Introducción a los conceptos de IOAs
En esta sección se incluyen los conceptos que el administrador necesita conocer para comprender los procesos involucrados en la detección de IOAs, y en la ejecución de acciones (automáticas y manuales) de resolución.
Evento
Acción relevante ejecutada por un proceso en el equipo del usuario y monitorizada por Advanced EPDR. Los eventos se envían a la nube de Cytomicen tiempo real como parte del flujo de telemetría. Las tecnologías avanzadas de análisis automático, los analistas y threat hunters los analizan en su contexto para determinar si son susceptibles de pertenecer a la cadena CKC de un ataque informático.
Indicio
Secuencia de acciones poco frecuentes encontradas en los eventos generados por los equipos del cliente y que pueden pertenecer a un ataque informático en fase temprana.
Indicador de ataque (IOA)
Es un indicio con alta probabilidad de pertenecer a un ataque informático. Por lo general, se trata de ataques en fase temprana o en fase de explotación. Generalmente, estos ataques no utilizan malware, ya que los atacantes suelen utilizar las propias herramientas del sistema operativo para ejecutarlos y así ocultar su actividad. Se recomienda su contención o resolución con la mayor urgencia posible.
Para facilitar la gestión de IOAs, Advanced EPDR asocia a cada uno de ellos dos posibles estados, modificables de forma manual por el administrador:
-
Pendiente: el IOA está pendiente de investigación y/o resolución. El administrador debe comprobar que el ataque es real y tomar las medidas necesarias para mitigarlo. Todos los IOAs nuevos se crean con el estado pendiente asignado.
-
Archivado: el IOA ya fue investigado por el administrador y las acciones de resolución se completaron, o no fueron necesarias por tratarse de un falso positivo. Por cualquiera de estas razones, el administrador cierra el IOA.
Advanced EPDR muestra información relevante del IOA, como la táctica y técnica MITRE empleadas, los campos del evento registrado en el equipo que generó el IOA y, en caso de estar disponible, los informes siguientes:
-
Investigación avanzada del ataque: incluye información del equipo involucrado, una descripción detallada de la táctica y técnica utilizadas, recomendaciones para mitigar el ataque y la secuencia de eventos que desencadenó la generación del IOA. Consulta Campos de la ventana Detalle del IOA .
-
Gráfica del ataque: incluye un diagrama de grafos interactivo con la secuencia de eventos que desencadenó la generación del IOA. Consulta Diagramas de grafos .
Los informes tienen una duración de un mes desde la generación del IOA, transcurrido el cual dejarán de estar accesibles. A su vez, un informe muestra los eventos que forman parte del ataque en el intervalo de los 30 días anteriores a la detección del IOA.
Indicador de ataque avanzado
Los indicadores de ataque avanzados son aquéllos que realizan un seguimiento detallado de las aplicaciones que se ejecutan en los equipos, para detectar comportamientos sospechosos, analizar los eventos generados por las aplicaciones y determinar si constituyen un ataque.
La existencia de este tipo de indicador avanzado por sí sola no implica que se esté produciendo un ataque, y por ello es necesario que el administrador del parque informático los analice para determinar si se trata de un ataque o no.
Advanced EPDR muestra información relevante del IOA avanzado, como la táctica y técnica MITRE empleadas y la secuencia de eventos registrada en el equipo que lo generó.
Los indicadores de ataque avanzados solo son compatibles con equipos con sistema operativo Windows.
Indicador de ataque avanzado de agrupación
Los indicadores de agrupación reúnen bajo una mismo IOA varios indicadores que comparten una misma táctica (consulta Táctica (“Qué”). Su comportamiento es idéntico al de un indicador de ataque avanzado a todos los efectos, excepto:
-
Cuando el administrador consulta los detalles de un indicador de agrupación, la información mostrada hace referencia únicamente a su táctica. Consulta Información asociada al IOA
-
Todos los indicadores que forman un indicador de agrupación comparten la misma táctica. Por esta razón, existen exactamente 14 indicadores de agrupación, uno por cada táctica disponible en el estándar MITRE.
