Finalizando el 2009 tomé la decisión de dejar de ser proveedor y convertirme en cliente. Una oportunidad con una organización muy importante del sector financiero en Colombia me llevó a ser CISO, con el fin de demostrar que mis conocimientos como consultor realmente funcionaban en la vida real.

Me encontré con todo tipo de herramientas implementadas: soluciones para seguridad en la red, en el punto final, en las aplicaciones, protección Web, para mensajería, control de accesos y usuarios, SOC, entre otros.

La junta directiva estaba tranquila, ya que cada requerimiento de seguridad había sido atendido y se habían entregado los recursos necesarios. Pero los incidentes seguían ocurriendo y la solución solía ser buscar una nueva herramienta para mitigar dicha exposición.

Yo venía de implementar varios Centros de Operaciones de Seguridad (SOC) en épocas donde el SIEM apenas estaba definiéndose. Mi decisión: orientar la estrategia a la detección y respuesta y reducir un poco la prevención.

El gran objetivo fue el de lograr detectar nuevas amenazas que los controles conocidos como IPS o Antivirus de firmas no lograban detectar.

Comenzamos con elementos básicos que quiero ir definiendo para finalizar con la metodología que venimos aplicando para la cacería de ataques.

Nuestro primer objetivo: la generación de listas negras

Recolectábamos datos de direcciones IP que generaran algún tipo de reconocimiento o ataque hacia nuestra superficie de ataque, incluyendo información de los servicios que buscaba explotar (correo, web, etc) y enriquecíamos con datos como la ubicación geográfica mediante el uso de GeoIP.

Búsqueda de dominios

Posteriormente intentamos buscar dominios, debido a que la información no la podíamos detectar porque no teníamos dichas fuentes de información, realizábamos resolución inversa de nombres de dominio para encontrar si varias direcciones IP viejas y nuevas se relacionaban con un dominio. Al incluir el filtrado de contenido comenzamos a identificar dominios y URLs, con esto finalizamos nuestro objetivo de listas negras.

Métodos de ataque a nivel de red y host

Más adelante nos orientamos a identificar artefactos y métodos de ataque a nivel de red y de host. Las herramientas de Sandboxing comenzaban a aparecer, y logramos identificar archivos, llaves de registro y procesos que ponían en riesgo nuestros equipos, servidores y puertos que orientaban las operaciones a través de la red.

Definición de casos de uso

La última fase del proyecto se orientó a la definición de casos de uso, buscando la identificación de las formas y métodos utilizados para atacar, las técnicas utilizadas y artefactos. Apoyándonos nuevamente en las soluciones Sandbox lográbamos tener una claridad de cada una de las actividades que realizaba un ataque, comprendiendo el método de ataque.

 

Para resumir y presentar la metodología, nuestra estrategia de cacería de ataques se orientó a:

  1. Direcciones IP
  2. Dominios
  3. Artefactos de red y equipos
  4. Tácticas y Métodos de ataque

 

 

Hace poco encontré lo que se llama la pirámide del dolor en un blog de David Bianco, que resume cuáles indicadores son más efectivos para detectar ataques. Establece que los IoC (indicadores de compromiso) son lo más efímero en la actualidad, debido a que cada archivo malicioso se modifica constantemente; pero las técnicas, tácticas y procedimientos deben ser la prioridad porque comprendemos la forma en la que los grupos (de cibercriminales?) realizan sus ataques, lo que en la actualidad llamamos IoA (indicador de ataque).

 Indicador de Ataque (IoA)

 

¿Quieres conocer cómo Splunk  puede detectar y controlar ciberataques en tu empresacontacta con nuestros asesores.

¿Te contamos más?

>_

Otros Blogs

Isotipo A3Sec