BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: ¿Hacia dónde van la analítica y big data en las empresas?
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Defiéndase contra las APT con análisis de seguridad de big data

Los equipos de respuesta a incidentes deben rastrear los eventos de seguridad a través de datos de registro de fuentes cada vez más diversas.

Las organizaciones que empiezan a abordar la seguridad de la información de forma significativa llegarán a un punto en su madurez cuando tengan una gran cantidad de datos de máquina. El reto que muchos CISO enfrentan es cómo aprovechar esos datos rápidamente y correlacionar eventos de forma dinámica en toda la empresa para localizar las amenazas persistentes avanzadas (APT). El incidente del hackeo de Sony Pictures Entertainment en noviembre pasado puso en relieve la importancia del monitoreo de seguridad y la respuesta rápida ante incidentes para poner freno a los daños antes de que ocurra un desastre.

Los directores de seguridad de TI no pueden proteger lo que no pueden ver, y para "ver" las asociaciones o patrones que pueden ayudar a detectar APTs las empresas deben tener un registro exhaustivo a lo largo de múltiples capas dentro de una red. Cuanto mayor sea la visibilidad, mayores serán los datos de máquina, y más difícil será para los equipos de respuesta a incidentes de ciberseguridad "seguir el hilo" y correlacionar los eventos de seguridad con la inteligencia de amenazas de una manera significativa. Las respuestas para muchas preguntas de seguridad sobre  actividad fraudulenta, comportamiento del usuario, comunicaciones, riesgo para la seguridad y consumo de capacidad se encuentran dentro de estos grandes conjuntos de datos.

¿Por qué tanto registro? La mayoría de los adversarios avanzados acceden a la red de la víctima a través de malware, enlaces drive-by o shells web. Una vez que el ataque inicial llama a casa –el malware iniciará la conexión de salida hacia hosts C2 para evitar las reglas de entrada del firewall– se entregan los root kits y ellos obtienen acceso rápidamente a una cuenta de usuario y navegan por la red como un usuario con credenciales completas. Es difícil de bloquear una red de Microsoft de una manera significativa sin destruir su funcionalidad. Una estrategia exitosa para derrotar este tipo de ataque incluye lo siguiente:

  • Detectar el malware o enlaces drive-by antes que los usuarios hagan clic en ellos. Para hacer esto, el equipo de respuesta a incidentes de seguridad cibernética tiene que ser capaz de comparar el comportamiento del usuario contra la inteligencia de amenazas. Esto requiere el registro de paquetes completos de todo el tráfico de entrada y salida en el borde de una empresa.

  • Detectar el malware o la entrega de rootkit al punto final. Para hacer esto, el equipo de ciberseguridad necesita un registro detallado sobre los sistemas de protección antimalware y de punto final.

  • El equipo de ciberseguridad debe ser capaz de analizar los comportamientos del usuario y el acceso en toda la empresa. Las herramientas de información de seguridad y gestión de eventos (SIEM) pueden alertarle sobre actividad inusual, como uso de cuentas fuera de horas de trabajo. Esto solo es posible con un registro exhaustivo de Active Directory (AD) y eventos de acceso de host.

Registro detallado

Todo este registro puede resultar en cerca de un millón de pings al día sobre eventos de seguridad potenciales en las empresas más grandes y terabytes de datos de registro en un mes. Si bien es necesario un registro exhaustivo, varios factores deben ser considerados cuando se aumenta el registro por toda la empresa. La infraestructura que ya se utiliza fuertemente podría tener problemas de rendimiento con el registro adicional. El equipo de red debe estar involucrado en el diseño de la infraestructura de registro para asegurarse que la agregación de registros de toda la empresa no afecta el rendimiento cuando todas las fuentes de registro señalan hacia pocos destinos. Es importante involucrar a las principales áreas de la empresa ​​en el diseño y equilibrar la necesidad de registro con la función de las aplicaciones. Para ver toda la empresa, el registro detallado debe estar habilitado por todas partes como sigue:

  • Conmutación de Nivel 2 y puntos de embotellamiento en los switches de distribución de la empresa.
  • NetFlow activado y registrado donde sea posible.
  • Servicios críticos para enviar acceso y registros de sistemas.
  • AD para registrar el comportamiento de los usuarios.
  • Todos los dispositivos expuestos a Internet para registrar acceso y eventos del sistema.
  • Sistemas de protección de punto final para registrar alertas.
  • Todos los dispositivos de firewall para registrar el acceso de entrada (aceptados) y saliente (aceptados y negados).
  • Otros dispositivos de seguridad para registrar alertas y acceso.

