11
junio
2019

Seguridad Reactiva y Proactiva

Seguridad Reactiva

La información de seguridad y la gestión de eventos (SIEM: Security Information and Event Management), es una solución eficiente de seguridad reactiva, que ofrece una vista panorámica de una infraestructura de red.

Cumple dos objetivos principales: primero, detecta incidentes de seguridad (casi) en tiempo real, y segundo, administra registros de manera eficiente. Estos objetivos se denominaron, respectivamente, gestión de eventos de seguridad (SEM: Security Event Management) y gestión de información de seguridad (SIM: Security Information Management), pero en la actualidad estas funciones se han fusionado en una única capacidad conocida como SIEM.

Desde un punto de vista de alto nivel, un SIEM recopila información en forma de registros, eventos, y flujos, por ejemplo, de varios dispositivos en una red, correlaciona y analiza los datos para detectar incidentes y patrones anormales de actividad y, finalmente, almacena la información para uso posterior, en forma de informes y perfiles de comportamiento, entre otros.

Cuando se implementa y configura con éxito, un SIEM ayuda a las organizaciones a:

  • Descubrir amenazas internas / externas.
  • Monitorear la actividad del usuario y el acceso a los recursos.
  • Proporcionar informes de cumplimiento.
  • Apoyo a la respuesta a incidentes.

El SIEM recopilará registros y eventos de una colección heterogénea de fuentes de datos que se pueden agrupar en cuatro categorías:

  • Dispositivos de red (enrutadores, conmutadores, etc.)
  • Dispositivos de seguridad (IDP / IPS, firewalls, antivirus, etc.)
  • Servidores (web, correo, etc.)
  • Aplicaciones

Para cada dispositivo de estas categorías, se utilizará un conector para recopilar y normalizar su información antes de enviar los registros al motor central, el corazón del SIEM, donde se almacenarán en una base de datos durante cierto período de tiempo, según la política de retención de la organización.

El motor central correlacionará toda la información recopilada mediante el uso de diversos algoritmos y técnicas de extracción de datos, que identificarán patrones y comportamientos sospechosos, y proporcionarán una gran ayuda para la detección de intrusiones y la auditoría.

Registros, Eventos y Flujos

Un sistema SIEM puede hacer uso de mucha y variada información. El tipo principal son los datos de registro, generalmente destinados a varios propósitos, como la depuración, la administración del sistema y las auditorías de seguridad.

El estándar más utilizado para el registro es el estándar syslog, aunque dependiendo del dispositivo, este estándar puede cambiar, pues en el caso de los servidores web, la mayoría de ellos utilizará el formato de registro común W3C, u otros formatos propietarios.

Otro tipo de información que puede ser recuperada por un SIEM son los eventos, generalmente producidos por dispositivos de seguridad como IDS (Intrusion Detection System), IPS (Intrusion Prevention System), o sistemas de Gestión de Identidad y Acceso (IAM: Identity and Access Management).

Los eventos están asociados a: errores de validación de entrada (como nombres y parámetros no válidos), violación de protocolos, errores de aplicaciones y eventos del sistema (como errores de tiempo de ejecución, problemas de conectividad, problemas de rendimiento, entre otros).

En este sentido, un sistema SIEM puede verificar varios eventos, y en función de sus características activar una alarma; por ejemplo, en presencia de un escaneo de puertos, cuando un firewall recibe en poco tiempo (segundos) peticiones en un rango de puertos, envía al SIEM esta información de eventos, que pueden coincidir con la regla "escaneo de puertos", y activar una alerta para el equipo de seguridad.

Existen varios estándares de eventos para mejorar la interoperabilidad y simplificar la integración de dispositivos, y entre los más destacados se encuentran los formatos propuestos por ArcSight, IBM, y Splunk.

Finalmente, el último tipo de datos que puede usar un SIEM es el flujo de tráfico, que proporciona una mejor visión general de la actividad de la red. Los dos estándares principales son NetFlow e IPFIX.

Limitaciones

Una vez desplegada una solución SIEM, el equipo de seguridad, o en Centro de Operaciones de Seguridad (SOC: Security Operation Center) según sea el caso para cada organización, implementan por lo general una estrategia de monitoreo y respuesta, basadas en:

  • Un enfoque basado en firmas: donde se supervisarán las actividades y se actualizarán periódicamente los dispositivos de seguridad con firmas de amenazas conocidas, lo que trae asociado como inconveniente que solo protege de firmas (amenazas) conocidas.
  • Un enfoque basado en anomalías: se centra en detectar comportamientos anormales, lo que ayuda a detectar amenazas desconocidas, pero aumenta significativamente la tasa de falsos positivos. La consecuencia directa es el tiempo requerido por el equipo de seguridad para investigarlos, lo que aumenta la posibilidad de perder los positivos verdaderos.

