Qué es Threat Hunting o Caza de Amenazas
Qué es Threat Hunting o Caza de Amenazas

Qué es Threat Hunting y Cómo Cazar a los Ciberdelincuentes

Hoy en día todo el mundo habla del Threat Hunting o Caza de Amenazas. Todo el mundo quiere ser un cazador de amenazas. Todos los empleadores quieren contratar a un cazador de amenazas. Y todos los proveedores afirman que sus productos son adecuados para la caza de amenazas.

La Threat Hunting (Caza de Amenazas o TH) es la búsqueda proactiva de rastros de hacking o malware que no son detectados por las defensas estándar. Las amenazas no detectadas incluyen ataques como APT, ataques a vulnerabilidades de día 0, Living off the Land, etc.

El 95% de las amenazas a la seguridad de la información son conocidas y se pueden proteger con medios tradicionales como antivirus, cortafuegos, IDS y WAF. El 5% restante de las amenazas son desconocidas y las más peligrosas.

Queremos saber cómo contrarrestar este 5% de amenazas. Hoy hablaremos de cómo funciona este proceso, qué herramientas se pueden utilizar para encontrar amenazas y qué hay que tener en cuenta a la hora de formar y comprobar las hipótesis.

Meme de Threat Hunting
Meme de Threat Hunting

Qué es la Threat Hunting y por qué es necesaria

Durante la caza de amenazas, el analista no espera a que se activen los sensores de los sistemas de seguridad, sino que busca específicamente rastros de compromiso. Para ello, desarrolla y comprueba las hipótesis sobre cómo podrían haber penetrado los atacantes en la red. Estos controles deben ser coherentes y regulares.

Los problemas modernos requieren soluciones modernas
Los problemas modernos requieren soluciones modernas

La aplicación adecuada del proceso debe tener en cuenta los principios:

  • Es necesario asumir que el sistema ya ha sido comprometido. El objetivo principal es encontrar rastros de intrusión.
  • La búsqueda requiere una hipótesis de cómo se ha comprometido exactamente el sistema.
  • La búsqueda debe realizarse de forma iterativa, es decir, después de probar otra hipótesis, el analista plantea una nueva y continúa la búsqueda.
Vía Panda Security

A menudo, las defensas automatizadas tradicionales pasan por alto complejos ataques dirigidos. La razón es que estos ataques suelen extenderse en el tiempo, por lo que las herramientas de seguridad no pueden correlacionar las dos fases del ataque. En este caso, los atacantes consideran cuidadosamente los vectores de penetración y desarrollan escenarios en la infraestructura. Esto les permite evitar cometer acciones perturbadoras y hacer pasar su actividad por legítima. Los atacantes mejoran constantemente sus conocimientos, comprando o desarrollando nuevas herramientas.

La detección de ataques dirigidos es especialmente relevante para las organizaciones que han sido hackeadas previamente. Según el informe M-Trends de FireEye, el 64% de las organizaciones previamente comprometidas fueron atacadas de nuevo. Resulta que más de la mitad de las empresas hackeadas siguen en riesgo. Por lo tanto, tenemos que aplicar medidas para la detección temprana del ataque, lo que puede lograrse con el TH.

La caza de amenazas ayuda a los profesionales de los SI a reducir el tiempo que se tarda en detectar una brecha y también a actualizar los conocimientos sobre la infraestructura que se protege. El TH también es útil cuando se utiliza la inteligencia sobre amenazas (TI), especialmente cuando los indicadores de TI se utilizan en la formulación de hipótesis.

vs Detección de Amaneza

¿Cuál es la principal diferencia entre la detección de amenazas (threat detection) y la caza de amenazas? La detección se basa en firmas y e IOC, la caza se basa en las técnicas utilizadas por los atacantes.

Cómo generar hipótesis para ponerlas a prueba

Como una investigación de TH supone a priori que un atacante ya se ha infiltrado en la infraestructura, lo primero que hay que hacer es localizar el lugar donde se han producido las pruebas de la irrupción. Esto se puede determinar formulando una hipótesis de cómo se produjo la intrusión y qué pruebas se pueden encontrar en la infraestructura.

Una vez formulada una hipótesis, el analista comprueba la veracidad de su supuesto. Si la hipótesis no se confirma, el experto pasa a desarrollar y probar una nueva. Si la prueba de hipótesis da como resultado rastros de manipulación o si confirma la presencia de la amenaza, se inicia la investigación.

Hipótesis para la Caza de Amenazas
Hipótesis para la Caza de Amenazas

La idea de una hipótesis puede nacer de la experiencia personal del analista, pero hay otras fuentes para construir la hipótesis, como:

  • Indicadores de inteligencia de amenazas (indicadores TI). La hipótesis más simple que tiene una estructura: un atacante utiliza una nueva modificación de la utilidad X que tiene un hash MD5 Y.
  • Técnicas, tácticas y procedimientos de los atacantes (TTP). En la base de datos ATT&CK de MITRE se puede encontrar información sobre las TTP de los ciberdelincuentes modernos.

