Compromise Assessment: Cómo detectar a actores maliciosos

El Compromise Assessment permite detectar indicios de compromiso y analizar las actividades maliciosas detectadas contra las empresas, así como su alcance e impacto

No todos los ataques tienen el mismo impacto en las organizaciones contra las que se dirigen. Por ejemplo, durante la II Guerra Mundial, el desembarco de Normandía fue un ataque exitoso que permitió a los Aliados acometer la liberación de Francia. En cambio, la respuesta alemana, a través de la contraofensiva de las Ardenas no les sirvió para recuperar terreno perdido y debilitó su posición tanto en frente occidental como en el oriental.

En lo que respecta a los ciberataques sucede algo similar. Cada incidente de seguridad puede tener un impacto distinto en los sistemas de una empresa o una institución, haber comprometido todos o solo algunos sistemas y resultar más o menos complejo lograr expulsar al actor malicioso. Por ello, es fundamental que las compañías que se vean comprometidas o crean que pueden estarlo pongan en marcha un Compromise Assessment.

Gracias al Compromise Assessment es posible confirmar la presencia de actividad maliciosa en los sistemas corporativos, evaluar esta actividad en curso, aislar los sistemas que se hayan visto comprometidos y obtener información valiosa para que los servicios de Respuesta a Incidentes puedan expulsar a los actores maliciosos con éxito y en el menor tiempo posible.

Si el desembarco de Normandía fue un éxito, se debió, en gran medida, a que los Aliados pusieron en marcha maniobras de distracción y contrainteligencia que impidieron a los alemanes detectar los indicios del ataque y ser capaces de repelerlo.

A continuación, vamos a desgranar en qué consiste un Compromise Assessment, cuáles son sus etapas y qué papel juega en la respuesta a incidentes.

1. ¿Qué es un Compromise Assessment?

Como su propio nombre indica, un Compromise Assessment es una evaluación que permite analizar si la infraestructura tecnológica de una compañía está comprometida. Es decir, el objetivo de un Compromise Assessment es detectar actividad maliciosa y evaluar tanto su alcance como su impacto en los sistemas de una organización, ya sea una empresa o una administración pública.

¿Quién está capacitado para realizar un Compromise Assessment? Equipos de Threat Hunting altamente cualificados y que acumula un amplio conocimiento sobre las técnicas, tácticas y procedimientos de los actores maliciosos. Además, los profesionales emplean información detallada aportada por la telemetría disponible para poner en marcha acciones de Threat Hunting proactivo con el objetivo de detectar tanto Threat Actors como Operaciones Maliciosas.

¿Qué acciones se pueden detectar gracias a un Compromise Assessment? Esta evaluación permite detectar actividades maliciosas en curso, pero también ataques que se produjeron en el pasado pero que han dejado trazas en la telemetría disponble y que han pasado desapercibidos para los equipos defensivos de una empresa o institución pública.

¿Cuánto tiempo se necesita para realizar un Compromise Assessment? Teniendo en cuenta el hecho de que los Threat Actors pueden pausar sus operaciones para no generar oportunidades de detección, unido a que no todas las organizaciones disponen de telemetría previa al incidente, con frecuencia es necesario aguardar hasta que nuevas Operaciones Maliciosas se produzcan y así desvelar la posición del Threat Actor y el alcance del compromiso. Bajo este contexto el equipo de Tarlogic ha estimado que se puede llegar a necesitar unos 45 días para tener la certeza suficiente de que no hayan quedado activos comprometidos o persistencias sin identificar

1.1. ¿En qué circunstancias se debe realizar un Compromise Assessment?

1. Cuando las organizaciones detectan actividad maliciosa.
2. Cuando se tiene la sospecha de que se está produciendo un ataque.
3. Periódicamente, para identificar actividad maliciosa de manera proactiva antes de que los actores maliciosos sigan avanzando en la Cyber Kill Chain del ataque.

2. ¿Qué diferencias existen entre el Compromise Assessment y la evaluación de vulnerabilidades?

¿Es un Compromise Assessment lo mismo que una evaluación de vulnerabilidades? No. Son análisis con objetivos y características diferentes.

La evaluación de vulnerabilidades tiene como objetivo escanear el perímetro de una organización para detectar y priorizar la mitigación vulnerabilidades que puedan ser explotadas por los actores maliciosos para atacar a una organización.

Este tipo de análisis debe realizarse de forma continua para evitar que los ciberdelincuentes exploten vulnerabilidades conocidas, sobre todo, si tenemos en cuenta la relevancia y complejidad de la cadena de suministro de software de las compañías.

Por todo ello, el análisis de vulnerabilidades es una actividad esencial dentro de la gestión de vulnerabilidades de la infraestructura tecnológica de una empresa o una administración pública.

Mientras que un Compromise Assessment pone el foco en la amenaza en lugar de la vulnerabilidad. ¿Para qué? Encontrar evidencias e indicadores de compromiso que permitan a los profesionales constatar la presencia pasada o presente de actividad maliciosa en los sistemas corporativos.

