El Futuro de la Detección de Amenazas es la Comunidad
Tabla de contenidos:
Confiando en Fuentes Públicas de Información
Piénsalo — cada vez que abrimos un post de blog con el último análisis de malware, repasándolo en busca de los IoCs que nuestros equipos de amenazas necesitan con desesperación, ¿no se siente un poco letárgico?
Crucemos los dedos, nuestro proveedor de seguridad favorito ya ha hecho lo mismo, y los feeds de inteligencia de amenazas se han actualizado con los hashes, nombres de archivos y direcciones IP maliciosas conocidas.
Pero, ¿no parece al menos un poco incómodo que no podamos sobrevivir sin el trabajo altamente técnico y altamente oportunista que algunos de los equipos de respuesta tienen la oportunidad (¿un privilegio?) de realizar en las últimas muestras de malware? Solo unos pocos investigadores en seguridad logran descomponer un error que hace apenas 12 horas apagó la mitad de la red eléctrica en Europa del Este, sin embargo, todos necesitamos los resultados de ese análisis.
Contenido de Detección de Stock Inútil
¿Eres lo suficientemente “afortunado” para recordar qué tan bien funcionaba la detección de amenazas antes del CTI? En ese entonces, ver tráfico de red a una dirección IP CC de un botnet bien conocida era la primera vez que sabíamos con certeza que se había producido un compromiso. No hace falta decir que era menos que preciso.
El contenido de stock de SIEM era aspiracional en el mejor de los casos. Todavía recuerdo vergonzosamente renombrar las Reglas de ArcSight a finales de los 2000 de algo como «Host Comprometido» a algo más en línea con «Actividad Potencialmente Sospechosa». La industria ha recorrido un largo camino desde que los conceptos de «alerta» e «incidente» significaban lo mismo. Hoy en día, estamos contentos de conformarnos con «señal» seguida de triaje automatizado o incluso agrupamiento.
La conclusión es — las reglas de comportamiento de ayer en general no han cumplido. ¿Por qué? La razón principal podría ser el hecho de que los proveedores de software de seguridad NO están, de hecho, en el negocio de la investigación de amenazas. Están en el negocio de hacer y vender software (sorprendente, lo sé). Para ser justos, la mayoría de los proveedores de SIEM han desarrollado una adecuada experiencia en el dominio internamente, pero en la práctica, la mayoría del contenido de detección de stock no ha logrado satisfacer las necesidades del mundo real. Las reglas de los proveedores fueron rápidamente descartadas por los equipos de SecOps y reemplazadas con las internas.
Intentos Fallidos de Colaboración Comunitaria
En un intento por abordar este problema, la mayoría de los proveedores han lanzado sus propios «portales comunitarios», donde los clientes podían compartir sus «casos de uso». Desde ArcSight Protect247 hasta SplunkBase, la idea de que los usuarios se unan como comunidad y contribuyan con sus últimos y mejores esfuerzos ha parecido atractiva, si no obvia.
Desafortunadamente, se puede afirmar con confianza que hasta la fecha, ninguno de estos intentos ha sido exitoso. Sé por mi propia experiencia que construir una comunidad desde cero es extremadamente difícil (¿alguien recuerda @SIEMguru?). Pero quizás lo más importante, parafraseando a Jon Stewart, la «vida útil» del contenido de detección de amenazas es cercana a la de un sándwich de huevo. Y sin genuina motivación de cuidado y alimentación, es casi imposible mantener las nuevas reglas fluyendo.
Tampoco ayuda que esos esfuerzos sean específicos del proveedor. Así que mientras los usuarios de QRadar estaban construyendo reglas para Mimikatz, sus colegas que usaban Elastic tenían que hacer lo mismo, pero con una sintaxis diferente. Tomó el estándar de Sigma de Florian Roth y Thomas Patzke para finalmente formalizar las reglas de detección en todas las plataformas SIEM y EDR/XDR.
El Enfoque Correcto
Admitidamente, el estándar Sigma no es perfecto. Soportar la traducción de reglas a todos los lenguajes de consulta de detección es simplemente poco realista. Pero de nuevo, tal vez detecciones de coincidencia inversa to un estándar común no es tan importante. Si los investigadores de ciberseguridad pueden adoptar Sigma para reglas de detección de amenazas conductuales, hacerlas disponibles una vez, y luego poder traducir reglas y consultas automáticamente y con precisión a la sintaxis adecuada, entonces ¿por qué no? Los beneficios de este enfoque son obvios — independientemente de la tecnología, tu equipo interno de detección de amenazas acaba de ganar un nuevo superpoder.
Y por muy genial que sea Sigma, tomó el Mercado de Detección de Amenazas de origen público y neutral de SOC Prime para que finalmente las estrellas se alinearan en analítica de comportamiento. Y hoy, cualquier profesional de ciberseguridad en el mundo puede beneficiarse de los resultados del trabajo de los mejores investigadores, tan pronto como se publique. Ese es el poder de la comunidad global, y es por eso que la detección de amenazas conductuales finalmente está en el punto de ser una capacidad indispensable en el arsenal de cualquier defensor cibernético.
