Artículo auspiciado: Indicadores de exposición y visualización de superficie de ataque

Es innegable que los sistemas de TI se han vuelto enormemente complejos y siguen Influenciados por cambios rápidos que están redefiniendo las redes, como la desperimetralización, dispositivos móviles, virtualización, software como servicio (SaaS) y la Internet de las cosas (IoT). Esta creciente complejidad se está produciendo en un entorno en el que los recursos son limitados y los requisitos reglamentarios están obligando a la alta dirección a exigir más información, dejando a los profesionales de la seguridad luchar por comunicar el estado de su seguridad a través de las líneas gerenciales y departamentales.

Las empresas deben pensar en toda su infraestructura de red—física, virtual y en la nube—de la misma manera que lo hacen los atacantes: una superficie de ataque muy grande, diversa y geográficamente dispersa (todas las formas en que los sistemas de TI y las redes son vulnerables al ataque). A menudo los profesionales de la seguridad no tienen medios para visualizar la totalidad de la superficie que deben proteger, por lo tanto, se basan en una perspectiva peligrosamente estrecha para identificar, priorizar y remediar lo que creen son vulnerabilidades críticas. Típicamente, estas tareas se realizan en modo de crisis y con poco contexto de cómo las vulnerabilidades pueden o no representar una amenaza real.

Esta estrecha perspectiva está cambiando con la aparición de herramientas de visualización que brindan vistas sin precedentes de superficies de ataques, y por consecuencia, una mayor visión sobre cómo abordar mejor la exposición a las amenazas que ponen a las empresas en riesgo. Dichas herramientas combinan el modelado de rutas de ataque con reportes avanzados de amenazas (la capacidad de correlacionar inteligencia de amenazas con vulnerabilidades encontradas en las empresas) y motores analíticos que priorizan automáticamente las vulnerabilidades y generan alertas. Este artículo describe el fundamento de tales herramientas y el concepto de indicadores de exposición—indicators of exposure (IOEs)—como el soporte crítico de la visualización de la superficie de ataques.

Comprender los Indicadores de exposición: La onza de la prevención

Desde la aparición del ataque Google Aurora en 2010,¹ las amenazas persistentes avanzadas (APT) han tomado relevancia en el ámbito de la seguridad cibernética, y los encargados de la seguridad están cada vez más conscientes de que los ataques a sus redes serán blanco atractivo, sin embargo, no se sabe cuándo. Los equipos de seguridad han ampliado rápidamente sus herramientas de detección de ataques que poseen capacidades para identificar indicadores de compromiso (IOCs) lo que se utiliza para preparar una respuesta rápida con el fin de limitar el daño.

Como Benjamín Franklin dijo, "Una onza de prevención vale una libra de cura".² Los IOCs pueden ser utilizados para identificar las características de los ataques en curso, tales como tráfico de salida inusual, anomalías en cuentas privilegiadas e irregularidades geográficas. Ciertamente, las herramientas para detectar y responder a los IOCs tienen su lugar legítimo en cualquier kit de herramientas de seguridad, pero un enfoque singular en la detección y respuesta (y presupuesto), puede alejarnos de la línea de la implementación de medidas proactivas que reduzcan la probabilidad de ataques. Si los líderes de seguridad mantienen un enfoque tan estrecho sobre los IOC y no tienen un plan estratégico para minimizar los factores que pueden conducir a ellos, entonces la empresa siempre estará “apagando incendios”.

Los IOEs son los factores que pueden conducir a un ataque y deben identificarse junto con las IOCs (indicators of compromise). Las IOEs destacan las condiciones previas que hacen que un ataque sea más probable (figura 1). Al combinar IOEs en una vista única y dinámica, los profesionales de seguridad obtienen la ventaja de tener acceso a una representación completa de su superficie de ataque empresarial. Este nivel de visibilidad de la superficie de ataque y el análisis de las IOEs que contribuyen a ello constituyen un cambio de juego para los administradores y gerentes de seguridad (CISO).