A continuación, se muestra un listado de todos los indicadores de agrupación soportados en la consola de administración:
| Táctica | Nombre | Descripción | Severidad |
|---|---|---|---|
|
TA0001 |
Initial Access (Acceso inicia) |
The adversary is trying to get into your network. (El atacante está intentando entrar en la red). |
Medium (Medio) |
|
TA0002 |
Execution (Ejecución) |
The adversary is trying to run malicious code. (El atacante está intentando ejecutar código malicioso). |
Medium (Medio) |
|
TA0003 |
Persistence (Persistencia) |
The adversary is trying to maintain their foothold. (El atacante está intentando asegurar que el malware se ejecute cada vez que los equipos se reinician). |
Medium (Medio) |
|
TA0004 |
Privilege Escalation (Escalado de Privilegios) |
The adversary is trying to gain higher-level permissions. (El atacante está intentando escalar permisos). |
Medium (Medio) |
|
TA0005 |
Defense Evasion (Defensa y evasión) |
The adversary is trying to avoid being detected. (El atacante está intentando ocultar sus acciones). |
Medium (Medio) |
|
TA0006 |
Credential Access (Acceso a credenciales) |
The adversary is trying to steal account names and passwords. (El atacante está intentando robar credenciales). |
Medium (Medio) |
|
TA0007 |
Discovery (Descubrimiento) |
The adversary is trying to figure out your environment. (El atacante esta intentando descubrir las características de la infraestructura IT). |
Medium (Medio) |
|
TA0008 |
Lateral Movement (Movimiento lateral) |
The adversary is trying to move through your environment. (El atacante está intentando moverse a través de la red). |
Medium (Medio) |
|
TA0009 |
Collection (Recolección) |
The adversary is trying to gather data of interest to their goal. (El atacante está intentando recopilar datos para conseguir sus fines) |
Medium (Medio) |
|
TA0010 |
Exfiltration (Exfiltración) |
The adversary is trying to steal data. (El atacante está intentando robar datos). |
Medium (Medio) |
|
TA0011 |
Command and Control (Comando y control) |
The adversary is trying to communicate with compromised systems to control them. (El atacante está intentando comunicarse con los equipos comprometidos para controlarlos). |
Medium (Medio) |
|
TA0012 |
Impact (Impacto) |
The adversary is trying to manipulate, interrupt, or destroy your systems and data. (El atacante está intentando manipular, parar o destruir equipos y datos). |
Medium (Medio) |
|
TA0013 |
Resource Development (Desarrollo de recursos) |
The adversary is trying to establish resources they can use to support operations. (El atacante está intentando preparar recursos que le faciliten sus operaciones futuras). |
Medium (Medio) |
|
TA0014 |
Reconnaissance (Exploración) |
The adversary is trying to gather information they can use to plan future operations. (El atacante está intentando recopilar información para utilizar en acciones futuras). |
Medium (Medio) |
Compatibilidad de los Indicadores de ataque avanzados con soluciones de seguridad de terceros
Cytomic sigue todas las recomendaciones de los fabricantes de sistemas operativos para asegurarse de que sus productos de seguridad coexisten en el equipo del cliente sin problemas con otras soluciones antivirus y EDR. No obstante, la implementación de los IOAs avanzados se realiza mediante hooks. Si existen varios soluciones de seguridad instaladas en el equipo que utilizan esta tecnología de interceptación, es posible que sean incompatibles. Para solucionar esta situación desactiva todas las tecnologías basadas en hooks del producto de seguridad en el equipo del usuario.
En Advanced EPDR las tecnologías que utilizan hooks son:
-
Anti - exploit. Consulta Anti-exploit
-
Inyección avanzada de código. Consulta Anti-exploit
-
IOAs avanzados
CKC (Cyber Kill Chain)
La empresa Lockheed-Martin describió en 2011 un marco o modelo para defender las redes informáticas, en el que se afirmaba que los ciberataques ocurren en fases y cada una de ellas puede ser interrumpida a través de controles establecidos. Desde entonces, la Cyber Kill Chain ha sido adoptada por organizaciones de seguridad de datos para definir las fases de los ciberataques. Estas fases abarcan desde el reconocimiento remoto de los activos del objetivo hasta la exfiltración de datos.
Mitre corp.
Empresa sin ánimo de lucro que opera en múltiples centros de investigación y desarrollo financiados con fondos federales dedicados a abordar problemas relativos a la seguridad. Ofrecen soluciones prácticas en los ámbitos de defensa e inteligencia, aviación, sistemas civiles, seguridad nacional, judicatura, salud y ciberseguridad. Son los creadores del framework ATT&CK.
ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)
Conjunto de recursos desarrollados por la empresa Mitre Corp. para describir y categorizar los comportamientos peligrosos de los ciberdelincuentes, basados en observaciones a lo largo de todo el mundo. ATT&CK es una lista ordenada de comportamientos conocidos de los atacantes, separados en tácticas y técnicas, y que se expresan a través de una matriz. Ya que esta lista es una representación completa de los comportamientos que los hackers reproducen cuando se infiltran en las redes de las empresas, es un recurso útil para desarrollar mecanismos tanto defensivos como preventivos y resolutivos por parte de las organizaciones. Para más información sobre el framework ATT&CK consulta https://attack.mitre.org/.
Técnica (“Cómo”)
En terminología ATT&CK, las técnicas representan la forma o la estrategia con la que un adversario logra un objetivo táctico. Es decir, el “cómo”. Por ejemplo, un adversario, para lograr el objetivo de acceder a algunas credenciales (táctica) realiza un volcado de las mismas (técnica).
Subtécnica (“Cómo”)
En terminología ATT&CK, una subtécnica describe un "cómo" para una técnica particular. Es un proceso o mecanismo para lograr el objetivo de una táctica. Por ejemplo, el Password Spraying es un tipo de ataque de fuerza bruta para lograr el Credential Access.
Táctica (“Qué”)
En terminología ATT&CK, las tácticas representan el motivo u objetivo final de una técnica. Es el objetivo táctico del adversario: la razón para realizar una acción.