Data analysis

Este es un concepto adoptado de Splunk. Podemos llamarlo de este modo, o llamarlo por ejemplo evento destacado, evento a seguir relacionado con la seguridad, … En todo caso, el concepto no cambia. Los eventos notables son eventos que bajo unas condiciones determinadas suponen ser lo suficientemente relevantes como para que sea necesario una investigación. En nuestro caso, vamos a utilizar este concepto para crear los eventos relevantes dentro del ámbito de la seguridad. Los eventos notables que se van a crear en el presente trabajo serán eventos de seguridad relevantes, pero con el matiz de

que no todos generan necesariamente una alerta dentro del SIEM, esto se producirá en base a un peso determinado.

Las correlaciones que generarán los eventos notables no son más que las clásicas alertas que generan una acción. Por tanto, un evento notable es una alerta (y una alerta no es más que una búsqueda planificada en el tiempo que como salida posee una acción determinada) que tiene como salida la generación de un evento (un nuevo evento con una serie de campos normalizados) dentro de un índice especial. Además, estos eventos se podrán analizar dentro de su propio dashboard en Splunk.

Los eventos notables poseen de por sí una severidad determinada. Esta severidad estará en función tanto de la propia naturaleza en sí del evento generado, como de la prioridad del asset. Por tanto, se debe tener listado todos los posibles assets que se van a monitorizar junto a la importancia de cada uno de estos dentro de la organización. Como se ha dicho, la otra variable para determinar la severidad dependerá de lo que signifique contextualmente la alerta. No es lo mismo la detección de un evento de login fallido sobre una cuenta, que la misma acción precedida por un login satisfactorio. En la primera el ataque no ha tenido éxito, mientras que en la segunda sí. Esto hará lógicamente que su prioridad a la hora de su tratamiento cambie totalmente. Para poder determinar la severidad de cada una de las alertas vamos a implementar un sistema de calificación de cada uno de los eventos notables que se van a implementar en base a los siguientes criterios:

- Posición del evento dentro del Cyber Kill Chain (CKC). - El éxito o no de la acción que se está detectando. - El número de assets implicados en la detección.

En base a estos valores, junto al propio contexto del asset, tendremos la prioridad inicial de la alerta. Este valor determinará, por tanto, la urgencia con la que se debe gestionar un evento determinado.

Como ya conocemos, el Cyber Kill Chain consta de las siguientes etapas: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Action on Objective.

Una forma de poder relacionar las alertas con la fase del CKC es aplicar la siguiente tabla:

Ilustración 6. Fases CKC

En esta tabla se puede ver cómo en base del dispositivo de seguridad de donde provenga el evento generado, podremos determinar en qué fase estamos dentro del CKC.

En referencia al CKC indicar que han existido investigaciones críticas que han formulado modificaciones y adaptaciones dentro de ésta. De todas ellas destaca la llamada Unified Kill Chain. En esta versión, se unifican el clásico Cyber Kill Chain con el framework de MITRE ATT&CK. Ésta contiene un total de 18 fases de ataque únicas que cubren todos los posibles supuestos dentro de un ciberataque. Está pensada por tanto para analizar, comparar y defenderse de las posibles APTs. A continuación, podemos ver las distintas fases del CKC unificado.

Ilustración 7. Unified Kill Chain

Los 18 elementos de este Cyber Kill Chain unificados son los siguientes: Punto inicial de compromiso del sistema (Initial foothold).

- Reconocimiento (Reconnaissance). - Armado (Weaponization).

- Entrega (Delivery).

- Ingeniería social (Social Engineering). - Explotación (Exploitation).

- Persistencia (Persistence).

- Evasión defensiva (Defense Evasion). - Comando y control (Command & Control). Al siguiente nivel se llega a través del Pivoting. Propagación por la red (Network propagation).

- Descubrimiento (Discovery).

- Escalada de privilegios (Privilege Escalation). - Ejecución (Execution).

