Hoy vamos a hablar de los 2 enfoques que existen en la detección de amenazas: Threat Hunting vs Threat Monitoring. Empecemos por despejar las incógnitas.
¿Qué son el Threat Hunting y el Threat Monitoring?
Threat Hunting
El Threat Hunting se basa en lo que se conoce como el principio de confianza cero, según el cual se asume que un atacante está dentro. La labor del hunter es detectarlo antes de que el ataque tenga un impacto, que puede ser en el ámbito económico o reputacional, entre otros.
El primer principio del hunter es "yo estoy aquí para detectar lo que las herramientas automáticas no pueden". Creedme cuando os digo que esto es más común de lo que parece. Para ello, emplea técnicas activas de detección de amenazas basadas en todo tipo de herramientas, aunque las más comunes son los logs de equipos de usuarios y de herramientas perimetrales. Un hunter también suele realizar sus propios análisis con información de EDR, MTA, IPS y cualquier otra solución de seguridad que permita la búsqueda activa.
Cada plataforma tiene unos puntos fuertes y débiles, por lo que las reglas que escriba un hunter en un IPS se enfocarán en unas tácticas y técnicas distintas de las de un EDR.
El objetivo final del hunter es automatizar todo esto, para que el resto sea Threat Monitoring, pero el mundo es cambiante, y el proceso iterativo del hunter nunca termina.
Threat Monitoring
A diferencia del hunting, en la parte de monitoring no vamos a realizar acciones activas. Al contrario, nos sentaremos a esperar detonaciones de alertas por parte de reglas implementadas por hunters o por las herramientas de seguridad. En el monitoring, el analista recibe una alerta, la procesa extrayendo la información más importante para determinar si es una amenaza tras una pequeña investigación y, después, la notifica si lo cree necesario.
Esto comúnmente se conoce como "Servicio de SIEM" y, aunque parece que es necesario, en 2020 ya no lo es: es imprescindible, pero no necesario. Necesario sí que es ir a buscar las amenazas antes de que Ryuk te haga salir en la tele; en 2020, el Threat Monitoring es algo que cualquier organización no solo debería de tener, sino que debería tener bastante afinado.
Impacto en una empresa
Una vez vistas ambas disciplinas vamos a ver cómo impactan en el contexto de una empresa partiendo de la base de los "Managed Shared Services".
Utilizaré esta disciplina dado que la mayoría de empresas no tienen un servicio propio de monitoring, y mucho menos de hunting.
Vamos a suponer que la empresa ACME ha sufrido la visita de Lazarus Group. Este grupo APT le ha sustraído la friolera de 5 millones de $, por lo que ACME, tras contratar un proceso de Incident Response, ha determinado que la solución para que no le vuelva a pasar es contratar un servicio de Threat Monitoring.
ACME contrata con MSS X su servicio de Threat Monitoring. ¿Qué puede esperar ACME de este servicio? Lo siguiente:
- Integración de las fuentes de su SIEM. Esto es, integración de logs AV, MTA, Cloud Access, Windows logs, etc.
- Inserción de "casos de uso estándar", que corresponden a un usuario entrando por VPN desde 2 sitios muy distintos o a un usuario fallando la password más de 3 veces en 5 minutos.
- Actualización de casos de uso estándar y alguno nuevo, así como generación "bajo demanda" para las necesidades de ACME.
- Mantenimiento del SIEM.
- Análisis de información reportada desde el SIEM para determinar si es una alerta.
En resumen, este es el tipo de servicio que un cliente debe de tener. Ahora veamos los puntos débiles de este servicio:
- Es un servicio totalmente reactivo, tanto al ataque como a la fase. Nunca irá por delante de nada, como mucho podrá llegar "a tiempo" para evitar una desgracia, y solo en determinados casos.
- El monitoring suele incluir recomendaciones de mitigación, pero no de mejora, por lo que este punto recae de forma única en el criterio y conocimiento del cliente.
- El análisis que se suele realizar en el Threat Monitoring es individual para cada alerta, por lo que interpretar la cadena de ataque queda a riesgo y cuenta del cliente.
- Estos servicios suelen traer pocas reglas nuevas y son bastante limitadas en cuanto a su avance, ya que se suele preservar el buen funcionamiento del SIEM por encima de la detección.
- No podemos esperar de estos servicios nada más de lo que hagan las herramientas automatizadas y en determinados casos las reglas de correlación, por lo que su eficacia ante ataques avanzados es “limitada”.
Ahora, vayamos a suponer que ACME considera que esto es poco para parar a Lazarus o Ryuk y quiere evaluar si le interesaría un servicio de Threat Hunting.
¿Qué puede esperar ACME de un servicio de Threat Hunting? Lo siguiente:
- Adaptación del analista al entorno del cliente, incluyendo las herramientas del mismo.
- Creación de reglas de "hunting". Estas reglas suelen ser bastante más avanzadas que las genéricas de SIEM, se adaptan a la plataforma y suelen ser "más masivas”, dado que una técnica puede tener muchas subtécnicas y cada una de ellas varias formas de detección.
- Threat Intel y Threat Modelling incorporado. Aunque muchos MSS separan el servicio de inteligencia de amenazas del hunting, los hunters deben leer información sobre nuevos ataques y campañas, no para identificar nuevos hashes como se haría en un Threat Intel al uso, sino para identificar nuevos TTP y crear nuevas "hunting rules". De la misma manera para el Threat Modelling. Según el cliente pueda ser más o menos importante se suele realizar para tener una idea de por dónde pueden intentar entrar “los malos”.
Vista la diferencia, veamos los puntos fuertes que tenemos si contratamos un servicio de hunting:
- Un hunter suele tener un conocimiento técnico y de cada entorno mucho más alto que un Monitoring Analyst, por lo que tiene la capacidad tanto de emitir recomendaciones de mitigación como de mejora de la seguridad de la empresa.
- Maximiza la eficacia de las herramientas, al no basarse en las reglas por defecto e ir desarrollando nuevos métodos.
- A diferencia del Monitoring, mediante el trabajo del hunter, el cliente necesita menos tiempo y recae en él menos responsabilidad sobre las amenazas, ya que suelen llegar más trabajadas -por el mayor acceso del hunter al entorno y el menor volumen de clientes/técnico-.
- Permite llegar (casi) hasta la fase de IR, ya que a diferencia del Monitoring, el hunter necesita una evidencia de que algo es malicioso antes de reportarlo y esto, a veces, exige llevar a cabo tareas de DFIR antes de hacer un reporte.
- La complejidad de las amenazas detectadas por un hunter es mucho mayor y permite protegerse incluso ante casos 0-day de nuevas cepas de Emotet, Trickbot, etc. También son "los únicos" que pueden identificar que una amenaza no es solo una amenaza aislada y podría ser parte de un APT.
- Se puede combinar con los Threat Monitoring Analyst para aumentar la calidad de los reportes en determinados casos de uso.
Como se puede ver, las aproximaciones a la identificación de incidentes son muy distintas, así como que podemos esperar de ellas. Desde mi punto de vista, en 2020 cualquier entorno corporativo grande debería contar con ambas ya que, si te pierdes una, dejas la silla coja y te cubres con una (falsa) sensación de seguridad que no evitará que “los malos” vuelvan, con nuevas técnicas y métodos de los que no puedan protegerte las herramientas automatizadas.
Equipo Detect & Respond