Security you don’t expectCraftCounter

± Ñ ± � ± �

2000 2004 2006 2008 2010 2013

Accesos a la red Threat IntelligenceMonitorización Fugas de datos CompartamosPerímetro

�

2015

Endpoint

�

2016

Generemos TI

Replanteamiento de amenazas

https://www.fbi.gov/wanted/cyber

Evolución - I• Cuidemos el perímetro• Miremos qué encontramos fuera del perímetro

• TTPs• Integración en elementos de seguridad• A veces difícil de sacar provecho• ¿Qué feeds elegimos?• Centrados en el sector financiero• Información de terceros – puede que no nos afecten

Autor: John Lambert

Fuente: https://attack.mitre.org/wiki/Groups

Evolución - II• Compartamos información e inteligencia

• ¿De quién nos fiamos?• Por grupos de confianza

• Sectores: FS-ISAC• CERTs• Diferentes por cultura y sector• Nomenclatura común

• STIX / TAXII• CyBOX• OpenIOC

• Herramientas de compartición• ThreatConnect, Soltra, MISP, CRITs

STIX

Manipulación- Gurú

TTPs – Desafío

Herramientas – Difícil

Observables - Complicado

Dominios - Simple

Direcciones IP – Fácil

Hashes - Trivial

Autor: David Bianco

Pirámide del dolor

Pirámide del dolor• Hashes de ficheros: rápidos de buscar; rápidos de modificar• Direcciones IP: rápidas de utilizar; fácil de cambiar (VPNs, Tor, proxies, etc.) • Dominios: fáciles de usar (cortafuegos, proxies, IDS, etc.); pudiera parecer que son más dañinos pero

vemos que usan dominios a su antojo o subdominios gratuitos.• Observables de red y sistema operativo: aquí es cuando el dolor que podemos infligir es mayor. Este tipo

de observables son detalles que pueden identificar a nuestros adversarios o sus operaciones: ciertas claves de registro, nombres de mutex, user-agents, emails utilizados en sus dominios o certificados, patrones de tiempo, etc. Si conseguimos bloquear y detectar estos observables, nuestros atacantes tendrán que dedicar tiempo para averiguar qué está pasando y solucionarlo.

• Herramientas: casi siempre nuestros atacantes utilizan las mismas herramientas a las que están acostumbrados, con lo que si podemos bloquearlas les romperemos su flujo de trabajo. Por ejemplo, herramientas como mimikatz, exploits-kits, troyanos etc. pueden ser detectadas utilizando reglas Yara o fuzzy hashes.

• Tácticas, Técnicas y Procedimientos (TTPs): el punto más interesante. Si estamos respondiendo a este nivel, operamos directamente contra el comportamiento y hábitos de nuestros atacantes, no contra sus herramientas. Si somos capaces de afectar sus TTPs, les forzamos a lo que va a ser más costoso para ellos: cambiar su modus operandi. Y muchas veces el resultado es que se van a dar por vencidos, a no ser que seamos un objetivo crítico para ellos.

Autor: John Lambert

La realidad de los incidentes• Mismo modus operandi:

• Investigación de empleados en redes sociales

• Envío de correos de spear-phishing a esos empleados o intentos de infección

• Acceso con credenciales robadas o equipos infectados a equipos y redes internas

• Uso de herramientas convencionales (no malware) para moverse lateralmente

• Robo de datos y exfiltración de los mismos.

Autor: John Lambert

Evolución - III

• Pasemos de utilizar threat intelligence de terceros, a combinar esa información con theatintelligence generada por nosotros:• Incidentes que nos están ocurriendo• Atacantes que nos atacan• IOCs que tenemos en nuestros sistemas

• ¿Cómo? Con el uso de defensa activa. • Si los atacantes nos engañan y nos manipulan, ¿por qué no podemos – siempre dentro

de la legalidad – utilizar sus técnicas?

Defensa activa es:1. conseguir que al atacante le sean

más costosos sus esfuerzos2. aprovechar su momentum en

nuestro beneficio

18

Defensa activa es:3. obtener la máxima información

del atacante4. alertar de forma temprana

compromisos o fases iniciales de un ataque

19

Ejemplo

20

Atacante DefensorNegación Evitar que descubran el

ataqueEvitar que descubran su

objetivoEngaño Engañar para que nos dejen

entrarEngañar para que nosrevelen su presencia

Desvío Llamar la atención del defensor en algo no

relacionado

Llamar la atención del atacante en el objetivo

equivocadoEngaño Hacer pensar al defensor

que el ataque es no sofisticado o no dirigido

Hacer pensar al atacanteque lo que están buscando

no está aquíEngaño Hacer pensar al defensor

que el ataque está controlado o finalizado

Hacer pensar al atacanteque ya han conseguido su

objetivoDesvío Hacer pensar que el

atacante es otroHacer que el atacante

ataque a otro o que piensenque se han equivocado de

objetivo

El papel del analista• Debemos pasar de gestionar incidentes a gestionar adversarios. • De pensar en parar ataques a pensar en hacer más costosos los ataques a

nuestros adversarios.• Ser expertos en los TTPs de nuestros atacantes.• Perfilado: organización, jerarquía, flujos de trabajo, financiación, localización, objetivos,

etc.• Utilizar cada una de las fases de la famosa Cyber-KillChain® en nuestro beneficio:

• Entregando información falsa• Poniendo trampas• Buscando el fallo humano• Conseguir atribución (tarea casi imposible)

Conclusiones• Evolucionemos nuestra forma de investigar y parchear incidentes de seguridad para

focalizarnos en gestionar a nuestros adversarios.

• Utilicemos threat intelligence de forma ‘inteligente’ haciéndoles daño donde más les duele.

• Usemos sus mismas armas, o aprovechemos la ventaja de que se encuentran en nuestro terreno (algo que raramente se tiene en cuenta).

• La figura de los analistas de seguridad es clave para afrontar con éxito esta nueva estrategia de seguridad; perfiles multi-disciplinares capaces de poder perfilar a los atacantes, sí, pero que a la vez sean capaces de gestionar las campañas de engaño y manipulación, siempre bajo la legalidad vigente.

Gracias por su atención

David Barrosodbarroso@countercraft.eu@lostinsecurity

CraftCounter