Así, mientras la evaluación de vulnerabilidades se centra en prevenir los incidentes de seguridad, mitigando las debilidades que pueden ser explotadas por los delincuentes; el Compromise Assessment tiene como misión detectar amenazas que ya hayan producido un impacto y recopilar toda la información necesaria para aislar los sistemas que se hayan visto afectados y expulsar a los cibercriminales de los activos corporativos. De ahí que sea una tarea de gran valor añadido para los equipos de respuesta a incidentes.

3. Del inicio del Compromise Assessment hasta la expulsión de los actores maliciosos

No existe una metodología única para realizar un Compromise Assessment. El procedimiento de los profesionales de Tarlogic está compuesto por tres fases:

• Inicio del Compromise Assessment tras analizar el caso y diseñar el análisis de acuerdo con los objetivos y necesidades del servicio de respuesta a incidentes.
• Acceso a la telemetría. La detección y monitorización de actividad maliciosa se lleva a cabo mediante el análisis de la telemetría. Esta información se puede obtener de múltiples fuentes, siendo especialmente relevante la proporcionada por tecnología EDR o XDR.
• Análisis de los datos recabados para enriquecer la respuesta ante un incidente. Por ejemplo, poniendo en marcha acciones de Threat Hunting Proactivo para detectar a los actores maliciosos, aislar los activos corporativos comprometidos y llevar a cabo el proceso de respuesta a incidentes con la máxima eficacia.

4. Beneficios de realizar un Compromise Assessment

¿Cuáles son los beneficios de poner en marcha un Compromise Assessment para las empresas?

1. Sirve para constatar que se ha producido o se está produciendo un ataque exitoso contra la organización.
2. Permite identificar el alcance del compromiso, incluidos los permisos que tiene el actor malicioso para dañar más a la organización.
3. Ayuda a los responsables de los servicios de Respuesta a Incidentes a decidir qué sistemas o activos deben aislar para evitar la propagación del ataque.
4. Facilita las labores de contención de los ataques, de cara a limitar sus nocivas consecuencias.
5. Ofrece información de gran valor sobre el incidente de seguridad para que los profesionales puedan orquestar las respuestas más adecuadas en función del compromiso y logren expulsar al actor malicioso.
6. Ponen a disposición de las organizaciones datos de sumo interés para identificar las debilidades explotadas, constatar las deficiencias en materia de detección y proponer la realización de las medidas necesarias para evitar futuros incidentes.
7. Si el Compromise Assessment se realiza de manera periódica dentro de un servicio de Respuesta a Incidentes continuado, puede reportar datos de gran valor para mejorar la capacidad de detección y respuesta de la compañía.

5. Una tarea que enriquece la Respuesta a Incidentes proactiva

Como hemos ido sugiriendo a lo largo del artículo, el Compromise Assessment es una actividad que se puede llevar a cabo a la hora de prestar un servicio de Respuesta a Incidentes. Pero, ¿en qué consiste la Respuesta a Incidentes? Esta clase de servicio de ciberseguridad está focalizado en:

• Tomar liderazgo y coordinación entre los diferentes equipos involucrados en la respuesta
• Identificar la actividad maliciosa que afecta a una compañía.
• Contener un ataque.
• Erradicar la presencia de actores maliciosos en las infraestructuras tecnológicas corporativas.
• Recuperar la normalidad tras un incidente de seguridad.

¿Quiere esto decir que la Respuesta a Incidentes solo es reactiva y se pone en marcha cuando se produce un evento? No necesariamente. De hecho, es aconsejable afrontar un servicio de Respuesta a Incidentes de forma proactiva, con foco en la preparación previa a incidentes para optimizar al máximo la respuesta a los mismos.

Así, un servicio de Respuesta a Incidentes proactivo permite a las compañías anticiparse a los actores maliciosos y enriquecer sus capacidades de respuesta realizando previamente y de manera periódica tareas como:

• Readiness Assessment, para constatar que el equipo de respuesta a incidentes puede desplegarse en el menor tiempo posible en caso de que se produzca un evento.
• Compromise Assessment, que, como señalamos antes, no solo son de gran valor añadido para evaluar eventos en activo, sino que también sirve para identificar actividades maliciosas que no han sido detectadas con anterioridad.
• Simulacros de incidente, con el objetivo de maximizar la eficiencia de las actuaciones de respuesta.
• Análisis de amenazas. Esta tarea permite identificar actores maliciosos que, potencialmente, pudieran poner en marcha ataques contra una compañía y diseñar una estrategia de prevención para evitarlo.
• Elaboración de un plan de respuesta a incidentes eficaz.

6. Las 4 claves de un servicio de Respuesta a Incidentes integral

A la luz de lo que acabamos de exponer sobre las características de un servicio de Respuesta a Incidentes proactivo, podemos enarbolar cuatro características básicas de un servicio integral que permita a las compañías anticiparse a los incidentes, salvaguardar la continuidad de negocio y evitar consecuencias económicas, legales y reputacionales catastróficas.

6.1. Adaptación a la organización y sus necesidades

Cada empresa o institución tiene elementos y procesos que la hacen única. De tal manera que el servicio de Respuesta a Incidentes debe adaptarse a esas peculiaridades para poder recabar la mayor cantidad de información posible. ¿Por qué? A la hora de detectar, analizar y contener un ataque es crucial prestar atención a cualquier tipo de fuente de información.