Ejemplo de hipótesis

Un atacante ha comprometido la estación de trabajo de un usuario e intenta adivinar la contraseña de una cuenta privilegiada utilizando la fuerza bruta.

  • Análisis automatizado de datos de infraestructura. Tus datos pueden ayudar a identificar anomalías. Por ejemplo, con la ayuda de los sistemas de gestión de activos se puede notar la aparición de un nuevo nodo en la red sin que los administradores lo sepan. Un aumento repentino del volumen de tráfico en un nodo de la red también puede ser motivo de un estudio más detallado de este nodo.
  • Información descubierta al comprobar las hipótesis anteriores.

Herramientas para la caza de amenazas

Herramientas para caza de amenazas
Herramientas para caza de amenazas. Fuente: ptsecurity

Una vez formulada una hipótesis, es necesario identificar las fuentes de datos que pueden contener información para probarla. A menudo estas fuentes contienen demasiados datos, entre los que es necesario encontrar los relevantes. Así, el proceso de TH se reduce a investigar, filtrar y analizar la gran cantidad de datos sobre lo que ocurre en la infraestructura. Por supuesto, es necesario el uso de herramientas para probar la hipótesis de búsqueda:

  • HASSH: Es un estándar de fingerprinting de red que puede utilizarse para identificar implementaciones específicas de SSH de cliente y servidor
  • osquery: Es un framework de instrumentación, monitorización y análisis del sistema operativo basado en SQL, disponible para Linux, macOS, Windows y FreeBSD.
  • Palantir osquery Configuration: Un repositorio para utilizar osquery para la detección y respuesta a incidentes
  • Google’s GRR: GRR Rapid Response: Análisis forense remoto en vivo para la respuesta a incidentes
  • MITRE ATT&CK Navigator: Diseñado para proporcionar una navegación y anotación básicas de las matrices ATT&CK, algo que la gente ya hace hoy en día en herramientas como Excel.
  • MITRE ATT&CK™: Base de conocimientos de acceso global sobre las tácticas y técnicas de los adversarios basada en observaciones del mundo real.
  • MITRE Cyber Analytics Repository: Base de conocimientos de análisis desarrollada por MITRE basada en el modelo de adversario MITRE ATT&CK.
  • HELK: Un ELK de caza (Elasticsearch, Logstash, Kibana) con capacidades analíticas avanzadas.
  • Mordor Gates: Proporciona eventos de seguridad pregrabados generados por técnicas adversarias simuladas en forma de JavaScript Object Notation (JSON) para su fácil interpretación.
  • Sysmon – DFIR: Una lista curada de recursos para aprender a desplegar, gestionar y cazar con Microsoft Sysmon. Contiene presentaciones, métodos de despliegue, ejemplos de archivos de configuración, blogs y repositorios Github adicionales.
  • sysmon-config: Plantilla de archivo de configuración de Sysmon con rastreo de eventos de alta calidad por defecto
  • sysmon-modular: Un repositorio de módulos de configuración de sysmon
  • ThreatHunting: Una aplicación de Splunk asignada a MITRE ATT&CK para guiar tus búsquedas de amenazas
  • Flare: Framework de análisis de redes diseñado para científicos de datos, investigadores de seguridad y profesionales de redes.
  • RedHunt: Máquina virtual para la emulación de adversarios y la caza de amenazas de RedHunt Labs
  • Oriana: Herramienta de caza de amenazas que aprovecha un subconjunto de eventos de Windows para construir relaciones, calcular totales y ejecutar análisis.
  • Detection Lab: Scripts de Vagrant y Packer para construir un entorno de laboratorio completo con herramientas de seguridad y mejores prácticas de registro
  • DeepBlueCLI: Un módulo de PowerShell para la caza de amenazas a través de los registros de eventos de Windows
  • Zeek: Potente framework de análisis de redes que es muy diferente de los típicos IDS que puedes conocer
  • suricata: Motor de detección de amenazas de red gratuito y de código abierto, maduro, rápido y robusto.
  • Sigma: Formato de firma genérico y abierto que permite describir los eventos de registro relevantes de forma sencilla.
  • Splunk Boss of the SOC version 2 dataset: Un conjunto de datos de seguridad y una plataforma CTF para profesionales de la seguridad de la información, investigadores, estudiantes y aficionados.
  • EKTotal: Herramienta de análisis integrada que puede analizar automáticamente el tráfico de los ataques Drive-by Download.
  • E-Mail Header Analyzer: Herramienta escrita en flask para analizar las cabeceras de los correos electrónicos y convertirlas en un formato legible para los humanos.
  • Dradis: Framework de informes extensible, multiplataforma y de código abierto para generar informes con un solo clic que te ahorrará horas en cada proyecto
  • BLUESPAWN: Ayuda a los equipos azules a supervisar los sistemas Windows en tiempo real contra los atacantes activos, detectando la actividad anómala
  • PcapXray: Para visualizar una captura de paquetes fuera de línea como un diagrama de red incluyendo la identificación de dispositivos, resaltar la comunicación importante y la extracción de archivos
  • LOLBAS: Documenta todos los binarios, scripts y bibliotecas que pueden utilizarse para las técnicas de Living Off The Land.
  • AIL framework: Framework modular para analizar posibles fugas de información de fuentes de datos no estructurados, como pastas de Pastebin o servicios similares o flujos de datos no estructurados.
  • EKFiddle: Framework basado en el depurador web Fiddler para analizar el tráfico web malicioso.
  • RITA: Framework de código abierto para el análisis del tráfico de red.
  • Atomic Red Team: Pruebas de detección pequeñas y altamente portátiles basadas en el ATT&CK de MITRE.
  • TRAM: Herramienta que ayuda al analista a mapear los informes terminados a ATT&CK.
  • ATT&CK™-Tools: Herramienta de planificación que ayuda a los defensores a diseñar un plan de emulación del adversario basado en el framework MITRE™ ATT&CK™ en un enfoque estructurado

