LOS EXPERTOS OPINAN: Intercambio de información e indicadores de compromiso

Publicado el 24-05-2016      Notícia sobre: ISMS Forum Spain

 


Raimund Genes    
Chief Technology Officer para EMEA, Trend Micro.

 

Los malware se propagan y mutan a gran velocidad. Aunque las cifras varían significativamente de un estudio a otro, no hay ninguna duda sobre el hecho de que estamos actualmente ante una oleada masiva de ágiles amenazas. Eluden la detección y silenciosamente llegan hasta el núcleo de la infraestructura de TI. O simplemente extorsionan a las víctimas para que puedan recuperar el acceso a sus queridos datos privados.

Y uno podría decir que es solo el principio.  

Hay dos opciones para hacer frente a estas amenazas. Se puede creer en Santa Claus y verdaderamente confiar en una "bala de plata", 100% garantizada, una solución independiente; o bien decantarse por el slogan de “la unión hace la fuerza” y considerar un enfoque más global.

No hay necesidad de continuar leyendo si uno cree en la magia técnica o en los milagros. Se encontró la solución y solo podemos desear buena suerte al usuario.

En caso contrario, pensar un poco puede ser útil para vislumbrar el panorama general del problema.

Y en primer lugar, es necesario tener en cuenta que hay cuatro etapas en las operaciones de malware:

  • Exposición, que es el vector a través del cual el malware alcanza sus objetivos.
  • Infección, que podría ser considerada como la fase en la que la pieza maliciosa de código aterriza en el sistema.
  • Ejecución, o el funcionamiento del malware en el host atacado.
  • Limpieza, necesaria para cubrir y solventar el rastro de las etapas anteriores.

Este es el punto de partida de cualquier análisis fiable, ya que cada una de estas etapas deja huellas. Puede ser tan obvio como una campaña global de spam, un nombre de archivo común o una dirección URL a la que conectarse; o muy sutil, como un comportamiento muy específico en el sistema infectado, las conexiones de red encubiertas, o una sigilosa inyección en los programas legales. Pero en todos los casos hay pruebas de la actividad maliciosa; no existe el crimen perfecto en las TI. Los delincuentes dejan pistas. Algunos de ellos cambian de una iteración a otra, otros son comunes a una familia, versión o variante. Algunos son volátiles y se desvanecen rápidamente; otros permanecen. Pero siempre hay un eslabón más débil en la cadena de infección, y es aquí donde hay que golpear.

Por lo tanto, la única manera de ganar la batalla y de contener la amenaza en la puerta de la infraestructura es recoger, analizar y comparar las muestras de códigos para encontrar los puntos débiles del software malicioso. Y se encuentran. Hay millones de sensores y sondas en el mundo digital que circulan furtivamente alrededor, atrapando tipos de malware ampliamente difundido para contaminar a las masas; y hay herramientas de análisis específicas alojadas en las redes corporativas para localizar los ataques dirigidos. Con el tiempo se identifica el malware y su debilidad queda al descubierto.

Aquí es donde la inteligencia tiene sentido: la información debe ser compartida globalmente

Debe ser compartida entre los componentes de la infraestructura de seguridad de TI al completo. Deben comunicar de forma automática. Cualquier indicador de una nueva amenaza se debe difundir a través de la red a cualquier sistema capaz de detectar, alertar, bloquear o recuperar la infección. No debería haber más de un paciente cero, aislado del resto del mundo, y éste podría ser el peor de los casos.

Solo una condición necesaria y suficiente: un lenguaje común

Entonces necesitamos la voluntad compartida de todos los "jugadores" para un intercambio efectivo de las informaciones pertinentes. Y aquí es donde nos encontramos algunas barreras. En primer lugar, desde un punto de vista técnico. Que las soluciones sean complementarias implica que operan a escala diferente, con distinto propósito. Una interacción completa y automatizada sólo podría obtenerse si hubiera una visión de una infraestructura interconectada global, desde la etapa de diseño de cada componente. Cuando uno sabe lo difícil que puede ser tener diferentes soluciones de un mismo fabricante que se comuniquen sin problemas entre sí, contar con soluciones de diferentes proveedores compartiendo información de manera eficiente puede ser visto como uno de los mayores retos de la ingeniería. Sobre todo cuando se intenta preservar los secretos de mercado y el know-how exclusivo...

Pero esto es solo una piedra en el zapato

La seguridad es un proceso, esto no es nuevo. Entonces la comunicación y el funcionamiento de los sistemas de seguridad deben ajustarse al proceso de respuesta a incidentes de cada organización. Supongo que se podría decir que "debe" encajar. En efecto, en la parte superior del desafío técnico radica el reto más verdadero: el desafío humano. Por lo general, es más fácil que los ordenadores se comuniquen entre sí que los humanos. Y es más fácil definir un protocolo para interacciones automatizadas que definir un proceso común compartido, aceptado y uniformemente aplicado por una comunidad de seres humanos. Por lo tanto, es inútil forzar a la utilización de un proceso predefinido de ingeniería dirigido por la tecnología. Simplemente no encaja.

Entonces, ¿estamos atrapados? No

Tenemos que volver a las raíces y encontrar el mínimo común denominador por el cual podemos construir una infraestructura técnica abierta y unos procesos de respuesta a incidentes. Ahí entran los indicadores de compromiso (IoC): un conjunto mínimo de información que puede ser ampliamente utilizado para identificar las amenazas en cualquiera de las cuatro etapas de las operaciones de malware. Pero no solo eso. IoC también se puede utilizar para describir las intrusiones, las actividades después de la infección, las malas conductas relacionadas con la identidad y los abusos de las malas prácticas de los humanos. Es el elemento atómico utilizado para la descripción de los eventos relacionados con la seguridad.

El núcleo de IoC es la definición de indicadores precisos y específicos que son el resultado final de un análisis concreto realizado por los sistemas de seguridad. Puede ser un simple hash, un comportamiento específico, una conexión de red, un acceso a un recurso, un resultado de autentificación, una operación en el sistema, un acceso a una función, una dirección de correo electrónico... Cualquier cosa que haga posible identificar una amenaza, sin necesidad de revelar el funcionamiento interno de los procesos utilizados para obtener la información.

Y por encima de cualquier consideración, en la medida en que se trata de la representación a nivel atómico de la amenaza, IoC es único. Una pieza única de información para ser compartida y utilizada en cualquier nivel de la lucha contra los ciberataques, sean masivos o selectivos.

IoC ajusta los requisitos técnicos para operaciones automatizadas a cualquier nivel, desde la red al sistema, de la aplicación al usuario. Además, proporciona datos relevantes acerca de los sistemas en peligro y los impactos potenciales, para ser utilizados en cualquier proceso de respuesta a incidentes. Ese es otro punto clave. IoC es la base común tanto para operaciones humanas como automatizadas. La consistencia implícita aumenta la eficiencia global de prevención, el análisis forense y la respuesta a incidentes, así como las acciones policiales.

Sin embargo, hay una condición que requeriría un cambio de paradigma para muchos jugadores: una cooperación real, veraz y honesta. La competencia no es una cuestión de cuotas de mercado: los competidores reales son los hackers.

 

Global Gold Sponsor