La respuesta es, no, no es una moda. Lo cierto que el Threat Hunting lleva entre nosotros mucho tiempo. Es cierto que en el entorno “ciber” es un área novedosa, pero en el entorno militar no lo es tanto. Como tampoco lo es para las agencias de inteligencia.

Tanto las agencias de inteligencia como el entorno militar llevan mucho tiempo recolectando información de los adversarios, para más tarde analizarla y extraer conclusiones de esta. Para ello la información pasa varios filtros hasta conseguir inteligencia.

La inteligencia siempre debe de estar ligada a responder preguntas usualmente sobre el adversario, pero restringido a éste solamente. Por ejemplo, ¿Cómo suele atacar mí oponente? ¿De qué armas dispone? ¿Cómo de vulnerable soy? ¿Quién tiene interés en atacarme y por qué?, serían preguntas típicas que se deberían de responder para poder defenderse de un atacante o atacar a un enemigo.

En el entorno militar se ha utilizado el termino Kill Chain para describir como se constituye un ataque. Identificación del objetivo, decisión de atacar a un objetivo o incluso destruir un objetivo. Esta idea se puede adaptar a entorno “ciber”, y así lo hizo Lockheed Martin adaptando la Kill Chain militar al entono “ciber”.

La imagen superior representa la Cyber Kill Chain donde se aprecian los pasos habituales de un ciberataque.

  • Reconocimiento: El atacante estudia su objetivo, identifica sus vulnerabilidades.
  • Armamento: El atacante diseña un malware para acceder al organismo objetivo.
  • Entrega: Hay que hacer llegar el malware al objetivo, hay que infectar al objetivo.
  • Explotación: El malware se ejecuta dentro de la organización y consigue el acceso deseado por parte del atacante.
  • Instalación: Habitualmente un atacante requiere de acceso continuo a su objetivo, para ello instala puertas traseras o vías de acceso a la red de su objetivo.
  • C&C: El malware instalado debe permitir realizar acciones complejas dentro de la infraestructura del objetivo.
  • Exfiltración: Finalmente los atacantes extraen información del objetivo, normalmente información crítica y de alto valor.

Como se observa la Kill Chain ofrece información sobre las fases de un ataque. Conocer las fases de un ataque permite centrar esfuerzos en la detección y al mismo tiempo en la defensa del atacante. Al mismo tiempo la Kill Chain permite focalizar las Tácticas, Técnicas y Procedimientos (TTP) de los atacantes en cada una de las fases.

Las personas, los grupos e incluso las empresas tiene una forma característica de realizar el trabajo, cada uno tiene una forma peculiar de obtener un mismo objetivo. Esto no dista mucho en como un atacante ataca a sus objetivos. Para identificar estos comportamientos característicos en los atacantes se utilizan las TTP. Se puede identificar qué adversario está intentado reconocer a su objetivo, o quien ha conseguido acceder a la infraestructura de su objetivo conociendo que técnicas de explota ción ha utilizado.

Juntando las fases de la Kill Chain con las TTP de los atacantes identificamos grupos de atacantes y la forma en la que nos atacan para cada una de las fases. Esta información es muy útil, pues permite generar inteligencia sobre nuestros atacantes, intereses (para ellos) sobre nuestra información y al mismo tiempo, indicadores para detectarlos y defenderse de los atacantes.

Para cada una de las fases de la Kill Chain disponemos de unas acciones de defensa asociadas.

  • Detectar: Detectar cuando se está produciendo un reconocimiento activo o pasivo.
  • Denegar: Evitar publicar información sensible y denegar cualquier tipo de acceso innecesario.
  • Interrumpir: Bloquear el tráfico de los atacantes.
  • Degradar: Contra atacar a los C&C (Command & Control).
  • Engañar: Inferir con el C&C.
  • Contención: Segmentar la red hasta identificar la infección.

Esta teoría está muy bien, pero…

¿Qué herramientas hay para facilitar el Threat hunting?

Esa es una gran pregunta, porque herramientas hay muchas, sobre todo opensource, pero es difícil ver herramientas que se integren en un todo y permitan el análisis de la información centralizado. Recordemos que el trabajo de Threat Hunting es básicamente manual, y por lo tanto se lleva a cabo por personas. Los analistas utilizan diariamente multitud de herramientas para analizar la información recibida, estructurarla y posteriormente procesarla. Después de todo ese trabajo se pueden hacer conjeturas sobre la información, como puede ser descubrir nuevos métodos de ataque o resolver un incidente de seguridad.

Desde Sothis hemos tenido la oportunidad de probar recientemente una herramienta de IBM llamada i2. Se trata de un notebook donde el analista puede trabajar de forma unificada y centralizada para realizar investigaciones de Threat Hunting. I2 permite realizar investigaciones complejas de una manera simple y clara. Hay que dejar claro que no hay herramienta de “botón gordo” que permita hacer Threat Hunting e i2 tampoco lo pretende, pero lo cierto que una interfaz gráfica ayuda a identificar patrones sospechosos, a identificar la anomalía y centrar así el análisis en los puntos de interés.