulo de PowerShell para la caza de amenazas a través de los registros de eventos de Windows. (https://github.com/sans-blue-team/DeepBlueCLI)
- Zeek: Potente framework de análisis de redes que es muy diferente de los típicos IDS que puedes conocer.
- suricata: Motor de detección de amenazas de red gratuito y de código abierto, maduro, rápido y robusto.
- Sigma: Formato de firma genérico y abierto que permite describir los eventos de registro relevantes de forma sencilla. (https://github.com/Neo23x0/sigma)
- Splunk Boss of the SOC version 2 dataset: Un conjunto de datos de seguridad y una plataforma CTF para profesionales de la seguridad de la información, investigadores, estudiantes y aficionados. (https://github.com/splunk/botsv2)
- EKTotal: Herramienta de análisis integrada que puede analizar automáticamente el tráfico de los ataques Drive-by Download. (https://github.com/nao-sec/ektotal)
- E-Mail Header Analyzer: Herramienta escrita en flask para analizar las cabeceras de los correos electrónicos y convertirlas en un formato legible para los humanos. (https://github.com/lnxg33k/email-header-analyzer)
- Dradis: Framework de informes extensible, multiplataforma y de código abierto para generar informes con un solo clic que te ahorrará horas en cada proyecto
- BLUESPAWN: Ayuda a los equipos azules a supervisar los sistemas Windows en tiempo real contra los atacantes activos, detectando la actividad anómala. (https://github.com/ION28/BLUESPAWN)
- PcapXray: Para visualizar una captura de paquetes fuera de línea como un diagrama de red incluyendo la identificación de dispositivos, resaltar la comunicación importante y la extracción de archivos. (https://github.com/Srinivas11789/PcapXray)
- LOLBAS: Documenta todos los binarios, scripts y bibliotecas que pueden utilizarse para las técnicas de Living Off The Land.
- AIL framework: Framework modular para analizar posibles fugas de información de fuentes de datos no estructurados, como pastas de Pastebin o servicios similares o flujos de datos no estructurados. (https://github.com/CIRCL/AIL-framework)
- EKFiddle: Framework basado en el depurador web Fiddler para analizar el tráfico web malicioso. (https://github.com/malwareinfosec/EKFiddle)
- RITA: Framework de código abierto para el análisis del tráfico de red. (https://github.com/activecm/rita)
- Atomic Red Team: Pruebas de detección pequeñas y altamente portátiles basadas en el ATT&CK de MITRE. (https://github.com/redcanaryco/atomic-red-team)
- TRAM: Herramienta que ayuda al analista a mapear los informes terminados a ATT&CK. (https://github.com/mitre-attack/tram)
- ATT&CK™-Tools: Herramienta de planificación que ayuda a los defensores a diseñar un plan de emulación del adversario basado en el framework MITRE™ ATT&CK™ en un enfoque estructurado. (https://github.com/nshalabi/ATTACK-Tools)
La mayor cantidad de información relevante está contenida en los registros y el tráfico de red. Los productos de la clase SIEM (Gestión de información y eventos de seguridad) y NTA (Análisis de tráfico de red) ayudan a analizar la información procedente de ellos. Las fuentes externas (como las alimentaciones de TI) también deben incluirse en el proceso de análisis.
7 Beneficios Clave de Threat Hunting
Las organizaciones tardan una media de 287 días en descubrir y contener una brecha, según el informe Cost of a Data Breach de IBM. Las amenazas solo se descubren cuando ocurre algo dramático como un ransomware que te bloquea los ordenadores. Los ciberatacantes podrían incluso resolver la venta de tus datos confidenciales en la Dark Web. Utilizan alguna forma de extorsión; ¡aprovechar los datos sensibles o la propiedad intelectual es el objetivo del juego!