6.2. Preparación, previsión y mentalidad ofensiva

Los mejores servicios de respuesta a incidentes se enriquecen con el conocimiento y las experiencias de los equipos de Red Team y Threat Hunting. Gracias a ello, los profesionales a cargo de la respuesta a incidentes pueden identificar actuaciones hostiles incluso cuando no hayan saltado las alarmas. Esto es posible, también, gracias a la mentalidad ofensiva de los equipos de Respuesta a Incidentes que son capaces de elaborar previsiones sobre las actividades que pueden desplegar en el futuro los actores maliciosos que atacan a una compañía.

6.3. Actualización continua del conocimiento

Más allá de la importancia crucial de la tecnología EDR o XDR, resulta crítico que el equipo a cargo de un servicio de respuesta a incidentes se sitúe a la vanguardia en el terreno de la Threat Hunting Intelligence y sea capaz de dilucidar cuál es la línea de investigación correcta a la hora de descubrir a los actores maliciosos. Lo que implica, también, estar al día de las técnicas, las tácticas y los procedimientos más innovadores empleados por los delincuentes.

6.4. Experiencia en la detección de Actores Maliciosos

La experiencia de los profesionales y la creación de sinergias con otros servicios de ciberseguridad avanzados como Red Team o Threat Hunting es esencial a la hora de diseñar e implementar un servicio de Respuesta a Incidentes.

7. Servicio de detección y respuesta gestionado (MDR)

La Respuesta a Incidentes se trata de un servicio de detección y respuesta gestionado o MDR. Detrás de estas letras se esconde el concepto «Managed detection and response».

Esta clase de servicio tiene como misión optimizar los mecanismos de detección y mejorar la capacidad de respuesta de las empresas ante incidentes de seguridad. Para ello, los expertos en ciberseguridad emplean la información disponible de las compañías (servidores, redes, equipos…) haciendo uso de múltiples tecnologías, como la tecnología EDR/XDR que ya mentamos al diseccionar las claves de un Compromise Assessment. De tal manera que un servicio de seguridad gestionado conjuga:

• El uso de tecnología EDR y XDR, una tecnología crítica para detectar y responder ante las amenazas de forma eficaz.
• El conocimiento de profesionales capacitados para gestionar esta tecnología, poner la información que genera en contexto y analizarla de forma eficiente para rastrear potenciales compromisos.
• Las labores de investigación continuas sobre el estado del arte en el terreno de la ciberseguridad, con el objetivo de comprender los TTPs de los actores maliciosos y poder diseñar nuevas reglas para identificar y analizar compromisos en los entornos corporativos.

8. Threat Hunting y Respuesta a Incidentes: Ir un paso por delante de los malos

Para prestar a las empresas un servicio MDR integral, el equipo de Tarlogic pone a disposición de las organizaciones dos servicios complementarios y que se enriquecen mutuamente:

• Threat Hunting Proactivo. Los Threat Hunters de la compañía de ciberseguridad están especializados en analizar la actividad en los endpoints y servidores corporativos, poner en marcha campañas de deception y evaluar el comportamiento de las entidades de una organización. ¿Para qué? Detectar amenazas incluso aunque no se hayan generado alertas de seguridad. Gracias a este enfoque proactivo pueden plantearse Hipótesis de Compromiso y descubrir Actores Maliciosos que actúan por debajo del radar sin generar alertas de seguridad.
• Respuesta a Incidentes. El equipo de Tarlogic toma liderazgo de la respuesta, involucrando a múltiples equipos de la organización, analiza la información disponible y relevante para la investigación, allá donde sea necesario proporciona herramientas para ampliar la información relevante a la investigación, identifica Operaciones Maliciosas y Actores Maliciosos, determina el alcance e impacto del compromiso identificado, ayuda a diseñar la mejor estrategia de contención, coordina a los distintos equipos involucrados para proporcionar la respuesta eficaz y, una vez expulsado el Actor Malicioso de los activos corporativos, sugiere acciones de recuperación para una vuelta a la normalidad y continuidad del negocio.

8.1. Combatir las APT

Los servicios MDR son esenciales para gestionar los incidentes de seguridad, limitar el impacto de un ataque, detener a los actores maliciosos y recuperar la normalidad en el menor tiempo posible.

De tal forma que muestran todo su potencial a la hora de combatir las Amenazas Persistentes Avanzadas y a los grupos criminales más innovadores y con una mayor cantidad de recursos a su disposición.

Nunca sabremos qué habría pasado si los alemanes hubieran detectado el desembarco de Normandía y dispuesto de la información necesaria para repeler la invasión con éxito. Pero resulta indudable que la evolución de la contienda bélica habría sido diferente.

Para conseguir que la Respuesta a Incidentes de una compañía sea lo más eficiente y rápida posible, es fundamental disponer de un equipo de profesionales altamente cualificados, con una gran experiencia a sus espaldas y que dispongan de una metodología propia y de un conocimiento actualizado sobre un panorama de amenazas en constante evolución.