La mayor cantidad de información relevante está contenida en los registros y el tráfico de red. Los productos de la clase SIEM (Gestión de información y eventos de seguridad) y NTA (Análisis de tráfico de red) ayudan a analizar la información procedente de ellos. Las fuentes externas (como las alimentaciones de TI) también deben incluirse en el proceso de análisis.

Conclusiones

Entonces, ¿Qué podemos decir de la caza de amenazas? Algunas cosas como por ejemplo:

  • Es un enfoque proactivo de búsqueda de signos de actividad maliciosa
  • No debe tener conocimiento previo de esas señales
  • No debe utilizar firmas ni IOC (Indicadores de Compromiso) conocidos

Como indican los últimos informes de los analistas, el tiempo medio de permanencia de un atacante en la infraestructura sigue siendo largo. Así que no esperes las señales de las defensas automatizadas: sé proactivo. Mantente al día con tu infraestructura y con los métodos de ataque actuales, y utiliza la investigación de los equipos de TI (FireEye , Cisco , PT Expert Security Center).

No estoy diciendo que se abandonen las defensas automatizadas. Sin embargo, no hay que dar por sentado que la instalación y la configuración correcta de un sistema de este tipo es el punto final. Es sólo el primer paso necesario. Entonces hay que mantener el pulso del desarrollo y el rendimiento del entorno de red controlado.

Los primeros pasos que creemos que debes dar para iniciar el proceso de TH son los siguientes:

  1. Ocúpate de la protección de los puntos finales y de la infraestructura de la red. Ocúpate de la visibilidad (NetFlow) y el control (firewall, IDS, IPS, DLP) de todos los procesos de tu red. Conoce tu red desde el router de borde hasta el último host.
  2. Conoce MITRE ATT&CK.
  3. Prueba periódicamente tus defensas para ver si puedes repeler una nueva amenaza. Si una amenaza no ha sido identificada, elabora una hipótesis de ataque y pruébala hasta que las defensas automáticas comiencen a detectarla.
  4. Implanta un sistema de Inteligencia de Amenazas de código abierto (por ejemplo, MISP, Yeti) y realizar análisis de registros con él.
  5. Implementa un Plan de respuesta a incidencias (IRP): R-Vision IRP, The Hive, sandbox para el análisis de archivos sospechosos (FortiSandbox, Cuckoo).
  6. Automatiza los procesos rutinarios. Analiza los registros, registra las incidencias, informa al personal… un enorme campo para la automatización.
  7. Mantente al tanto de las últimas tendencias de los SI. En particular, hay que estar preparado para responder a nuevas vulnerabilidades y métodos de ataque.
  8. Documenta todo el proceso, los puntos clave, los resultados obtenidos para volver a ellos más tarde o compartir estos datos con sus colegas;
  9. Estate atento a la parte social: se consciente de lo que ocurre con tus empleados, de a quién contratas y a quién das acceso a los recursos de información de la organización.
  10. Simplifica el proceso de análisis de grandes cantidades de datos. Para ello, utiliza herramientas que ayuden al analista a ver lo que ocurre en toda la red y en los nodos de la misma como una imagen unificada. Estas herramientas incluyen MISP, PT Network Attack Discovery y el MaxPatrol SIEM.

Listo para discutir sobre el tema de TH en los comentarios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda