Julio 23, 2020
Un sistema de alerta temprana (alias, Control de anomalías adaptativo).
Lo más probable es que, si de normal trabajas en una oficina, esta esté todavía bastante vacía o por completo, como la nuestra. En nuestras oficinas centrales, las únicas personas que verás de forma ocasional son los guardias de seguridad y el único ruido que escucharás será el zumbido de los sistemas de refrigeración de nuestros servidores que trabajan a tope, ya que todos están conectados desde casa.
Nunca imaginarías que, sin verlos, nuestras tecnologías, expertos y productos están trabajando las 24 horas, los 7 días de la semana, protegiendo el cibermundo. Y ahí están. Mientras, los chicos malos siguen haciendo de las suyas. Por ello, tenemos un sistema de alerta temprana en nuestra colección de herramientas de ciberprotección. Pero retomaré este tema más adelante…
El papel de un experto en seguridad informática se asemeja en cierto modo al de un guardabosques: atrapar a los cazadores furtivos (malware) y neutralizar la amenaza que representan para los habitantes del bosque, pero, primero tienes que encontrarlos. Por supuesto, puedes esperar a que se dispare el rifle de un cazador furtivo y correr hacia el estruendo, pero eso no excluye la posibilidad de que llegues demasiado tarde y que lo único que puedas hacer sea limpiar el desastre.
Podrías volverte completamente paranoico: colocando sensores y cámaras de vídeo en todo el bosque, pero podrías acabar reaccionando a cualquier susurro (y pronto perderías el sueño y, después, la cabeza). Pero cuando te das cuenta de que los cazadores furtivos han aprendido a esconderse realmente bien, hasta el punto de no dejar rastro de su presencia, queda claro que el aspecto más importante de la seguridad es la capacidad de diferenciar los eventos sospechosos de los normales e inofensivos.
Cada vez son más los cibercazadores furtivos que se camuflan con la ayuda de herramientas y operaciones perfectamente legítimas.
Por ejemplo: abriendo un documento en Microsoft Office, otorgando acceso remoto a un administrador del sistema, iniciando un script en PowerShell y activando un mecanismo de cifrado de datos. Luego está la nueva ola del llamado malware sin archivo, que no deja ni un solo rastro en un disco duro, lo que limita seriamente la efectividad de las estrategias tradicionales de protección.
Algunos ejemplos son (i) el actor de la amenaza Platinum que utilizó tecnologías sin archivo para penetrar en los ordenadores de las organizaciones diplomáticas o, por otro lado, (ii) los documentos de Office con carga maliciosa que se utilizaron para las infecciones por phishing en las operaciones de la APT DarkUniverse; y hay muchos más. Un ejemplo más: el cifrador de ransomware sin archivo “Mailto” (también conocido como Netwalker), que utilizó un script de PowerShell para cargar código malicioso directamente en la memoria de los procesos de confianza del sistema.
Ahora bien, si la protección tradicional no está a la altura, se puede intentar y prohibir a los usuarios una amplia gama de operaciones e introducir políticas estrictas sobre el acceso y el uso del software. Sin embargo, tanto los usuarios como los malos probablemente acabarían encontrando la forma de sortear estas prohibiciones (al igual que pasa con la prohibición del alcohol).
Lo mejor sería encontrar una solución que pueda detectar anomalías en los procesos estándar y que informe al administrador del sistema sobre ellas. Pero lo que es crucial es que esta solución pueda aprender a determinar automáticamente y con precisión el grado de “sospecha” de los procesos en toda su gran variedad, para no atormentar al administrador del sistema con constantes falsos positivos.
Bueno, lo has adivinado, tenemos esa solución: Adaptive Anomaly Control, un servicio basado en tres componentes principales: reglas, estadísticas y excepciones.
Las reglas abarcan las principales aplicaciones de la oficina, Windows Management Instrumentation, los scripts estándar y otros componentes, junto con una lista de actividades “anómalas”. Estas reglas son parte de la solución y no requieren que el administrador las cree de nuevo.
Después de la activación, durante aproximadamente dos semanas, el sistema estudia los procesos que tienen lugar habitualmente en una organización, detecta desviaciones de las reglas estándar (es decir, de las estadísticas) y crea una lista de excepciones “personalizada”. Este período de estudio puede complementarse, por ejemplo, si el administrador del sistema crea sus propias excepciones para algún proceso específico, o se encuentra una anomalía imprevista. Además, el proceso de estudio incluso se puede dividir en departamentos para que, por ejemplo, las personas de finanzas no puedan iniciar scripts Java o las personas de I + D no puedan acceder a herramientas financieras.
El sistema señala cualquier desviación de la lista de excepciones, indicando tanto el proceso sospechoso particular como el dispositivo en el que se lanzó. Por ejemplo, el lanzamiento del Procesador de comandos de Windows o el alojamiento de las aplicaciones en HTML mediante un script de PowerShell desde una aplicación de oficina o un equipo virtual es técnicamente posible, pero difícilmente es una operación permitida. O digamos que, si un archivo con un nombre típico para un archivo del sistema se guarda en una carpeta que no es una carpeta del sistema, sería una señal para analizar de cerca la aplicación.
Además, el administrador del sistema puede bloquear un proceso, o permitirlo, pero con la información del usuario. Además, bajo demanda, el período de observación para ciertas reglas se puede aumentar para estudiar más de cerca cómo se aplicarán en el futuro.
“Entonces, ¿por qué es necesaria la protección del endpoint si el sistema funciona tan bien?”, pregunta con escepticismo el guardabosques administrador del sistema. Porque el Control de anomalías adaptativo debe verse como un sistema de alerta temprana, simplemente indicando dónde tiene lugar una actividad sospechosa. En realidad, luchar contra la amenaza es la tarea de otros componentes clave de protección, como las soluciones EDR.
¡Y hasta aquí vuestra introducción básica al Control de anomalías adaptativo, amigos!
P.D. No he utilizado la comparación del guardabosques por casualidad, ya que los bosques (y el campo) no se me van de la cabeza: tengo que empezar a hacer las maletas para mi expedición de verano por los lugares salvajes de Altai. ¡Y los sistemas de protección individual y de alerta temprana son justo el tipo de cosas que necesitaré! …