Identificación de los indicadores de exposición

IOEs describen debilidades de seguridad que son particulares de una red empresarial y pueden ser explotadas por un atacante. No es suficiente catalogar sólo una lista de vulnerabilidades. Se debe considerar las vulnerabilidades que están expuestas a un ataque potencial, y también las que colocan los activos en riesgo. Las IOEs se determinan analizando múltiples factores, a diferencia de analizar solo uno. Un cambio de regla del cortafuego inesperado es un evento (modificación de regla), pero una regla del cortafuego inesperada (nueva regla) es un cambio que abre una ruta de acceso a un activo crítico, es un IOE. Al vincular las IOE con una comprensión de la topología y los activos de la red, las empresas pueden discernir qué vectores de ataque tienen mayor probabilidad de ser explotados en un ataque de varios pasos.

Trabajar con IOEs identificadas en vez de vulnerabilidades en bruto y otros datos de riesgo, también permiten a los equipos de seguridad utilizar el poder del análisis contextual, para determinar acciones que permitan reducir el tamaño de su superficie de ataque con menos esfuerzo que un enfoque de tratar de "arreglar todo".

Trabajando con un conjunto de IOEs

Las investigaciones demuestran que la mayoría de los ataques explotan las vulnerabilidades conocidas en las que un parche ha estado disponible durante meses o incluso años.³ Además, existe una variación de la regla 80-20 para las vulnerabilidades. Las 10 vulnerabilidades principales representaron el 85 por ciento del tráfico exitoso de explotación, mientras que 900 vulnerabilidades diferentes representaron el 15 por ciento restante.⁴

El riesgo de ataque tiende a agruparse alrededor de factores de exposición comunes, que pueden agruparse en cinco de los IOEs más frecuentes:

• La exposición a las vulnerabilidades abarcan todas aquellas que están expuestas y que podrían utilizarse en un vector de ataque. Los factores contribuyentes incluyen evaluación de vulnerabilidades, el ámbito de la red y controles de seguridad. Las vulnerabilidades se clasifican por riesgo y nivel de exposición directo. Las exposiciones directas se clasifican primeramente y luego el segundo nivel de exposición. La exposición a la vulnerabilidad contiene una ventaja sobre un ranking estándar basado en la clasificación de vulnerabilidades comunes (CVSS) que no tiene en cuenta el contexto de red única o el potencial de ataques de varios pasos.
• Las nuevas vulnerabilidades son todas las vulnerabilidades identificadas en los últimos 30 días y clasificadas por riesgo. Los factores que contribuyen incluyen la evaluación de la vulnerabilidad, son la inteligencia de las amenazas y el tiempo. Vale la pena señalar que el 59 por ciento de las empresas escanean cada 30 días (o menos frecuentemente), por lo que las vulnerabilidades recientes tienen más probabilidades de no contar con parches disponibles.⁵
• La densidad de vulnerabilidad es una alta concentración de vulnerabilidades en un área de red en particular e indica una mayor probabilidad de que un adversario intente ataques repetidos a esas vulnerabilidades para alcanzar un objetivo. Los factores que contribuyen incluyen vulnerabilidades, severidad de vulnerabilidades y grupos de activos de red. Las densidades de vulnerabilidad también pueden indicar que los gestores de seguridad necesitan analizar el proceso de remediación de la vulnerabilidad en un área en particular.
• Las configuraciones no seguras de los dispositivos de red o de seguridad incluyen configuraciones de dispositivos de red o de seguridad que violan la política o crean brechas de seguridad. Este IOE (indicators of exposure) se clasifica según la escala de gravedad de las infracciones a las políticas, utilizando una mayor severidad en cada grupo de activos de red.
• Los riegos en las reglas de acceso al cortafuego y dispositivos de red, radican en que estas podrían permitir a los atacantes alcanzar activos críticos. Los factores que contribuyen incluyen violaciones de acceso, infracciones de regla de dispositivo de red y análisis de ruta de acceso. Este IOE está clasificado con la mayor severidad y número de reglas de violación.

