Herramientas de seguridad automatizadas son invaluables para gestionar la gran cantidad de alertas generadas en las redes modernas, pero existe el riesgo de que conduzcan a la complacencia. Los servicios de seguridad pueden sentirse tentados a dejar que estas herramientas se encarguen de todo, lo que puede llevar a perder oportunidades de detectar ataques sofisticados.
Es vital que los socorristas no se vuelvan dependientes de estas herramientas; también deben asegurarse de cultivar una mentalidad del atacante y actuar en consecuencia.
El poder del equipo rojo
En el mundo de la seguridad cibernética, el equipo rojo es un ejercicio esencial que enfrenta a un grupo de hackers éticos (el equipo rojo) contra el equipo de seguridad de una empresa (el equipo azul) en un entorno controlado. Este método prueba la efectividad de la postura de seguridad de una empresa simulando un escenario de ataque que imita las tácticas, técnicas y procedimientos (TTP) de adversarios de la vida real. En Cyberis, mis colegas y yo participamos en estas simulaciones para desafiar y mejorar las estrategias defensivas de nuestros clientes.
Los ejercicios del equipo rojo ofrecen varios beneficios. Principalmente, ayudan a las organizaciones a identificar debilidades en sus capacidades de detección y en los métodos que utilizan los respondedores para contener las infracciones y resolver incidentes. Durante el análisis posterior al ejercicio, a menudo discutimos con el equipo azul dónde se podrían haber mejorado sus respuestas. Es posible que nuestras acciones hayan desencadenado una alerta, pero se hizo caso omiso o no se intensificó adecuadamente debido a la suposición de que los controles de seguridad ya habían mitigado la amenaza.
a principios etapas de un ataqueespecíficamente durante los intentos iniciales de violar las defensas de un objetivo, es común que las alertas de los sistemas de detección y respuesta de puntos finales (EDR) no se investiguen adecuadamente.
Por ejemplo, si intentamos enviar una carga útil maliciosa por correo electrónico, web o directamente a una estación de trabajo y los sistemas de seguridad marcan y bloquean esta carga útil, es posible que la alerta que sigue no se examine más a fondo. La suposición predominante es que, dado que el control de seguridad bloqueó la amenaza, no es necesaria ninguna otra acción. Sin embargo, un análisis más profundo de la carga útil bloqueada podría revelar detalles importantes sobre las técnicas de ataque y la infraestructura utilizada, como los dominios involucrados en el ataque.
El desafío de los altos volúmenes de alertas de seguridad
El desafío surge por el volumen de alertas que reciben los equipos de seguridad; Investigar cada correo electrónico de phishing o cada alerta es prácticamente imposible. Esta limitación suele favorecer al equipo rojo en las etapas iniciales de un ataque, permitiéndonos pasar desapercibidos mientras intentamos afianzarnos en el entorno objetivo.
Una vez dentro, al intentar movernos lateralmente por la red, distintos controles podrían hacernos tropezar. Por ejemplo, podríamos acceder a un servidor desde un punto final inusual o intentar utilizar credenciales que resultan no válidas. Tales acciones podrían desencadenar más alertas dentro de un Detección y respuesta extendidas (XDR) sistema. En ocasiones, nuestras acciones pueden incluso desencadenar un evento de bloqueo de un producto antivirus.
Sin embargo, depender de sistemas automatizados para resolver estas alertas a veces puede ser un arma de doble filo.
Por ejemplo, durante una simulación, cargamos un documento troyanizado en un servidor, que fue detectado automáticamente como malware y eliminado, con una alerta enviada al equipo de seguridad. Cuando subimos una versión modificada de la carga útil que pasó por alto los mecanismos de detección, pasó porque la alerta inicial se había cerrado después de la eliminación automática del primer documento. La segunda carga exitosa no generó ninguna alarma, lo que demuestra una brecha crítica en el proceso de seguridad.
Los sistemas automatizados no siempre piensan como atacantes
La cuestión fundamental es que los sistemas automatizados (y los intervinientes que los operan) no siempre piensan como atacantes. Si un documento se marca y se elimina, la amenaza no necesariamente se neutraliza. La amenaza no es el documento; es el adversario detrás de esto, quien no se detiene después de un intento fallido y, a menudo, continúa adaptando sus tácticas hasta tener éxito.
Hemos observado escenarios en los que actividades como la creación de nuevos usuarios en grupos confidenciales como administradores de dominio no lograron generar sospechas suficientes. Por ejemplo, en una prueba, agregamos un usuario al grupo de administradores de dominio, esperando que generara una respuesta inmediata. Sin embargo, la alerta generada se descartó porque la cuenta utilizada para crear el nuevo usuario era en sí misma un administrador de dominio autorizado. El interviniente que manejó la alerta asumió que la actividad era legítima y cerró la alerta sin realizar más investigaciones.