Para cuando esto ocurre, ¡los ciberdelincuentes llevan meses acechando dentro de su sistema! Cuanto más tiempo puedan permanecer los malvados actores en tu red sin ser detectados, más datos recopilarán. A su vez, mayor es el daño que pueden causar los ciberdelincuentes.
La caza de amenazas o threat hunting te garantiza la identificación temprana de tus adversarios. Tendrás una ventaja para investigar cómo se han infiltrado en tu sistema. También puedes cerrar esas brechas incluso antes de que los atacantes sepan que estás tras ellos.
Veamos ahora las 7 ventajas principales de la detección proactiva de amenazas.
1. Mejorar la velocidad de respuesta
En la respuesta y gestión de incidentes de ciberseguridad, el tiempo es esencial. Cuanto más rápido se puedan detener las amenazas y cerrar los exploits, menos daños se producirán por la brecha. Por término medio, la detección de una brecha en un plazo de 30 días permite ahorrar un millón de dólares en costes.
Al desplegar técnicas de threat hunting, se encuentran peligros que las herramientas convencionales no detectan. Los equipos de respuesta a incidentes disponen de la información con antelación y pueden actuar con rapidez. Esto les ayuda a neutralizar la amenaza antes de que cause más daños a los sistemas y datos de la empresa.
2. Acortar el tiempo de investigación
Las secuelas del descubrimiento de un incidente suelen ser frenéticas y caóticas. Es una bomba con la que tu organización, independientemente de lo bien preparada que esté, tendrá que lidiar. Esto puede durar horas o días hasta que se encuentre una solución. La confusión da tiempo a los atacantes para hacerse con todos los datos que necesiten.
Cuando ha reunido una gran cantidad de datos de la caza de amenazas anterior, las investigaciones posteriores de incidentes inesperados comienzan con muchos datos. Esto le permite reducir sustancialmente el tiempo de resolución.
3. Conocimiento más profundo de la organización
La caza de amenazas proporciona a los analistas de TI una imagen detallada de la capacidad global de seguridad de la organización. Incluso si la caza de amenazas no descubre ninguna, los conocimientos que se obtienen pueden ser inestimables. Reforzar las defensas que se pueden mejorar aún más ayuda a reducir los riesgos futuros.
4. Mejora la calidad del equipo de ciberseguridad
Una vez que tu organización toma la decisión de embarcarse en la caza de amenazas, necesita emplear a una persona con las habilidades necesarias. Un cazador de amenazas (threat hunter) sabrá de ciberseguridad, en general, pero también de forense, de redes e ingeniería inversa. La gestión de malware, los análisis de seguridad y los métodos de respuesta a incidentes son también rasgos deseables.
También son importantes las habilidades blandas de resolución de problemas y de pensamiento crítico. Los cazadores de amenazas deben tener pasión por mantenerse al día en las últimas tendencias de la gestión de amenazas. Tu equipo de ciberseguridad estará mejor con ellos a bordo.
5. Minimizar los falsos positivos
Uno de los mayores obstáculos para una gestión eficaz de las amenazas son los falsos positivos. Casi la mitad de las alertas de ciberseguridad son falsos positivos. No es posible acabar con los falsos positivos por completo. Sin embargo, cuando los falsos positivos son de un volumen suficientemente grande, dificultan la respuesta rápida de los equipos de seguridad a las amenazas reales. Los falsos positivos también conducen a la complacencia, ya que el personal de ciberseguridad se insensibiliza ante las alertas.
La búsqueda de amenazas es un proceso proactivo, analítico, iterativo e impulsado por el ser humano. Esto significa que no sólo se evalúan los datos de las amenazas, sino también los procesos que las notifican. Dicho esto, la organización puede racionalizar las alertas, reduciendo el volumen de falsos positivos.
6. Estar al día
La creación de una operación de caza de amenazas requiere herramientas que te proporcionen la última tecnología. El software de información y gestión de la seguridad (SIEM) es bueno para ayudar a identificar eficazmente las amenazas y cómo contrarrestarlas.
