Blog

La necesidad de los IoCs y el Threat Hunting

El Arte de la guerra de Sun Tzu es uno de mis libros favoritos, lo he leído multitud de veces y regalado otras tantas. Sus enseñanzas son increíblemente valiosas a día de hoy, y a mi juicio, especialmente si cabalgas los campos de la ciberseguridad. 

 

Una edición comenzaba con el siguiente cuento, para ilustrar el pensamiento de Sun Tzu:

Un señor de la antigua China preguntó una vez a su médico, miembro de una familia de curanderos cuyo apellido era sinónimo de excelencia médica en China, que cuál de sus hermanos era el más hábil en ese arte.

El conocido curandero respondió:  

"Mi hermano mayor ve el espíritu de la enfermedad y lo elimina antes de que tome forma, así que su nombre no sale de casa.”

"Mi hermano mediano cura la enfermedad cuando aún es extremadamente diminuta, por lo que su nombre sólo se difunde por su barrio".

Yo pincho venas, prescribo pociones y raspo la piel, así que de vez en cuando, mi nombre sale a la luz y se oye entre los señores".

En este post vamos a hablar del arte de cómo detectar infecciones/intrusiones/incidentes antes de que estos “tomen forma”, aunque si os convertís en practicantes de esta disciplina, vuestro nombre no saldrá de vuestro SOC. :)

 

Qué es un IoC

Un Indicador de Compromiso (IoC) es una pista que sugiere una posible violación de seguridad o un posible ciberataque (en este caso se les llama IoAs) en una organización. Los profesionales de la ciberseguridad usamos los IoC para identificar, comprender y responder de manera temprana a amenazas, tales como el acceso indebido a datos y posibles compromisos del sistema, antes de que estas amenazas se materialicen en un incidente.

 

Los IoC se nos presentan en diversas formas, como archivos con código malicioso oculto, direcciones IP y dominios con baja reputación, patrones de tráfico anormales, usuarios haciendo cosas raras, o claves de registro que lanzan procesos que nadie conoce ni tiene por qué. La búsqueda proactiva de estos IoCs nos ayudan a detectar y mitigar las amenazas en una fase temprana, lo que hace que el impacto del incidente se reduzca muchísimo o incluso ni se llegue a producir.

 

¿Por qué hay que buscar IoCs?

Los ciberdelincuentes ya no son frikis virgueros en búsqueda de notoriedad y algo de pasta. Hoy más bien son corporaciones clandestinas, muy bien estructuradas y financiadas, muchas veces por gobiernos, conocidas como Advanced Persistent Threats (APT), que buscan beneficios económicos (o políticos) fundamentalmente robando y/o extorsionando desde grandes a, cada vez más, pequeñas y medianas empresas. En esta categoría son famosos, por ejemplo, los chinos Double Dragon a.k.a. APT41 o Wicked Panda, o los rusos Fancy Bear a.k.a. APT28 ó Forest Blizzard.

Estos APT se toman su tiempo en realizar su trabajo maligno y lo hacen muy bien. Una vez que consiguen acceso a un sistema, su objetivo es quedarse un tiempo recopilando y exfiltrando información, para que cuando actúen la víctima tenga pocas o nulas posibilidades de responder y defenderse. Como diría cualquier mafioso que se precie, “lo más importante es no hacerse notar”. Si veis la peli “Uno de los nuestros” entenderéis el concepto.

Para lograr esto, normalmente vuelan bajo y son tan silenciosos que se vuelven prácticamente  indetectables para casi cualquier herramienta, incluidos los antimalware más avanzados.

Threat Hunting 

En 2014 Price Waterhouse & Cooper (PwC) hizo público un informe interno titulado “Asumiendo un estado de compromiso”. En él, aparte de defender y razonar la teoría de que la mayoría de empresas en el mundo estaban infectadas pero no lo sabían, defendía que, en vez de asumir que siempre estamos limpios y seguros, habría asumir que estamos infectados (comprometidos), y tendríamos que demostrar de manera proactiva que no lo estamos.

En ese momento nació la práctica de la caza proactiva de amenazas a.k.a. Threat Hunting. 

El threat hunting es una práctica proactiva que implica buscar activamente y detectar posibles amenazas y brechas de seguridad dentro de una red y parque informático, antes de que causen un incidente, y por consiguiente perjuicio económico. 

Hay varias aproximaciones sobre cómo hacer esta caza proactiva de amenazas pero la más usada es a través de la búsqueda de IoCs y sus investigaciones subsiguientes. 

Humanos contra Humanos

El threat hunting es un deporte de humanos atacantes contra humanos defensores. Más concretamente, de humanos atacantes pertrechados hasta las cejas con herramientas de IA, contra humanos defensores que deberían manejar herramientas del mismo calibre para poder detectar y contener a los atacantes. 

Vamos a ser claros aquí. Actualmente ninguna herramienta (antimalware/EDR/XDR) defiende de manera efectiva por sí sola, por muy cara, sofisticada, avanzada y bien configurada que esté

El factor humano es necesario para garantizar que estamos limpios. Asistidos por IA, por supuesto, pero los humanos siguen ganando a las máquinas de largo en tareas analíticas si se resumen los datos, y la IA nos gana resumiendo grandes cantidades de datos, así que tenemos que trabajar juntos. Nuestros adversarios lo hacen..

GrayHats

En GrayHats somos especialistas en threat hunting y detección temprana de  APTs, y lo ofrecemos a través de nuestros servicios ciberdefensa y protección. 

Si estás comprometido con la ciberseguridad de tu empresa, y estás interesado en incluir esta práctica en tu portfolio de defensa, pregúntanos por aquí o en info (at) grayhats.com.

Gracias por leernos.

Javier Jiménez

Hacemos crecer a nuestros clientes mediante a la seguridad
More info