21
junio
2019

Defensa Activa

La inteligencia de amenazas puede ayudar significativamente a las organizaciones a pasar de un enfoque de seguridad reactivo a uno proactivo. Al tener una perspectiva y un contexto en tiempo real en el panorama de amenazas, es posible adelantarse a los planes de un atacante e intentar frustrar sus propósitos, lo que limita su impacto y costo.

Sin embargo, incluso con dispositivos de seguridad bien ajustados e inteligencia procesable, todavía existe el riesgo de que hackers informáticos determinados puedan romper las defensas de una organización.

Nada impide a los atacantes adquirir los mismo IDS / IPS y los cortafuegos que emplean las organizaciones, para encontrar un agujero desconocido y crear un nuevo ataque (también conocido como "exploit de día cero").

La defensa activa (AD) intenta invertir la ecuación, creando acciones desde el defensor y contra el atacante. Puede traducirse como una capa de seguridad extra para mejorar los mecanismos de defensa contra quieres intenten comprometer la integridad de la información de una organización.

La organización de una defensa activa se puede dividir en tres categorías: el engaño activo, el ataque preventivo, y el contraataque. Las dos últimas tienen un carácter ofensivo, pues implican hostilidad contra el supuesto atacante, bajo una bandera de prevención; mientras que la primera, presenta un enfoque más interesante, no ofensivo, pues permite conocer los métodos que se emplean para vulnerar las defensas, y con ello brinda la oportunidad de fortalecerlas; esta es la que mejor caracteriza a una defensa activa.

El objetivo principal de una defensa activa es frustrar los ataques y proporciona al defensor capacidades de atribución, ayudándole a definir al oponente, recopilar información sobre sus tácticas, técnicas y procedimientos, y crear inteligencia de amenazas basada en esta información.

La idea es aumentar la complejidad de un ataque (por ejemplo, hacer que sea más difícil para el atacante), lo que lo obliga a realizar mayores intentos y movimientos, que muy probablemente serán detectados con facilidad.

Es posible implementar señuelos (al estilo de honeypots y honeytokens), y monitorear la actividad de un ataque con información de seguridad y gestión de eventos (SIEM: Security Information and Event Management), pues cada vez que el atacante interactúa con algún sistema de seguridad (IDS/IPS, firewall, routers, antivirus, entre otros), será posible recopilar información sobre sus movimientos, y construir inteligencia de amenazas (Threat Intelligence) propia, que puede ser correlacionada con eventos externos.

Honeypots

Un honeypot (o pote de miel), es un recurso del sistema de información de una organización, cuyo valor radica en el uso no autorizado o ilícito que se haga sobre este. Una característica importante es que los usuarios normales no pueden acceder a los mismos.

Su objetivo es imitar un sistema legítimo que ejecuta servicios vulnerables en la red, a fin de que cualquier ataque pueda ser monitoreado. En este sentido, existen honeypots de propósito general, web, bases de datos, SSH, SCADA, VoIP, USB, entre otros.

Un atacante, una vez identificado este objetivo fácil de vulnerar, intentará comprometerlo, y una vez logrado, no encontrará información válida. Una característica particular consiste en que una vez atacado, no será posible dañar otras instancias legítimas que se ejecutan en la misma red.

El personal de seguridad conoce que la mayoría de los ataques perpetrados a estos recursos son potencial y genuinamente maliciosos, por lo que pueden obtener información sobre la evolución de los mismos para proteger mejor su infraestructura. Además, permiten extraer información forense para proporcionar como evidencia.

El único propósito de los honeypots es confundirse con un recurso de producción y sufrir ataques, pues desde la perspectiva de un hacker, no deben existir diferencias entre estos y los dispositivos de servicios reales.

Los sistemas honeypots pueden implementarse en diversas ubicaciones de la infraestructura de red; en este sentido, es posible ubicarlos tanto del lado del servidor como del cliente.

En un honeypot del lado del servidor, se pueden ejecutar servicios SSH o NetBIOS, por ejemplo, para tentar a los atacantes a emplearlos ilícitamente y monitorear su comportamiento. Por el lado del cliente se pueden implementar aplicaciones específicas, como navegadores web, por ejemplo, que se conecten activamente a servicios remotos, a fin de analiza el comportamiento del servidor o su contenido entregado, para así detectar intentos maliciosos.

Es posible, además, configurar los honeypots con niveles diferentes de interacción: bajo, alto o híbrido, referido a la posibilidad de interacción con recursos emulados (virtuales) o reales.

Los honeypots de baja interacción emulan un recurso, proporcionando una funcionalidad limitada en comparación con la instancia real. El éxito de engañar al oponente depende del grado de precisión de la emulación. Fácil de implementar, la emulación (en este contexto) reduce el riesgo de que un dispositivo (una PC, por ejemplo) se vea comprometida, sin embargo, algunos recursos emulados pueden comportarse de manera diferente a los reales y los hackers experimentados pueden notar y abortar sus intentos en una etapa temprana.

Los honeypots de alta interacción no usan emulación y, en cambio, emplean recursos y sistemas reales. Estos son menos propensos a ser notados, sin embargo, el consumo de recursos y la complejidad pueden afectar la escalabilidad y el rendimiento.

Finalmente, los honeypots híbridos son una combinación de interacción baja y alta, que proporcionan las mejores características de ambos tipos.

Honeytokens

El concepto de honeypots que simula un dispositivo legítimo, se ha extendido además a los archivos. En el mismo enfoque, un honeytoken (también llamado "documento de señuelo") es aquella información o archivo digital atractivo por su contenido, que un atacante (interno o externo) intentara comprometer.

Cada acceso a ese archivo (token) es monitoreado y considerado malicioso. Un caso típico es difundir honeytokens en una base de datos o registros, nombrados de forma atractiva, como "lista de puertos" o "cuentas de usuarios", por ejemplo. Una vez que un atacante accede a esta información e intenta utilizarla, se activa una alerta.

Algunas de las características de un efectivo honeytoken son:

  • Debe parecer verdadero, a la vez que valido y deseable para el atacante.
  • No debe interferir con las operaciones normales del sistema, lo que indica que nunca debe contaminar datos auténticos.
  • Tiene que ser monitoreado constantemente, lo que implica que el uso de la información que contiene siempre debe levantar una alarma.
  • Debe ser único, para minimizar las tasas de falsos positivos.

En cuanto a la ubicación de los documentos señuelo, algunos lugares deben tener privilegios, como bases de datos, servicios de intercambio de archivos (servidores FTP), bandeja de entrada de correo electrónico del usuario y nube corporativa.

La ubicación en la que se despliegan los tokens puede ser elegida, además, de acuerdo con inteligencia de amenazas externa, desplegando señuelos en lugares conocidos por los atacantes, mejorando con ello las capacidades de la organización para analizar los ataques, y elevando las capacidades de detección y engaño.

Mejoramiento y Colaboración

La defensa activa proporciona un mecanismo para agregar una capa adicional de seguridad, permitiendo a las organizaciones aprender mejor de los ataques recibidos a su infraestructura de red.

Se pueden implementar estrategias exitosas (honeypots y honeytokens) como señuelos, para monitorear todas las acciones que realizan los atacantes, y mejorar así el análisis y las formas de reaccionar, como incremento de la efectividad en la defensa de los recursos de información valiosos.

Los equipos de seguridad no solo pueden fortalecer su infraestructura para evitar más ataques, sino que también pueden socializar la información recopilada, y compartir su inteligencia de amenazas interna con la comunidad de información de seguridad, para ayudar a otros a proteger su entorno.