EL ENRIQUECIMIENTO DE LA INTELIGENCIA
RESUMEN
A causa del coste millonario que provocan los incidentes de seguridad, la gran mayoría de las compañías tienen a la seguridad informática como una de sus principales preocupaciones.
No obstante, los dispositivos de seguridad como plataformas de monitorización como los SIEM (acrónimo en inglés, Security Information Event Manager), alimentados por plataformas de inteligencia de amenazas o TIP[1] (acrónimo en inglés de Threat Intelligence Platform), protegen a estas organizaciones. Uno de los problemas operativosLos indicadores de compromiso compartidos en las investigaciones provistas de las TIP, no se encuentran contextualizados y enriquecidos para su aprovechamiento por los analistas de ciberseguridad.
A lo largo de esta publicación, se comentarán métodos de enriquecimiento de indicadores de compromiso, algunos de ellos automatizados, herramientas que pueden usarse para dicha tarea y tipos de productos de inteligencia que pueden generarse gracias a este enriquecimiento.
Palabras clave: threat intelligence, enriquecimiento, indicadores, compromiso, pirámide, dolor
¿QUÉ ES UN INDICADOR DE COMPROMISO?
Este es un término que lleva desarrollándose desde principios de los 2000, resaltando una de las primeras apariciones en el año 2003, cuando se mencionó en determinadas publicaciones de Respuesta ante Incidentes como Incident Response & Computer Forensics, 2nd Edition en la página 280 (ISBN-10: 9780072226966).
En uno de los casos reales, explicados en este libro, comentaban como tuvieron que obtener datos de múltiples dispositivos (Windows 2000 y Windows XP) para recopilar datos con los que identificar la cantidad de máquinas comprometidas en unas instalaciones médicas, que disponían de 7 oficinas satélites a lo largo de un estado. Entrenaron al departamento de IT para que realizaran adquisiciones en vivo, empleando cryptcat [2] para poder leer y escribir datos a través de conexiones de red, cifrando los datos que están siendo transmitidos con Twofish.
Tras la obtención de datos, separaron los “indicadores de ataque”, identificando que tenían que definir la siguiente información en cada fichero:
- La ruta completa de cada fichero.
- El tiempo de modificación de cada fichero.
- El tiempo de creación de cada fichero.
- El tiempo de último acceso de cada fichero.
- El tamaño de cada fichero.
Años más tarde, en el 2010, se publicó en el blog de Mandiant una entrada titulada Combat the APT by Sharing Indicators of Compromise [3] (en español, Combate a las APT al compartir Indicadores de Compromiso), en la que se proveía un concepto más moderno de indicadores de compromiso añadiendo más aspectos a este tipo de artefactos como el uso de hashes MD5, nombres de fichero, claves de Registro, nombres de servicios maliciosos, entre otros. Desde entonces, la comunidad de seguridad ha debatido ampliamente como formatearlos, consumirlos y procesarlos.
EL CICLO DE VIDA DE LOS INDICADORES DE COMPROMISO
Uno de los problemas identificados durante el tratamiento de los indicadores de compromiso (en adelante mencionado como IoC), era la cantidad de tiempo que incluir este artefacto en los sistemas de protección y detección permitía adquirir una defensa que se mantuviera activa. Un cibercriminal puede adquirir un VPS (acrónimo en inglés, Virtual Private Server) en el que obtiene una dirección IP con la que distribuye malware y luego la desecha.
Al identificar un umbral de esperanza de vida del IoC, bajaba su categorización como amenaza y se archivaba para que se pudiera buscar en futuras investigaciones.
El investigador conocido como xorl, también conocido como Anastasios Pingios, publicó en 2017 [4] un método propuesto de enriquecimiento de indicadores de compromiso que les permitiera adquirir el mayor contexto posible, antes de que fueran archivados.
OTROS TIPOS DE INDICADORES
Así como se puede entender que cualquier indicador es una pieza de información que describe una intrusión, éstos pueden descomponerse en tres categorías [5].
- Indicadores atómicos: Hacen referencia a indicadores que no se pueden descomponer en partes más pequeñas y que mantengan su significado en el contexto de una intrusión. Múltiples ejemplos de ello serían direcciones IP, nombres de dominio o identificadores de vulnerabilidades.
- Indicadores computacionales: Son aquellos derivados de los datos involucrados en un incidente. Un ejemplo serían los valores hash.
- Indicadores de comportamiento: Son colecciones de indicadores atómicos y computacionales, a menudo sujetos a calificación por cantidad y lógica combinatoria. Un ejemplo sería un hecho como el que “el atacante ha descargado malware de segunda etapa, con un hash determinado, desde una dirección IP controlada”
MÉTODOS DE ENRIQUECIMIENTO DE INDICADORES DE COMPROMISO
Así como existen métodos de enriquecimiento que solo comprenden las dos primeras categorías, enriqueciendo direcciones IP, URLs y hashes en función de ejecuciones de malware o registros WHOIS, existen otros métodos de enriquecimiento más sofisticados que implican a los indicadores de comportamiento.
Cada indicador de compromiso puede categorizarse dependiendo de la fase en la que se encuentra como, por ejemplo, usando las tácticas de la enciclopedia de TTPs de MITRE. La versión actual en la que se encuentra este framework [6], incluye las siguientes tácticas que adoptan algunas fases de la Cyber Kill Chain:
- Reconocimiento
- Desarrollo de recursos
- Acceso inicial
- Ejecución
- Persistencia
- Escalada de privilegios
- Evasión de las defensas
- Acceso a credenciales
- Descubrimiento
- Movimiento lateral
- Recolección
- Comando y Control
- Exfiltración
- Impacto
Mediante este tipo de enriquecimiento, en el que se asigna una táctica a la aparición de cada indicador en cada fase, se puede recopilar información contextualizada sobre el tipo de variantes de artefactos maliciosos que se están empleando para atacar a las organizaciones, así como centrar esfuerzos en la fase que obtiene el compromiso y pueda trasladarse dichos riesgos a las fases más tempranas o menos peligrosas.