La mayoría de los programas de seguridad comienzan con los registros de los dispositivos en el borde de la red, porque son generalmente más fáciles de obtener. El firewall, el sistema de detección de intrusos a la red y otros productos de seguridad basados ​​en la red tienen capacidades de registro robustas y maduras que la mayoría de las empresas ya están utilizando. El nivel en el que está configurado el registro es de suma importancia para la visibilidad de los distintos tráficos APT cuando está dejando o entrando en su entorno. Esto significa que si hay una intrusión activa, el tráfico que va y viene desde el borde de la red tiene que estar correlacionado con el tráfico sospechoso para ver todo el canal de comunicaciones –actores maliciosos infiltrándose en la red, impulsando una cuenta comprometida y luego moviéndose lateralmente a través de la empresa. Es importante ser capaz de ver el tráfico tanto exitoso, como negado en el borde de la red para obtener un perfil de lo que es normal para su negocio.

Conectividad de red y comunicaciones

En el borde de la red, asegúrese de que su registro no tiene puntos ciegos adicionales al tráfico que se pueden utilizar para eludir los controles de seguridad. El tráfico cifrado, como SSL/HTTPS, y los servicios que se utilizan tradicionalmente para la comunicación y la transferencia de datos, como  IRC y FTP/SFTP/SSH, también deben ser registrados con detalle.

El ciclo de vida de seguridad para rastrear las APT a lo largo de la empresa, desde un registro robusto y la inteligencia aplicada a la acción hasta la analítica de seguridad.

El registro de los servicios disponibles a la Internet pública es también de gran interés, ya que estos sistemas son las entradas o salidas de su infraestructura. Cualquier servidor web debe registrar no solo las conexiones en el servidor, sino también las acciones y las entradas dentro de las aplicaciones, para que pueda entender si se están utilizando como puente hacia su red. Este registro debe incluir no solo las aplicaciones y los servicios web desarrollados internamente, sino también los aparatos proporcionados por el proveedor y las aplicaciones que residen en esos sistemas. El registro necesita permitirle ver lo que está detrás de todas las comunicaciones de red desde y hacia su entorno.

Cualquier dispositivo de seguridad o software del sistema dentro de su red también debe crear registros. Estos sistemas de seguridad incluyen generalmente, pero no se limitan a, antivirus u otro software de detección de intrusiones de host. Puede revisar los registros de host en los sistemas para ganar comprensión de las cuentas de red y los sistemas informáticos que se utilizan en el ámbito de la amenaza. Los registros de host del firewall pueden ser críticos para comprender cómo se están moviendo las amenazas dentro de la red después de un compromiso inicial.

Al igual que en los registros del firewall basados en host, NetFlow puede ayudar a monitorear el tráfico dentro de su red e identificar las áreas que requieren más investigación. NetFlow puede alertar a su equipo sobre actividad de transferencia de datos que esté sucediendo dentro de su red que podría no estar autorizada o sobre información sensible que se está preparando para su transmisión fuera de la red.

Sistema centralizado

Los registros de autenticación de red de AD y otros servicios basados ​​en LDAP utilizados para la autenticación central de los usuarios y los sistemas de red le permiten rastrear el acceso dentro de su entorno y empezar a enmarcar qué sistemas están involucrados con la amenaza. Muchas de las aplicaciones y sistemas en esta lista tendrán la capacidad de enviar registros hacia un sistema centralizado, ya sea a través de syslog u otra instalación.Tener un sistema central de recolección y análisis de registros es crucial porque tratar de buscar la información de registro en todos estos sistemas, con múltiples fuentes y ubicaciones, es un trabajo tedioso. Esta información de registro se escribirá en registros del sistema en los hosts, los cuales los administradores de sistemas querrán limitar para que los datos no consuman espacio utilizable de disco del sistema. Los registros de seguridad guardados en sistemas suelen contener datos por un par de días a lo sumo, y en muchas situaciones solo por unas pocas horas. Este no es tiempo suficiente para permitir un análisis y revisión.

La mayoría de las intrusiones no se detectan durante meses después del compromiso inicial (que puede haber sido el caso de Sony). Un ataque avanzado por lo general pasa desapercibido durante más de un año, según un informe de 2012 de Mandiant, ahora una división de FireEye, que analiza la brecha de Sony. Si los datos de registro no se recogen y se conservan durante esos meses, la capacidad de identificar el sistema de la fuente o la persistencia es imposible, y la amenaza puede permanecer dentro de su red por un tiempo muy largo.

Problema de big data

Cuando el equipo de respuesta a incidentes de ciberseguridad investiga un incidente, debe ser capaz de seguir el hilo de los acontecimientos a través de los datos registrados, y ese camino se entrelaza con el dominio de Microsoft, los dispositivos de seguridad, los dispositivos en el borde, switches y routers. Durante un evento de seguridad, el tiempo es esencial para detener la exfiltración no autorizada de datos desde una red. Desde el punto del descubrimiento hasta cuando una defensa activa es instalada y el adversario es detenido es un momento crítico.