La lista de posibles IOE puede ampliarse para incluir técnicas de ataque comúnmente empleadas y sus combinaciones de factores que probablemente conducirán a la explotación.

Papel de los IOEs en la superficie de ataque visualización

Para comprender la naturaleza y la ubicación de las posibles exposiciones es clave entender la superficie de ataque. Desafortunadamente, en cualquier momento, una empresa puede tener cientos de miles de IOEs que administrar, y esa cantidad de datos rápidamente se vuelve abrumadora. Por lo tanto, la priorización y la coordinación de los recursos limitados son fundamentales.

Las empresas necesitan un medio para consolidar y analizar datos de decenas de controles de seguridad y otras fuentes para crear un modelo visual interactivo que enlace la topología de red, las conexiones de red, las unidades de negocio y la jerarquía organizativa, es decir, una herramienta de visualización de superficie de ataque con IOEs. Con tal visualización, los equipos de alta dirección y técnicos de seguridad pueden entender más fácilmente la postura de seguridad de la empresa y tomar decisiones más informadas.

Hacia los niveles más altos, las IOEs deben presentarse en una imagen simple y representativa del mapa de la superficie geográfica del ataque, unidades de negocio, tipos de activos u otras estructuras lógicas. De esta manera los diferentes tipos de usuarios pueden ver los datos de la manera más adecuada a sus necesidades. Por ejemplo, un equipo de seguridad que es responsable de las operaciones trabaja con un mapa que detalla las fábricas de la empresa, mientras que un equipo que es responsable de los centros de datos regionales ve las ubicaciones geográficas o la arquitectura de la red. También se debe disponer de información sobre tendencias para cada vista, dando a los responsables de seguridad información importante sobre el progreso que se ha logrado en relación a la reducción de las exposiciones al riesgo para un aspecto específico de la red.

La visualización de la superficie de ataque también puede ayudar enormemente en la gestión de la seguridad de nube o entornos híbridos de TI donde es aún más difícil evaluar la interacción de los componentes virtualizados con el mundo físico. Para obtener una imagen completa de la superficie de ataque, la información de seguridad debe integrarse desde entornos físicos y virtuales, y desde servicios en la nube. La visualización de la seguridad muestra la política aplicada dentro de las redes virtuales, analizando el acceso a la red (tráfico norte-sur) y el acceso al mismo dentro del centro de datos virtualizados (tráfico este-oeste). Esta visualización también puede garantizar que las políticas dentro del entorno virtualizado se alineen con las políticas que cubren el resto de la red. Como ejemplo, el análisis contextual del movimiento este-oeste de datos debe estar fácilmente disponible para controlar el acceso a, por ejemplo, datos financieros, que pueden necesitar ser administrados de manera diferente a los datos de operación de fabricación.

Papel de las IOEs en la priorización y corrección del riesgo

Todo conjunto de datos de gran tamaño posee prioridad crítica y se evalúan los primeros signos de debilidades de seguridad. Los filtros personalizados son beneficiosos para concentrar los esfuerzos de los equipos de seguridad en niveles de gravedad superiores a un umbral específico o en tipos específicos de IOEs. Este enfoque mitiga el riesgo de demasiados falsos positivos, y por ende evita que los equipos pierdan sus esfuerzos en la persecución de alertas sin prioridad en lugar de abordar los problemas verdaderamente graves. Además, las vulnerabilidades deben ser evaluadas más allá del ranking unidimensional crítico o de severidad media. Una vulnerabilidad crítica puede neutralizarse eficazmente de una manera relativamente fácil a través de modificaciones en las configuraciones y los controles de seguridad existentes, mientras que una vulnerabilidad media en un activo crítico para la empresa y detrás de un cortafuego mal configurado puede crear una exposición peligrosa al ataque. El contexto de las vulnerabilidades en relación con el negocio es clave. Los profesionales de la seguridad siempre deben utilizar el análisis contextual para determinar la existencia de una vulnerabilidad y su importancia, considerando la posible exposición de activos o información clave de la empresa, bajo una variedad de regulaciones de cumplimiento como la Ley de portabilidad y responsabilidad del seguro médico de 1996 (HIPAA) , la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y el reglamento general de protección de datos de la unión europea (GDPR).

