Los ataques sin malware llevan meses ganando protagonismo en el panorama global de la ciberseguridad, posicionándose como una de las principales predicciones elaboradas por PandaLabs para 2019.
En este tipo de operaciones, el atacante asume la identidad del administrador, después de haber conseguido de una forma u otra sus credenciales de red y a todos los efectos para un observador externo, aparenta ser el administrador de la red realizando su trabajo diario.
Al no utilizar malware de ningún tipo, los sistemas de seguridad deben ser capaces de distinguir un ataque de este tipo basándose en el comportamiento exhibido por los usuarios de la red corporativa. Las tecnologías capaces de realizar estas labores se engloban dentro del concepto de Threat Hunting.
Menos infecciones por malware y aumento del Hacking en vivo
En 2016 se vieron un 40% menos de infecciones que en 2015, y la mejora en 2017 fue significativa, siendo de un 70% menos. En 2018, las infecciones reportadas por malware tienden a cero. Por lo tanto, el problema del malware de reduce, y el nuevo problema se traslada a la profesionalización de los cibercriminales.
Hay docenas de miles de hackers, que son entrenados por gobiernos, empresas de seguridad y organizaciones criminales. Llevan a cabo ataques dirigidos con malware propietario e incluso utilizan aplicaciones legítimas y goodware para no ser detectados. Todo esto requiere de una respuesta equivalente para salvaguardar las redes.
Tras argumentar por qué es necesario el Threat Hunting y ver cómo es el proceso de la caza proactiva de amenazas, vamos a analizar a continuación los desafías que supone llevarlo a cabo, y las ventajas intrínsecas para nuestra empresa.
Los desafíos del Threat Hunting
El principal desafío que impide que los equipos de IT realicen el Threat Hunting es el tiempo. Por desgracia, muchas veces los equipos de IT son muy reducidos y es probable que seas administrador IT, técnico y CISO a la vez. Lo que significa que es probable que no dispongas del tiempo necesario para realizar estas tareas.
Se requiere de este factor para buscar amenazas, para recoger datos y crear hipótesis válidas. Es más, para investigar los indicadores de ataque – IOAs y IOCs – y los patrones de ataque. Por lo tanto, el tiempo es clave.
Las plataformas de Threat Hunting deben ser capaces, entre otras cosas, de monitorizar el comportamiento de los equipos, las aplicaciones que se ejecutan en los mismos y sobre todo de los usuarios de la red. Técnicamente, el proceso de Threat Hunting se fundamenta en un inmenso almacén de datos con todo el comportamiento de las entidades monitorizadas actualizado en tiempo real a medida que suceden los nuevos eventos.
Sobre este lago de información, la plataforma debe ofrecer la capacidad de exploración libre sobre los hechos para encontrar nuevas hipótesis de ataque. En ese momento los sistemas de machine learning priorizarán los potenciales incidentes que, una vez detonados, deberán ser analizados en detalle mediante herramientas de análisis forense remotas integradas en la plataforma.
Y estos requisitos, pensando que el factor humano es clave para completar el proceso de automatizació, son otro desafío: contratar a expertos cualificados puede ser un proceso difícil y costoso, y construir u operar las herramientas es otro coste importante, que muchos departamentos de IT no pueden asumir.
Si no dispones del tiempo, los recursos o el conocimiento, ¿cómo beneficiarse del Threat Hunting?
La respuesta es contar con un servicio gestionado, como es Panda Threat Hunting & Investigation Service. Nuestro equipo de expertos analistas identifican atacantes que estén usando formas y mecanismos completamente nuevos para ejecutar sus ataques. El objetivo de este servicio es detectar ataques para los cuales no hay IOC (Indicadores de Compromiso) o IOA (Indicadores de Ataque) conocidos, por lo que esta no es una tarea de correlación simple en un SIEM; se trata de descubrir y crear nuevos indicadores de ataque.
De hecho, estamos buscando hackers, en vivo, que se hacen pasar por administradores de sistemas, sin utilizar malware, sin herramientas personalizadas (que serían muy fáciles de identificar para nosotros), sino herramientas administrativas, scripts, PowerShells, etc. Y también empleados malintencionados o usuarios descuidados que intenten dañar a la empresa, intenten robar información o causar algún deterioro.
Por todo esto, estamos aprovechando los perfiles de identidad y nuestro plan es incluir también la identidad del usuario y el control de datos en la ecuación. Porque no deben existir excusas para proteger lo más preciado: el endpoint, con un servicio gestionado y desatendido de Threat Hunting.