Otro método que se puede aplicar para realizar enriquecimientos en funciones de los indicadores obtenidos, puede realizarse mediante la metodología de las Joyas de la Corona. Este modelo de análisis es un proceso de identificación de los activos más críticos para una organización (si se dispone de dicha información), que puedan suponer objetivos atractivos para un posible atacante. Este modelo se basa en las siguientes preguntas:
- ¿Qué es lo más importante?
- ¿Cuáles son los riesgos?
- ¿Cómo mitigar los riesgos?
Estas tres preguntas nos permiten establecer prioridades (Joyas de la Corona), identificando sus dependencias de otros elementos y evaluar un posible impacto, así como analizar la susceptibilidad de las amenazas cibernéticas a atacar dichos activos o que se valore la capacidad de mitigación, en caso de afectación a la infraestructura de telecomunicaciones.
Para este tipo de metodología, se podrían obtener una cantidad de indicadores que pudieran afectar a la infraestructura de la organización, pudiendo brindar a los indicadores con un puntaje de susceptibilidad asociado a una tecnología.
Así como existen metodologías de inteligencia, adoptadas del mundo militar, existen algoritmos que se pueden aplicar al enriquecimiento y procesamiento de la inteligencia.
PLATAFORMAS EMPLEADAS PARA EL ENRIQUECIMIENTO
Existen integraciones de herramientas open source, que permiten el trabajo de estas tareas, como MISP (acrónimo en inglés, Malware Information Sharing Platform) y Cuckoo, conocida sandbox que es altamente configurable con diferentes módulos [7]. Estas dos plataformas ya disponen de módulos desarrollados para encajar con su contraparte, así el despliegue resulta más sencillo.
En la siguiente imagen, se puede identificar un diagrama de un laboratorio de enriquecimiento, que en este caso dispone de unas instancias de honeypots para obtener muestras, pero estas muestras pueden ser obtenidas de manera manual debido a peticiones o en función de tendencias que puedan afectar a la organización, en función de criterios como geografía o sector.
Diagrama de laboratorio usando Cuckoo y MISP. Fuente: /dev/random
Mediante el uso de las capacidades de correlación de MISP, podemos asociar taxonomías personalizadas con la metodología que hayamos identificado.
Otras de las propuestas de dispositivos de seguridad involucrados es el empleo de SOAR (acrónimo en inglés, Security Orchestration, Automation and Response), un método automatizado de distribución de contexto y que actualiza a los dispositivos o interesados en tiempo real, asegurándose de que la información se mantiene lo más relevante posible. Esto se realiza empleando un SIEM y un SOAR, en el que se siguen los siguientes pasos:
- Fase de enriquecimiento: Contextualiza alertas obtenidas desde el SIEM y que se enriquecen en el SOAR, con la mayor cantidad de fuentes de datos externas, simplificando flujos de trabajo y asegurando que los huecos de detección se cierran.
- Fase de correlación: Identifica correlaciones entre la actividad interna de logs, riesgos externos e inteligencia de amenazas para poder iniciar playbooks, así enriqueciendo la alerta mediante llamadas a la API de diferentes herramientas.
- Fase de monitorización: Debido a la monitorización de inteligencia de fuentes abiertas, se provee el contexto en los IoC.
- Fase de threat hunting: La lógica de decisión de los Playbook del SOAR, se emplean se realiza una búsqueda proactiva e iterativa de los artefactos enriquecidos para poder identificar posibles compromisos.
PRODUCTOS GENERADOS MEDIANTE EL ENRIQUECIMIENTO
Algunos de los productos de inteligencia que se pueden generar, son los siguientes:
- Informes de amenazas
- Informe de valoración de riesgos
- Monográficos
- Generación de escenarios para ejercicios de red-team
- Generación de hipótesis para actividades de threat hunting
CONCLUSIÓN
Incorporar el enriquecimiento de inteligencia en las organizaciones permite la anticipación de las amenazas que apunten a las entidades, con una mejor visibilidad y un aumento del rendimiento en las acciones de Respuesta ante Incidentes.
Los indicadores de compromiso enriquecidos proveen de una perspectiva sobre datos asociados a intrusiones, que de otra forma se dispersaría en el océano de información.
Silvia Hernández Sánchez
Threat Hunting & OSINT Specialist en Viewnext
BIBLIOGRAFÍA
[1] Kurt Baker, What is a Threat Intelligence Platform, 2021: https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/threat-intelligence-platforms/
[2] Kali Organization, cryptcat, 2021: https://www.kali.org/tools/cryptcat/
[3] Matt Frazier, Combat the APT by Sharing Indicators of Compromise, 2022: https://www.fireeye.com/blog/threat-research/2010/01/combat-apt-sharing-indicators-compromise.html
[4] Anastasios Pingios, IOC Lifecycle & Enrichment, 2017: https://xorl.wordpress.com/2017/11/28/ioc-lifecycle-enrichment/
[5] Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, Ph.D, Lockheed Martin Corporation, Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, 2014: https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf
[6] MITRE ATT&CK, Enterprise tactics, 2022: https://attack.mitre.org/tactics/enterprise/
[7] Tux Panik, Quick Integration of MISP and Cuckoo, 2017: https://blog.rootshell.be/2017/01/25/quick-integration-misp-cuckoo/