Por último, para convertir el análisis de alto nivel en una acción de remediación, una herramienta de visualización de la superficie o longitud de ataque debe permitir al usuario explorar de forma fácil e intuitiva desde una vista general hasta niveles mayores de granularidad donde el usuario pueda evaluar completamente las posibles acciones. Por ejemplo, un administrador de seguridad identifica las áreas calientes (o de mayor actividad) de la red al ver la densidad de vulnerabilidades al nivel más alto y, a continuación, los ejercicios para comprender el conjunto de vulnerabilidades que son los mayores contribuyentes a esos puntos críticos. Luego el usuario amplía el zoom para identificar los hosts o dispositivos individuales y las acciones que tendrán el mayor impacto en la densidad de vulnerabilidad.

Figura 2 muestra cómo las IOCs y las IOEs se utilizan en el ciclo de vida del ataque.

Escenario de ataque de día cero

El análisis y discusión sobre las IOEs, ayuda a situarlas en el contexto de un escenario del mundo real. Para ilustrar, tome ataques de día cero, en los que el tiempo es esencial. Los equipos de seguridad deben identificar los hosts vulnerables en cuestión de minutos y neutralizar los vectores de ataque inmediatamente. Las noticias de 2016 que describen la exposición simultánea de las vulnerabilidades de la red descubiertas por la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) y el código de malware que se necesitaba para explotar esas vulnerabilidades ponen de relieve la necesidad de una acción rápida.

La siguiente línea de tiempo es un ejemplo de una situación de día cero para una empresa que utiliza una herramienta de visualización de superficie de ataque con las IOEs:

1. Se alerta la vulnerabilidad de día cero: Se requiere un conocimiento inmediato de la susceptibilidad, por lo que se levanta el modelo de superficie de ataque en tiempo real.
2. Las IOEs se actualizan en minutos a través de un reanálisis, en vez de una nueva exploración de la red. podría tardar varios días en completarse.
3. Se aplican filtros para identificar sólo aquellas IOEs que contienen la vulnerabilidad recientemente descubierta.
4. La habilidad para explorar el nivel de host o dispositivo proporciona a los equipos de seguridad la información precisa que necesitan para realizar la remediación necesaria.

Los activos que están más expuestos al ataque pueden ser atendidos como la más alta prioridad. El ataque que podría amenazar el sustento de una empresa puede ser frustrado rápida y eficazmente

El péndulo de seguridad de la red

Durante años, el péndulo de la seguridad de la red ha oscilado entre los extremos de la prevención y la reacción. Sin embargo, es necesario un equilibrio entre ambos. Este enfoque combina una estrecha atención a las IOCs con especial atención a las IOEs, porque simplemente el saber que la seguridad ha sido comprometida ya no es suficiente. Los profesionales de la seguridad deben poder rectificar los vectores de ataque antes de que puedan ser explotados. Una comprensión completa de la superficie de ataque es fundamental para ambos, requiriendo una solución que combine una representación visual intuitiva en cada nivel con la capacidad de profundizar en activos específicos y las vulnerabilidades dentro de esos activos. Las herramientas de visualización de superficie de ataque con IOCs y IOEs proporcionan esta solución.

Notas Finales

¹ Ayers, P.; “Cybersecurity: Issues and ISACA’s Response,” lecture, Jacksonville ISACA Chapter, Jacksonville, Florida, USA, June 2014
² Goodreads Inc, “Benjamin Franklin,” www.goodreads.com/quotes/247269-an-ounce-of-prevention-is-worth-a-pound-of-cure
³ Verizon, 2016 Data Breach Investigations Report, 2016, www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
⁴ Ibid.
⁵ Skybox Security Inc., “2015 Enterprise Vulnerability Management Trends Report,” 29 April 2015