Las limitaciones de cada enfoque hacen que la tradicional postura de seguridad reactiva no sea suficiente, y obligan a las entidades a encontrar nuevas formas eficientes de defenderse.

Seguridad Proactiva

La visibilidad general proporcionada por un SIEM es un buen comienzo, pero es necesario agregar un elemento clave para frustrar ataques de manera proactiva: la inteligencia de amenazas (Threat Intelligence).

La inteligencia de amenazas es el acto de formular un análisis basado en la identificación, recopilación y enriquecimiento de información relevante, tanto interna como externa, sobre intentos o ataques a las redes de datos de las organizaciones.

Es importante comprender que la inteligencia de amenazas es más que solo correlacionar información, pues brinda un análisis de los atacantes y sus motivaciones y métodos, basados ​​en la recopilación de datos que se enriquece al usar el contexto.

Cuando las organizaciones usan la inteligencia de amenazas, pueden enfocar sus acciones en varios puntos cruciales para protegerse de manera eficiente:

  • Quién está atacando: ayuda a las organizaciones a atribuir ataques y/o actividades maliciosas a ciertos grupos (hackers independientes u organizados, agencias gubernamentales o nacionales, entre otros.)
  • Por qué lo están haciendo: conocer quién está detrás de un ataque ayuda a comprender las motivaciones del adversario, cuánto esfuerzo destinarían, y como podrían ser los ataques específicos (amenaza persistente avanzada).
  • Lo que buscan: con esta información, las entidades pueden priorizar sus acciones en función de la importancia del activo que los atacantes apuntan.
  • Cómo están avanzando: permite descubrir la manera en que los adversarios suelen proceder, las herramientas e infraestructuras que utilizan, sus tácticas, técnicas y procedimientos, entre otros.
  • De dónde provienen: correlacionar el país de origen de un adversario con su situación geopolítica puede ayudar a los defensores a entender a sus enemigos.
  • Cómo reconocerlos: también denominados indicadores técnicos de compromiso (direcciones IP, puertos, cuentas de usuarios, entre otros), proporcionan información clara que se puede usar para detectar y señalar una presencia maliciosa.
  • Cómo mitigarlos: información sobre los pasos que una entidad puede tomar para protegerse a sí misma.

La inteligencia de amenazas se puede presentar dependiendo de quién o cómo se necesite:

Por un lado, puede ser a nivel estratégico: es entendible para las personas, no es demasiado técnico y está destinado a ser procesado únicamente por el personal especializado, en todos los niveles de la organización, para darles una idea del impacto de la amenaza o el ataque, ayudándoles a tomar las decisiones correctas. Los formatos típicos de inteligencia estratégica son informes o boletines.

Alternativamente, también puede estar en el nivel operacional: una vez obtenido el análisis, los dispositivos consumen esta información legible por máquina para que puedan actuar ante amenazas; por lo general, la inteligencia operativa es datos en formato XML para facilitar el entendimiento entre los diferentes dispositivos.

La inteligencia de amenazas se convierte, por tanto, en una parte integrada del ciclo de vida de la seguridad informática de una organización, que involucra a muchos actores dentro de la empresa.

Fuentes Internas y Externas

Con una buena inteligencia de amenazas, una entidad puede descartar fácilmente los indicadores no válidos y, por lo tanto, centrarse en las amenazas reales que enfrenta.

Al correlacionar la inteligencia de amenazas proporcionada por partes externas a las organizaciones, con la información interna recopilada por una solución SIEM, las organizaciones tienen una mejor visión de los ataques en su contexto, y pueden defenderse proactivamente contra las amenazas emergentes para su entidad.

La inteligencia de amenazas externa a una organización puede recuperarse de diversas fuentes, como proveedores de seguridad cibernética, laboratorios e investigadores independientes, proyectos de código abierto y grupos gubernamentales y de la industria.

Una buena estrategia es emplear inteligencia de amenazas a la medida, teniendo en consideración el contexto donde opere la entidad (no será igual el entorno de un banco al de una industria, ni siquiera el de dos industrias de ramos diferentes), pues los proveedores de seguridad pudieran ofrecer claves correctas y precisas para defenderse de las amenazas concretas en su entorno.

Además, también sería conveniente recuperar inteligencia de amenazas genérica (aplicable a cualquier entorno), para ayudar a frustrar fugas de propiedades intelectuales o información de identificación personal de empleados, por ejemplo.

Por otro lado, su empleo también mejora la administración de vulnerabilidades, ya que proporciona una manera de priorizar los indicadores y parches de seguridad, lo que ayuda al personal de especializado a solucionar primero las vulnerabilidades más peligrosas.

Al combinar la inteligencia de amenazas interna y externa, las organizaciones tienen una forma de potenciar la identificación de amenazas en tiempo real, pues se incrementa la capacidad de disminuir el tiempo empleado en analizar alertas relacionadas con amenazas irrelevantes, y evitar con ellos la saturación de alertas como falsos positivos.