Ya hablamos de los usuarios y las entidades, sin embargo podemos encontrar patrones en un puerto TCP, un host, una dirección IP e incluso tratar de buscar patrones dentro de las mismas alertas y eventos correlacionados. Resulta muy útil generar patrones mediante la agregación de alertas, es decir aquellas que se repiten muchas veces y que al ser limitadas por un “techo” definido por una cantidad manejable permiten analizar cambios en lo aceptable y habitual. Otro de los criterios aplicables es el de “rarity event” un evento que nunca había sucedido antes ejecutado por cualquier tipo de entidad. Otros patrones pueden definirse por aumentos o disminuciones sustanciales en la actividad incluso en períodos específicos de tiempo (fines de semana o durante la noche) con el fin de analizar ataques tipo low & slow.
En virtud de lo anterior, no debemos olvidar que todos los eventos traen información útil, todas las telemetrías incluyen campos que permiten añadir contexto, enriquecer y finalmente construir el modelamiento para el proceso de detección.
Respuesta orquestada, playbooks y automatización… ¿por dónde empezar? Primero revisar que se puede automatizar y que no. A partir de un incidente que supere un umbral de riesgo, puedo usar el SOAR para crear un checklist de actividades que me permitan optimizar el tiempo del tier 1 de la operación entregando un chequeo inicial altamente eficiente: revisar la IP Origen, determinar si el dominio o la IP está en una lista negra, revisar vulnerabilidades, escanear por medio del EDR, verificar nuevos scripts instalados en alguna máquina, verificar el usuario o cuenta afectada, revisar si el host o el usuario es de alto riesgo…hay varias tareas que se pueden automatizar sin que implique deshabilitar, bloquear o ser invasivo frente a un incidente, aquellas que a uno o varios analistas les puede tomar mucho tiempo y que en nuestro ejemplo se pueden completar en pocos segundos aportando información valiosa para el Tier 2 y 3 en la línea de operación. Estas tareas deben estar relacionadas con el modelamiento que defina para la operación.
Otra de las opciones es la de extender hacia el endpoint tareas que al ejecutarse no afecten la operación del negocio y no impliquen pérdidas para la organización: bloquear un puerto USB, aislar un usuario del directorio activo, revocar privilegios…Todo aquello que implique una acción orquestada debe ser analizado y planeado previamente, y como se menciona en la parte inicial de este capítulo, la revisión inicial de aquello que se puede incluir en el flujo de un playbook y que no, precisamente deja en entredicho que hay decisiones críticas que deben ser escaladas más allá del CISO porque precisamente en el caso de un incidente muy grave se debe poner en una balanza el costo de la respuesta versus el costo de la catástrofe. Lo anterior nos ayuda a concluir que tener opciones de respuesta automática y orquestada ayuda a ser más eficiente nuestra línea de operación, sin embargo esto debe ir acompañado por los analistas de los Tier de nivel superior y así mismo debe ser revisado y reformulado con regularidad, así mismo contribuir a un ciclo de mejora con información que permita entregar información valiosa para documentar posibles indicadores de compromiso, mejorar las tareas de threat hunting, y en definitiva sea cual sea el framework que se esté siguiendo, estar definitivamente alineados. En línea con lo anterior, parte de la respuesta también requiere lanzar un proceso de investigación y documentación del incidente, ¿qué tan profunda? Es algo que determina el proceso de detección y respuesta planteado por el grupo que está a cargo de la operación, y en este caso las herramientas de seguridad analítica proporcionan capacidades estadísticas y gráficas que permiten extender el análisis y entender mejor toda la historia y los pormenores detrás del evento. Se recomienda tener un acceso rápido a los eventos en línea y con marcas de tiempo de retención superiores a los 90 días, trabajar sobre datalake en lugar de la típica base de datos relacional ya que permiten ver la información y campos enriquecidos y los atributos así como establecer relaciones directas entre lo individual y lo colectivo en términos de lo que planteamos a lo largo de este blog cuando hacemos énfasis en la búsqueda basada en patrones de comportamiento.
Definir las tareas que cierran el ciclo… esto no implica que desaparezcan mágicamente los incidentes, ya que ciertas amenazas son como el polvo y los ácaros: nunca se van, siempre quedan unos pocos y en principio no son inofensivos pero en gran cantidad pueden ser nocivos, por eso convivimos con ellos. Precisamente esa labor de “limpieza” que necesitamos ejecutar, puede usar como información inicial aquello que encontramos en la operación, ya sea por la cacería de amenazas o por la investigación de un evento crítico, implica revisar las políticas de la organización ya sea para reformular o implementar nuevas, y esto último es una realidad en el ámbito corporativo ya que en muchas verticales parte de los problemas tienen origen en el cumplimiento y las políticas de la organización. Junto con lo anterior, cerrar la brecha implica frentes de acción relacionados con la operación de ciber, la operación de TI y las áreas de desarrollo y aquí de nuevo el trabajo unificado es clave para evitar las zonas grises, los privilegios no auditados y la oportunidad para que incidentes críticos tengan lugar.
About The Author
Javier Rodriguez, VP of LATAM Sales
Sales professional experienced in SIEM, UEBA & Security operations. Last 7 years focused in Next Gen SIEM projects in bank & finance, federal and MSSP. Passionate about Technology trends and how to provide added value to customers.