Estas herramientas proporcionan un medio rápido y eficaz para transformar los datos brutos en contenido procesable. Liberan a los analistas de la necesidad de correlacionar eventos manualmente. Se pueden añadir feeds de muchas fuentes para crear inteligencia utilizable.
7. Mitiga el riesgo general para la organización
El coste medio de una violación de datos en 2021 fue de 4,24 millones de dólares. Cuando una amenaza tiene éxito, la organización sufre daños en muchos frentes. No es solo la información sensible que llega a manos de actores maliciosos. Dependiendo de la naturaleza del incidente, las interrupciones operativas pueden incluir:
- Riesgo de fraude
- Reparaciones costosas
- Disminución de la competitividad
- Reputación empañada
- Costosas liquidaciones
- Censura reglamentaria
La caza de amenazas te da ventaja en la batalla contra los ciberdelincuentes. Te protege de las desastrosas consecuencias multifacéticas de un ataque exitoso.
Conclusiones
Entonces, ¿Qué podemos decir de la caza de amenazas? Algunas cosas como por ejemplo:
- Es un enfoque proactivo de búsqueda de signos de actividad maliciosa
- No debe tener conocimiento previo de esas señales
- No debe utilizar firmas ni IOC (Indicadores de Compromiso) conocidos
Como indican los últimos informes de los analistas, el tiempo medio de permanencia de un atacante en la infraestructura sigue siendo largo. Así que no esperes las señales de las defensas automatizadas: sé proactivo. Mantente al día con tu infraestructura y con los métodos de ataque actuales, y utiliza la investigación de los equipos de TI (FireEye , Cisco , PT Expert Security Center).
No estoy diciendo que se abandonen las defensas automatizadas. Sin embargo, no hay que dar por sentado que la instalación y la configuración correcta de un sistema de este tipo es el punto final. Es sólo el primer paso necesario. Entonces hay que mantener el pulso del desarrollo y el rendimiento del entorno de red controlado.
Los primeros pasos que creemos que debes dar para iniciar el proceso de TH son los siguientes:
- Ocúpate de la protección de los puntos finales y de la infraestructura de la red. Ocúpate de la visibilidad (NetFlow) y el control (firewall, IDS, IPS, DLP) de todos los procesos de tu red. Conoce tu red desde el router de borde hasta el último host.
- Conoce MITRE ATT&CK.
- Prueba periódicamente tus defensas para ver si puedes repeler una nueva amenaza. Si una amenaza no ha sido identificada, elabora una hipótesis de ataque y pruébala hasta que las defensas automáticas comiencen a detectarla.
- Implanta un sistema de Inteligencia de Amenazas de código abierto (por ejemplo, MISP, Yeti) y realizar análisis de registros con él.
- Implementa un Plan de respuesta a incidencias (IRP): R-Vision IRP, The Hive, sandbox para el análisis de archivos sospechosos (FortiSandbox, Cuckoo).
- Automatiza los procesos rutinarios. Analiza los registros, registra las incidencias, informa al personal… un enorme campo para la automatización.
- Mantente al tanto de las últimas tendencias de los SI. En particular, hay que estar preparado para responder a nuevas vulnerabilidades y métodos de ataque.
- Documenta todo el proceso, los puntos clave, los resultados obtenidos para volver a ellos más tarde o compartir estos datos con sus colegas;
- Estate atento a la parte social: se consciente de lo que ocurre con tus empleados, de a quién contratas y a quién das acceso a los recursos de información de la organización.
- Simplifica el proceso de análisis de grandes cantidades de datos. Para ello, utiliza herramientas que ayuden al analista a ver lo que ocurre en toda la red y en los nodos de la misma como una imagen unificada. Estas herramientas incluyen MISP, PT Network Attack Discovery y el MaxPatrol SIEM.
Listo para discutir sobre el tema de TH en los comentarios.