Blog B-SECURE

Desafíos y estrategias para realizar cloud threat hunting

por Mario Alba - Analista de Investigación, el 02-nov-2021 2:28:00

El Threat Hunting se ha convertido en una tendencia cada vez más habitual en organizaciones con altos niveles de madurez en ciberseguridad, y consiste en una práctica llevada a cabo de forma proactiva en la cual se busca identificar comportamientos anormales en la red a través del análisis de amenazas avanzadas que suelen tener capacidades de evasión de controles de seguridad con una detección baja o nula en algunos casos.

Si bien, hoy tenemos herramientas capaces de detectar anomalías apoyadas en métodos estadísticos complejos, Machine Learning e Inteligencia Artificial (IA), el Threat Hunting tiene como eje principal el análisis que puede llevar a cabo el analista o investigador que se encuentre a cargo de la campaña y su capacidad para detectar comportamientos de forma proactiva que una herramienta no podría.

Los diferentes procesos de transformación digital llevados a cabo en la actualidad, así como todas las ventajas y beneficios que ofrecen los servicios en nube han generado un crecimiento enorme en su consumo, sin embargo, aún sigue siendo baja la adopción de prácticas de seguridad en nube suficientes para detectar intrusiones y exfiltración de datos en este tipo de tecnologías. A continuación, se presentan algunos de los principales desafíos que enfrenta un Centro de operaciones de Ciberseguridad (CSOC) cuando busca adaptar cada una de las fases del ciclo de Threat Hunting a la nube, así como algunas estrategias propuestas.

El proceso de Threat Hunting inicia con una hipótesis o suposición de que ya se ejecutó algún tipo de actividad maliciosa en la red y que el atacante ya ha logrado acceder a los sistemas, es allí, donde aparece el primer desafío en la nube. Hemos visto un esfuerzo enorme por parte de MITRE ATT&CK para adaptar su marco de ataques a las tecnologías de nube, sin embargo, la documentación de campañas de ataques y actores es muy poca, en comparación con las infraestructuras On-Premise.

Al revisar la matriz de MITRE ATT&CK de amenazas en Cloud, se observan las diferentes variaciones en las técnicas de ataque usadas para AZURE AD, Office 365, Google Workspace, SaaS, IaaS, entre otras. Sin embargo, se observa que el común denominador para las diferentes plataformas, en las fases de Acceso inicial, persistencia y escalamiento de privilegios continúa siendo el uso de cuentas válidas. Es importante tener en cuenta varios factores que han generado estos patrones de ataque, entre ellos el uso de servicios en nube sin las medidas adecuadas de seguridad facilita la exposición de servicios vulnerables, múltiples exfiltraciones masivas de información que llevan a cabo grupos de ciberdelincuencia y que hacen públicos en muchas ocasiones, la generación de ataques de fuerza bruta con diccionarios de contraseñas comunes en plataformas de autenticación en nube y como hemos evidenciado en el grupo de investigación de B-SECURE, existe una tendencia cada vez más marcada en diferentes variantes de Malware tipo Ransomware y Troyanos que roban las credenciales almacenadas en navegadores como Chrome y Firefox; que, en conjunto, facilitan el uso de credenciales válidas como punto de acceso inicial a la infraestructura de nube.

En el Año 2017 se publicaron múltiples artículos los cuales describían como el grupo de ciber espionaje chino APT-10 llevó a cabo la operación Cloud Hopper. La operación inició a través de correos de Phishing dirigidos, con los que el grupo logro tener acceso a las redes de diferentes proveedores de servicio, usando su infraestructura y credenciales legítimas robadas, lograron tener acceso a las redes e infraestructuras de sus clientes. Resulta conveniente considerar escenarios de este tipo cuando se trata de plantear los supuestos; con el fin de realizar investigaciones de Threat Hunting en nube, en las cuales, se considere que hubo una fase previa dentro del ciclo de vida del ataque.

Posterior se desarrolla la fase de investigación, que consiste en el uso de técnicas y herramientas para el análisis de información relacionada con la hipótesis. El principal desafío de esta fase es que voy a tener diferentes herramientas para desarrollar la investigación, dependiendo del tipo de servicio de nube.

“A título personal, considero que la fase de investigación debe abordarse de la misma forma en la cual se podrían clasificar los servicios de nube, teniendo en cuenta, que la infraestructura de cada proveedor es diferente, así como su telemetría y detalle en los Metadatos de los logs”.

Ahora bien, tenemos diferentes tipos de servicios de nube que debemos detallar en su contexto para entender como debemos fortalecer la investigación de nuevas tendencias y amenazas. Dentro de ellas encontramos:

  • Los servicios de tipo IAAS (Infraestructura como servicio) se pueden abordar, en su gran mayoría, siguiendo la misma estrategia utilizada en plataformas On-premise, desde B-SECURE recomendamos realizar la investigación con un enfoque “híbrido” entre herramientas de Endpoint de tipo EDR (Endpoint Detection and Response) y/o EDN (Endpoint Detection Net) que brindan una buena cantidad de eventos basados en firmas, en conjunto con los eventos de seguridad generados por comportamiento y llaves de registro del servidor y/o las estaciones de trabajo.