- Acceso a través de credenciales (Credential Access). - Movimiento lateral (Lateral Movement).

Una vez que se produce el acceso dentro del sistema tenemos la siguiente fase.

Acción sobre los objetivos (Action on objectives). - Colección (Collection).

- Exfiltración (Exfiltration).

- Manipulación de los objetivos (Target Manipulation). - Objetivos (Objectives).

Todas estas diferenciaciones a nivel de categoría son muy interesantes, pero para el desarrollo inicial del trabajo se considera que con aplicar el modelo tradicional del CKC es suficiente para realizar una categorización de prioridad adecuada.

Por último, vamos a ver en qué consiste el framework de MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) del que algo ya hemos comentado algo con anterioridad.

MITRE ATT&CK es una manera de describir y categorizar los comportamientos de los adversarios. Por adversarios se entiende cualquier actor que pueda realizar un ataque contra una organización. Podríamos considerarlo como una base de datos de tácticas, técnicas y procedimientos usados en la vida real. Basado en una serie de matrices, permite describir la manera en que los ciberatacantes se preparan, lanzan y ejecutan sus ataques.

Las tácticas son las categorías de las técnicas. Por tanto, son el qué los atacantes tratan de lograr. Las técnicas, individuales son el cómo logran sus objetivos. Dentro de la matriz las técnicas son las columnas, mientras que las técnicas son los distintos valores que poseen éstas. Es decir, es el comportamiento específico para alcanzar un objetivo dado. Esta relación se describe dentro de la matriz ATT&CK.

Ilustración 8. Matriz ATT&CK

Por todo ello, con esta implementación se ha buscado cubrir cuatro elementos básicos:

- El comportamiento de los adversarios. Se centra en las tácticas y técnicas de los adversarios. En este caso el enfoque no se son las herramientas y el malware que usan los adversarios, sino en cómo interactúan con los sistemas durante una operación.

- Crear un modelo de ciclo de vida de las amenazas mejores a las existentes en la actualidad.

- La aplicabilidad a un entorno real. Se basa en incidentes reales. Por tanto, aplicable a entornos reales.

- Creación de una taxonomía común relacionada con las TTP.

Dentro de este framework podemos destacar dos matrices para las organizaciones: PRE-ATT&CK y ATT&CK para empresas. Ambas se combinan para cubrir todos los aspectos del CKC. La primera cubre las fases de reconocimiento y armado (Reconnaissance - Weaponization), mientras que la segunda cubre las restantes. Las tácticas de cada una son las siguientes: Tácticas PRE-ATT&CK.

- Definición de prioridades. - Selección de objetivos. - Recopilación de información. - Identificación de debilidades.

- Operaciones de seguridad adversas. - Establecer y mantener la infraestructura. - Desarrollo del personaje.

- Creación de funciones. - Prueba de funciones.

Tácticas de ATT&CK para empresas. - Acceso inicial. - Ejecución. - Persistencia. - Escalado de privilegios. - Evasión de defensas. - Acceso a credenciales. - Detección. - Movimiento lateral. - Recopilación. - Exfiltración. - Comando y control.

Con MITRE ATT&CK se pueden conseguir algunos de los siguientes beneficios:

- Entendimiento cómo funciona el adversario. Cómo piensa, cuáles son sus necesidades, … todo esto ayuda a segurizar y defender de forma más eficiente las organizaciones. Permite por tanto, entender las fortalezas y debilidades actuales de la organización, y evolucionar hacia un estado más seguro.

- Permite la búsqueda eficiente de amenazas reales. Se puede incluso identificar al posible actor de un ataque sufrido.

- Intercambio de conocimientos entre los equipos de seguridad, referente a cómo puede actuar el adversario.

- Se trata de una base de conocimiento para la investigación. Esto facilita las labores de los equipos de analistas.

- Es una metodología de uso para los Red Team. Puede implementarse actividades de este tipo dentro de la organización para ayudar en su seguridad.