Blog B-SECURE

Threat Hunting: la proactividad como tendencia

El Threat Hunting es un proceso en donde la proactividad es un factor definitivo y su componente práctico, al igual que la intuición y escucha del cazador de amenazas, se apoya en metodologías, herramientas y pruebas controladas de explotación, permitiendo encontrar de forma ágil y eficiente, información relacionada a una actividad maliciosa en el entorno de una organización.

seguridad-amenazas-threat-hunter

Si bien los controles tradicionales de gestión de amenazas son reactivos, dado que la detección se da una vez ha ocurrido un evento, son fuentes de información importantes de la telemetría necesaria para el trabajo del cazador de amenazas. Sin embargo, el enfoque proactivo que implica el proceso de Threat Hunting puede ser facilitado por las soluciones de ciberseguridad avanzadas, ejemplo de ello es el cambio de enfoque de endpoint protection a tecnologías EDRs o XDRs que ofrecen una telemetría global en tiempo real, y tecnologías de señuelos, Honeypots y Deception, que permiten enriquecer el escenario de cacería, llegando incluso a identificar posibles superficies de riesgo y exposición que enfrenta una organización, y obtener información directa de la actividad realizada por los posibles adversarios.

A continuación hablaremos de dos tecnologías de señuelos y su importancia para el proceso de cacería de amenazas.

Honeypots

Los Honeypots son sistemas de señuelo que permiten dirigir a los adversarios a un entorno controlado, diseñado especialmente para facilitar su interacción, así de esta manera, detectar y analizar sus intenciones, tomando relevancia para el proceso de cacería de amenazas todo rastro que se pueda generar para reconstruir la progresión y el contexto de un posible ataque, incluyendo el descubrimiento de debilidades.

Existen dos estrategias para implementar Honeypots de manera que nos permitan tener trazabilidad de la actividad de los adversarios: el ambiente sintético y los Honeytokens.

El ambiente sintético consiste en desplegar sobre un servidor una serie de servicios o aplicaciones que emulan servicios propios del entorno de la organización, por ejemplo, una VPN falsa, un servicio de RDP un protocolo Secure Shell (SSH), servidores web o FTP, que buscan la interacción directa del intruso.

Un Honeytoken es una información aparentemente valiosa para una organización, suelen ser palabras o registros falsos que se agregan a bases de datos legítimas. Los honeytokens pueden existir en muchas formas, desde una cuenta falsa hasta una entrada de base de datos que solo sería accesible mediante consultas maliciosas.

Lure-SimpsonAlgunos escenarios de posibles Honeytokens son:

  • Credenciales falsas inyectadas en memoria.
  • API Keys embebidas en scripts especialmente diseñados.
  • Información aparentemente sensible contenida en el LDAP.
  • Ficheros señuelo con información aparentemente crítica.
  • Falsos entornos de negocio tales como Tesorería o Pasarelas de Pago.
  • Dirección de correo electrónico falsa.

Definir de forma efectiva los servicios a implementar o los escenarios de Honeytokens, son factores clave para lograr la detección y anticipación esperada, a su vez obtener mayor visibilidad y precisión sobre los adversarios y sus acciones, dado que cada escenario se convierte en un potencial indicador de amenaza (IoA) a ser usado en el proceso de cacería de amenazas.

Tecnología de Deception

Esta tecnología es la evolución de los Honeypots hacia el engaño automatizado. Tiene como objetivo proporcionar una defensa activa mediante el uso de señuelos para atraer, detectar, defender, y contener.

Basa su enfoque en la escalabilidad, disponiendo de una mayor cobertura en el entorno de una organización. al lograr que cada host forme parte de la red de señuelos, aumentado así tanto la probabilidad de engañar a los adversarios con la información falsa revelada (usuarios, hosts, credenciales, rutas, entre otras), como la telemetría de cada una de las fases del ataque en proceso de ejecución. 

Deception-simpsonCuanta más capacidad se pueda otorgar a los señuelos, se obtiene mayor capacidad de identificar indicadores de amenazas (IoA) en la red, por ejemplo:

  • Detección del uso de aplicaciones para realizar ataques al directorio activo.
  • Desviar a los adversarios de su objetivo para permitir detectar y analizar sus intenciones.
  • Identificar rutas o credenciales que puedan facilitar un movimiento lateral.
  • Detección de actividades de reconocimiento sobre puertos o servicios no estándar.
  • Detección de robo de credenciales.
  • Revelar intentos de robo o uso de credenciales en tránsito.
  • Detección de actividad de Ransomware.

Este conjunto de actividades o comportamientos registrada por los señuelos, facilitan el proceso de threat hunting al tener una trazabilidad de las tácticas, técnicas y Procedimientos (TTP) usadas por los adversarios y al ubicar la posible fase del ataque de manera que se pueda reducir el volumen de datos a ser analizados y optimizar el proceso de investigación.

Consideraciones

Si bien el proceso de threat hunting depende tanto del componente activo como de la telemetría de la red de una organización, es claro que implementar tecnologías de señuelos como Honeypots y Deception permite aumentar la capacidad de detección de posibles amenazas, generar alertas tempranas sobre un ataque e identificar superficies de riesgo o exposición en una organización.

Si tenemos en cuenta que en promedio un atacante permanece 57 días en la red de una organización antes de que su actividad sea detectada (de acuerdo a News Center Microsoft Latinoamérica, diciembre de 2021), el análisis de la información generada por los señuelos podría reducir considerablemente este tiempo dada su interacción directa con el accionar de los adversarios, mejorando la postura de seguridad al reducir el riesgo de que los atacantes y su actividad maliciosa interrumpan, dañen o roben activos de la organización y brindando a los equipos de respuesta a incidentes y la organización, información suficiente para implementar los controles o mitigaciones respectivas.

Las tecnologías de señuelos se convierten en una parte importante de la estrategia integral de ciberseguridad de una organización, y aporta una serie de beneficios claves para en el proceso de threat hunting:

  • Extraer inteligencia dirigida para iniciar la cacería con la información
    correcta.
  • Reducción de la ventana de oportunidad para el adversario al detectarlo más rápidamente y aislarlo del entorno de producción.
  • Facilitar la búsqueda de amenazas en tiempo real de forma proactiva.
  • Aumentar la resiliencia de las redes y sistemas.
  • Mantener la integridad de la marca de una organización.