Esto apunta a una brecha crítica en entrenamiento de seguridad: la capacidad de pensar como un atacante. Una respuesta de seguridad eficaz requiere no sólo comprender lo que significa cada alerta, sino también apreciar cómo eventos aparentemente aislados pueden vincularse en una campaña más amplia. Requiere una inteligencia sustancial sobre el negocio, un excelente conocimiento de la situación y una buena dosis de escepticismo.
Por tanto, los ejercicios de equipos rojos tienen un doble propósito. No sólo ponen a prueba el marco de seguridad de una organización, sino que también capacitan a los respondedores para que piensen más como atacantes, vinculando eventos dispares para formar una narrativa coherente.
Cultivar esta mentalidad adversaria es crucial, ya que ayuda a analizar los eventos de seguridad en el contexto de un ciberataque sofisticado y en curso. Este enfoque es fundamental para evolucionar de una postura de seguridad reactiva a una más proactiva y estratégica.
Resumen de la Automatización y Estrategias en Ciberseguridad:
Las herramientas de seguridad automatizadas son esenciales para manejar la gran cantidad de alertas en las redes modernas, pero pueden generar complacencia en los servicios de seguridad. Existe el riesgo de que las organizaciones confíen demasiado en estas herramientas, perdiendo la capacidad de detectar ataques sofisticados. Es vital que los equipos de respuesta de seguridad no se vuelvan dependientes y adopten una mentalidad de atacante, que les permita reconocer patrones y comportamientos que podrían indicar un ataque.
El Equipo Rojo y Ejercicios de Seguridad:
El ejercicio del equipo rojo consiste en enfrentamientos entre hackers éticos (equipo rojo) y el equipo de seguridad de la empresa (equipo azul). Este método simula escenarios de ataque para evaluar y mejorar la postura de seguridad de las organizaciones. Estas simulaciones ayudan a identificar debilidades en la detección y respuesta a incidentes, ya que durante el análisis se discuten las acciones y reacciones del equipo azul frente a las infracciones provocadas.
Los ejercicios permiten explorar cómo las alertas pueden ser ignoradas si se asume que los controles de seguridad han mitigado la amenaza. Por ejemplo, un intento de envío de malware puede ser bloqueado, pero la investigación de la alerta resultante podría revelar valiosa información acerca de las tácticas y la infraestructura del ataque.
Desafíos del Alto Volumen de Alertas:
Los equipos de seguridad enfrentan el desafío de tener que gestionar un volumen excesivo de alertas, haciendo que sea prácticamente imposible investigar cada individualidad, lo que a menudo favorece al equipo rojo durante las etapas iniciales del ataque. Por ejemplo, una vez dentro de la red, los atacantes pueden desencadenar alertas sin ser detectados. Por otro lado, sistemas automatizados que despliegan soluciones rápidas pueden resultar en brechas. Tras la carga de un documento malware que fue eliminado automáticamente, una segunda carga no detectada pasó a través de controles de seguridad, evidenciando una falta crítica en los procesos de protección.
Limitaciones de la Automatización:
Los sistemas automatizados no siempre piensan como los atacantes. La simplemente eliminación de un documento no significa que la amenaza haya sido neutralizada; el adversario puede seguir adaptándose. Existen casos en que actividades como la creación de nuevos usuarios no suscitan sospechas, lo que resalta brechas en la comprensión del contexto de seguridad y la necesidad de entrenar a los intervinientes para pensar como atacantes.
Un ejemplo ilustra este punto: un nuevo usuario fue creado en un grupo de administradores de dominio sin activar señales de alarma, ya que el usuario que realizó la acción era un administrador legítimo. Esto revela la importancia de una vigilancia crítica y una actitud escéptica hacia las alertas generadas.
La Importancia del Entrenamiento en Ciberseguridad:
Desarrollar la capacidad de pensar como un atacante es fundamental para una respuesta de seguridad efectiva. Involucra no solo el entendimiento de cada alerta, sino también la apreciación de cómo los eventos aislados pueden estar conectados en una estrategia de ataque más amplia. Este entrenamiento no solo prueba el marco de seguridad, también enseña al equipo a crear una narrativa coherente al unir eventos dispares.
Cultivar una mentalidad adversaria es esencial para analizar eventos dentro del contexto de un ataque sofisticado y en curso. Esto permite a las organizaciones adoptar un enfoque más proactivo y estratégico frente a la seguridad, moviéndose de una postura reactiva a una más defensiva y anticipativa.
Conclusiones:
La automatización en ciberseguridad trae consigo retos significativos en cuanto a la dependencia, el volumen de alertas y la necesidad de mantener un pensamiento crítico frente a las amenazas. La implementación de ejercicios de equipo rojo y un enfoque en la capacitación continua de los respondedores son pasos cruciales para fortificar la postura de seguridad. Adoptar una mentalidad de atacante no solo mejora la capacidad de respuesta, sino que también contribuye a la creación de sistemas de ciberseguridad más robustos y resilientes en un entorno cada vez más complejo.