  • Los servicios de tipo PAAS (Plataforma como servicio) suelen requerir de herramientas adicionales que permitan obtener mayor visibilidad del entorno, del comportamiento de las aplicaciones y están sujetos a las capacidades de estas herramientas para integrarse a los SIEM (Security Information and Event Management) y/o conectores intermedios que permitan centralizar los logs de estos servicios. (Cabe resaltar que estas herramientas por lo general no son presupuestadas por las organizaciones.)

  • Los servicios de tipo SAAS (Software como servicio), al igual que los servicios PAAS requieren del uso de herramientas especializadas. Por ejemplo, herramientas CASB son un muy buen complemento a los logs que generan las propias herramientas y en conjunto entregan una muy buena cantidad de información. En este caso, cobran relevancia en especial las anomalías de comportamiento de usuarios.

Cabe destacar que por parte de los fabricantes de SIEM (Security Information and Event Management) se ha hecho un esfuerzo por integrar herramientas de seguridad, monitoreo e infraestructura de nube de forma más sencilla y nativa posible. Sin embargo, como se mencionó antes, es muy probable que el actor que intente realizar un ataque sobre este tipo de infraestructuras ya tenga una cuenta válida de la organización que está atacando, por lo que las técnicas de investigación que involucren análisis estadísticos y la utilización de líneas base para la identificación de anomalías son más efectivas.

El descubrimiento es la fase en la cual el investigador, apoyado con técnicas manuales, analítica y herramientas, descarta o confirma la hipótesis identificando y analizando además nuevos patrones de ataque, tácticas y técnicas utilizadas. El desafío principal consiste en determinar si el ataque pudo provenir de una fuga de información y/o de una fase previa que pudo llevarse a cabo en la infraestructura On-Premise, por lo cual, el analista de Threat Hunting debe tener el criterio para iniciar un proceso de investigación forense al interior de la entidad que relacione sus hallazgos, así como un proceso de investigación desde RedTeam con técnicas como OSINT para verificar si hay una cuenta de usuario comprometida.

La fase final del proceso de Threat Hunting es la de Informar y Enriquecer, en la que el analista registra sus hallazgos, identifica patrones o indicadores recurrentes y mejora sus mecanismos de detección y controles de seguridad. Esta fase presenta varios desafíos, ya que dependiendo de los hallazgos puede ser necesarios ajustes de configuraciones por defecto, aplicación de controles adicionales, mayor granularidad en los accesos desde y hacia infraestructura de nube, aplicación de líneas base y aseguramiento de la infraestructura de nube, alertamiento de anomalías geográficas relacionadas con autenticaciones de usuarios, instalación de aplicaciones de seguridad en entornos de nube, adquisición de herramientas de seguridad, entre otros.

Para finalizar, resulta muy importante que como Threat Hunters “Cazadores de Amenazas” nunca perdamos el sentido de comunidad y compartamos información relevante que pueda contribuir a mejorar el conocimiento relacionado con superficies de ataque, amenazas de las plataformas en nube y no perder de vista que las actividades de un Centro de Operaciones de Ciberseguridad (CSOC) en ecosistemas híbridos, también deben tener en cuenta las amenazas en Cloud.

 

Referencias:

https://www.rsaconference.com/library/presentation/usa/2020/cloud-threat-hunting-3

https://www.threathunting.net/files/hunt-evil-practical-guide-threat-hunting.pdf

https://www.welivesecurity.com/la-es/2021/08/24/threat-hunting-que-es-practica-detectar-amenazas-ocultas-la-red/

https://www.zdnet.com/article/dhs-aware-of-ongoing-apt-attacks-on-cloud-service-providers/

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf

https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/operation-cloud-hopper-what-you-need-to-know

Suscríbase al boletín y reciba en su correo nuestras entradas de blog, información de interés de la industria, consejos de seguridad, invitaciones a eventos y diferentes herramientas.

Entradas recientes

Entradas por tema

Ver todos

Archivo

Ver todos

CONTACTO

Portal de Servicio

Trabaje con nosotros

PQR

 

 

LOGO 27001  LOGO SGS 16

Logo First

 

Suscríbase al Boletín

RECURSOS

Blog

NOSOTROS

¿Quiénes somos?

Socios de negocio

Sistemas de Gestión

Política de Datos Personales

Síganos en nuestras redes sociales

B-SECURE © 2022. Todos los derechos reservados. B-SECURE es una marca de Softweb Asesores S.A.S.