Defensa activa a través de la inteligencia en amenazas
A estas alturas, ¿quién duda de la cantidad y complejidad de las nuevas amenazas que nos acechan en el mundo de la tecnología de la información? Hemos llegado a un punto en el que los mecanismos de seguridad habituales, no son suficientes para abarcar todo el espectro de amenazas.
Solo tenemos que pararnos a pensar en que hay muchas empresas que cuentan con este tipo de soluciones como son los cortafuegos, antimalware o copias de seguridad, y siguen siendo víctimas de ataques y de graves incidentes de seguridad.
¿Ya no valen estos mecanismos? Por supuesto que sí, son muy necesarios y no pueden faltar en nuestras organizaciones, pero no son suficientes. Tenemos que complementarlos con otras medidas de seguridad que nos garantice un nivel óptimo de seguridad, alineado con la gestión de riesgos de tecnología de la información, es decir, que sitúen los riesgos en unos niveles aceptables por la propia organización.
El desconocimiento de la existencia de nuevas herramientas y técnicas de ataque, hace que la organización no tenga una visión completa de las amenazas, y, por lo tanto, no pueda defenderse de ellas. ¿Cómo me protejo de algo de cuya existencia desconozco?
Aquí es donde la inteligencia juega un papel primordial. Una de las definiciones de inteligencia de la RAE es “Conocimiento, comprensión y acto de entender”. Aplicado a la ciberseguridad, y concretamente a las amenazas, podríamos definir la inteligencia en amenazas como la capacidad de conocer, entender y comprender cómo actúan estas amenazas. Como diría el gran Sun Tzu en su libro El Arte de la Guerra, “Sólo cuando conoces cada detalle de la condición del terreno, puedes maniobrar y luchar.”
Para poder proteger nuestra información y defendernos de las amenazas necesitamos disponer de ese conocimiento, que nos permita saber cómo los adversarios podrían atacarnos. Con qué herramientas cuentan, qué tácticas y técnicas suelen emplear. Todo este conjunto de información conforma esa inteligencia en amenazas tan útil y necesaria para que las organizaciones puedan mitigar o reducir sus riesgos de tecnología de la información.
Las amenazas avanzadas persistentes (APT, del inglés Advanced Persistent Threat) son ataques selectivos y dirigidos, con una mayor duración que los ataques habituales. Utilizan Tácticas, Técnicas y Procedimientos (TTP a partir de ahora) avanzados, y son perpetrados por grupos organizados de ciberdelincuencia llamados APT Groups (o Grupos APT).
Estos grupos suelen identificarse con un número, y en ocasiones con nombres propios que los identifican. Por ejemplo, el grupo APT3 también es conocido como Gothic Panda, entre otros nombres. Cada grupo tiene bien definido su objetivo tipo, es decir, hay grupos centrados en ataques a instituciones gubernamentales, otros grupos centrados en ataques a industrias o a entornos sanitarios, como pueden ser hospitales.
Gracias a todas las investigaciones realizadas sobre los ataques que grupos APT han llevado a cabo a lo largo de los últimos años, actualmente disponemos de información sobre cuáles han sido las tácticas, técnicas y procedimientos utilizados. Y lo mejor de todo, es que esta información es pública y puede ser aprovechada por cualquier organización para aprender a defenderse, es decir, utilizar esa inteligencia en amenazas para implantar una defensa activa, basada en el conocimiento y entendimiento de cómo actúan los adversarios.
The MITRE Corporation, conocida comúnmente como MITRE, es una organización estadounidense sin ánimo de lucro. En 2013, MITRE desarrolló ATT&CK como marco de trabajo y modelo para documentar y trazar técnicas que los atacantes utilizan en las diferentes etapas de un ciberataque para penetrar en la red de la organización. El framework incluye matrices con las diferentes TTP utilizados por los adversarios, y es uno de los recursos de ciberseguridad más respetados y referenciados.
Existen diferentes matrices específicas del framework, que se pueden utilizar en función del contexto. Por ejemplo, hay una matriz PRE-ATTACK, donde se describen los TTP en la fase inicial, hay otra matriz ENTERPRISE, que a su vez se subdivide en Windows, Linux, macOS y Cloud, con TTP específicos para estas tecnologías, otra matriz llamada MOBILE, con TTP específicos para dispositivos y aplicaciones móviles, y finalmente una matriz denominada ICS (Industrial Control Systems) con TTP específicos para entornos industriales.
Cada una de las matrices muestra de forma organizada las diferentes tácticas utilizadas por adversarios, las técnicas agrupadas en estas tácticas y finalmente los procedimientos usados por los adversarios. Además, podemos filtrar por grupos APT, por ejemplo, si nuestra organización es una institución gubernamental, podemos buscar por grupos que tienen como objetivo este tipo de organizaciones, y automáticamente el framework nos resalta los TTP que utilizan los adversarios.
Con los mecanismos de seguridad habituales, y con la inteligencia de amenazas de posibles adversarios, podemos definir una buena estrategia de seguridad, que ayudará a reducir la probabilidad de que estas amenazas se materialicen, o al menos minimizar su impacto. En definitiva, contar con esta inteligencia nos ayudará a gestionar mejor los riesgos IT de la organización.
Co- Team Leader del Grupo ITSM4Seguridad
Comité de Estandares de itSMF España