Para tener éxito en ver, detener e investigar un ciberevento, una empresa debe tener la capacidad de consultar rápidamente muy grandes conjuntos de datos de máquina. La idea de tener una herramienta comercial prefabricada que tiene todas las respuestas programadas en su interfaz gráfica de usuario es una falacia. No hay una solución determinada. Las consultas en grandes conjuntos de datos de máquina deben ser dinámicas, y los resultados deben ser presentados rápidamente. Para que los analistas de seguridad tengan éxito, tienen que ser capaces de manejar grandes volúmenes de datos.

A medida que el número de fuentes de registro crece, también lo hace el volumen de los datos de registro que se está recopilando. Este crecimiento no sigue una trayectoria lineal. Cada sistema genera más y más datos; y con cada sistema, otro sistema entra en el campo de aplicación. Si todos los sistemas y dispositivos están enviando registros a un sistema centralizado, que es el objetivo final, el volumen de datos se convierte rápidamente en inmanejable.

Con sistemas produciendo más datos de registro ahora que nunca antes, y diversas fuentes de datos necesarias para buscar y localizar una amenaza dentro de la red, se necesita una nueva forma de realizar el análisis de datos e identificar eventos correlacionados. Las empresas comerciales SIEM están tratando de ponerse al día y posicionar sus productos para soportar los grandes volúmenes de datos generados y recogidos.

Herramientas de analítica

El análisis de big data debe proporcionar la capacidad de correlacionar eventos de registro con base en el tiempo y el comportamiento de los usuarios en todo el espectro de dispositivos y tecnologías en una empresa. Las herramientas tradicionales SIEM no son buenas en esta tarea porque organizan los datos en bases de datos, que se vuelven demasiado grandes y torpes para consultar. Normalmente, los archivos planos de datos de máquina son los mejores para consultas rápidas. Varias herramientas de red diseñadas para este fin funcionan muy bien. Splunk Enterprise y IBM QRadar Security Intelligence Platform son ejemplos de herramientas de análisis de big data, pero las organizaciones necesitan construir un conjunto de herramientas integradas que está diseñado para complementar las necesidades del analista de seguridad. Con estas herramientas y procesos vienen habilidades únicas. El trabajo en evolución del analista moderno de seguridad es exactamente lo que necesita el problema de big data.

Con las herramientas adecuadas, un equipo de respuesta a incidentes de ciberseguridad puede seguir el hilo desde un evento conocido, como una alerta de malware, a los comportamientos de las cuentas de usuario con credenciales que están comprometidas, hasta las máquinas desde las que están llegando las cuentas y las sesiones IP activas en el borde de la red. Sin registro, nada de esto sería posible.

Conforme los CISO construyen una defensa activa contra las APT, la necesidad de aumentar el registro de toda la empresa se convierte en una parte crítica de "ver" y correlacionar eventos para localizar a los chicos malos. No es suficiente simplemente activar los registros en toda la empresa: se tiene que establecer la gente, las herramientas y los procesos para utilizar los datos de una manera significativa.

Sin un medio para aprovechar estos grandes datos de forma rápida y dinámica, su utilidad desaparece. La planificación, los procesos y el personal calificado son claves para el uso de los grandes conjuntos de datos de máquina para ganar la batalla contra las APT. Antes de simplemente hacer surgir el registro en toda la empresa, los CISO tienen que asegurarse de que hay presupuesto  para adquirir las herramientas de análisis de big data necesarias para correlacionar eventos a través de los datos,y de que tienen el personal con la experiencia necesaria para utilizar esas herramientas. Uno sin el otro no es una solución viable.

Sobre los autores: Adam Rice es CISO de Alliant Techsystems (ATK). Profesional de seguridad de la información con 17 años de experiencia, se ha desempeñado como CSO de una compañía global de telecomunicaciones; gerente general y vicepresidente de una empresa de servicios de seguridad gestionada; y director de varias empresas de consultoría de red. Es un suboficial del ejército estadounidense jubilado y colaborador habitual de varias publicaciones de seguridad de la información.

James Ringold es un arquitecto de seguridad corporativo senior en ATK, que ha trabajado en las industrias aeroespacial y de defensa, de descubrimiento electrónico e investigaciones y de retail, realizando evaluaciones técnicas y construyendo los programas de seguridad de la información en varias etapas. Como gerente de operaciones de seguridad y respuesta de incidentes durante 17 años, se centró en medidas y controles para detectar y mitigar ciberintrusiones.

Investigue más sobre Big data (Grandes datos)

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close