Cada año, ISACA lleva a cabo su investigación anual sobre el estado mundial de la ciberseguridad.1 La segunda parte de la encuesta pregunta sobre las prácticas de seguridad en el campo: qué está funcionando y qué no. No hay necesidad de estropearlo para los lectores (que tendrán que esperar que el informe salga para los detalles), pero este año hubo hallazgos interesantes cuando se preguntó a los encuestados sobre la defensa activa. Específicamente, los métodos de defensa activa se usan con más frecuencia de lo que uno podría pensar—y son altamente efectivos cuando se usan.
¿Qué es la defensa activa?
Como muchas cosas en seguridad, la defensa activa—como un término—se toma prestada de la terminología de defensa. Específicamente, se refiere a acciones tomadas para negar una posición, recurso u otra ventaja a un adversario. En el contexto de la ciberseguridad, se refiere a las medidas que se pueden tomar para interrumpir activamente o interferir con la campaña de un atacante contra un entorno. Por ejemplo, si un equipo de seguridad instalara un honeypot y lo cargara con documentos aparentemente ficticios (pero falsos) para desperdiciar activamente el tiempo del atacante, esa sería una estrategia de defensa activa.
Vale la pena señalar aquí que no me refiero a “piratear” a los fines de esta discusión. A veces, hay confusión sobre la distinción entre “defensa activa” y las estrategias llamadas “piratear”. En mi opinión, la defensa activa está diseñada para interrumpir la actividad de un atacante a través de estrategias mínimamente invasivas y claramente delineadas. Por el contrario, “piratear”—por ejemplo, al intentar escanear, penetrar o entrar en el entorno de un atacante—es (nuevamente, en mi opinión) tanto ético como potencialmente legalmente problemático. Por lo tanto, si hubo alguna confusión antes, que quede claro ahora que esta discusión se refiere a estrategias activas de defensa y no intenta “piratear a los hackers”. Específicamente, se refiere a cosas que ya sea:
- Perder el tiempo del atacante
- Atrapar y contener ataques
- Alerte a los equipos de seguridad de la actividad del atacante para que pueda ser monitoreado
- Ayuda con atribución y descubrimiento
Hay algunas razones por las cuales la defensa activa puede ser una estrategia particularmente útil y efectiva. En primer lugar, puede ayudar a interrumpir la campaña de un atacante. Como sabemos, viendo la actividad del adversario como un ciclo de vida (es decir, como una “cadena de muerte” que comienza con el reconocimiento, procede a infiltración y movimiento lateral y termina con exfiltración u otro resultado igualmente indeseable) cualquier interrupción en la capacidad del atacante proceder de una fase a otra puede causar que la campaña en general falle. Del mismo modo, hay un “tiempo de permanencia” para ser consciente; la campaña tiene un intervalo de tiempo entre el momento en que se inicia y el momento en que se descubre. Cualquier cosa que pueda frustrar la capacidad de los atacantes para realizar su resultado aumenta la probabilidad de que el ataque pueda ser detectado y detenido dentro de esa ventana antes de que los atacantes tengan éxito.
Además de eso, sin embargo, la defensa activa también puede ayudar con la atribución. Esto es particularmente útil desde el punto de vista de la aplicación de la ley; por ejemplo, puede respaldar procesos penales contra alguien o advertir a otros sobre una campaña de atacante o tradecraft. En otras palabras, si una organización identifica o puede establecer quién es responsable de intentar un ataque, es información útil que se puede transmitir a las fuerzas del orden público.
Herramientas
Con esto en mente, hay algunas herramientas gratuitas a considerar cuando se busca familiarizarse y simplemente jugar con estrategias de defensa activa. Al igual que cualquier otra herramienta de seguridad, los profesionales no quieren simplemente colocar estas cosas de cualquier manera, sino para un despliegue de producción, con cuidado y previsión estratégica. Dicho esto, siempre es útil como punto de partida para patear los neumáticos y familiarizarse.
Probablemente sea evidente que aquí hay un área gris, por lo que es importante consultar con un asesor interno sobre cualquier escenario de uso antes que herramientas de campo como estas (mejor prevenir que lamentar). Dicho esto, la defensa activa puede ser y es una estrategia útil para ayudar a respaldar un programa de seguridad.
1)
Uno de los mejores puntos de partida es un honeypot. Un relativamente versátil para jugar, y que está bien documentado desde el punto de vista del uso, es OpenCanary (https://github.com/thinkst/opencanary). OpenCanary es un buen punto de partida porque, conceptualmente, es bastante simple: ejecuta servicios y desencadenadores cuando alguien se conecta a ellos. Los servicios en cuestión están diseñados para emular una configuración de dispositivo particular (por ejemplo, un servidor de Windows o Linux).
2)
Como se puede imaginar, hay literalmente docenas de otras opciones de honeypot de código abierto para elegir y, dependiendo del tipo de servicio o entorno que los profesionales quieran emular, hay muchas opciones disponibles (puede encontrar una lista útil aquí: https://github.com/paralax/awesome-honeypots#honeypots). Por supuesto, es útil seleccionar un honeypot que resuene con un entorno. Por ejemplo, si se está ejecutando una tienda 100 por ciento de Windows, un honeypot Secure Shell (SSH) diseñado para imitar a un servidor web Linux puede parecer fuera de lugar. Idealmente, se debe seleccionar uno que se combine con los servicios que ya están en uso. Otra opción a considerar es WebTrap (https://github.com/IllusiveNetworks-Labs/WebTrap). WebTrap es pequeño, reciente y muy específico. Permite que el profesional refleje una página web existente (por ejemplo, un portal de información corporativa o una página de proyecto) y alerta (por ejemplo, a través de un evento syslog) cuando alguien interactúa con ella. Dicho esto, cualquier servidor web se puede personalizar para este fin al reflejar una página interna y configurar informes personalizados cuando se accede a ellos.
3)
Llevando el concepto de honeypot un paso más allá está HoneyBadger v2 (https://github.com/lanmaster53/honeybadger). HoneyBadger incluye un marco para la geolocalización, que ayuda a identificar dónde se encuentra el atacante. Esto puede ayudar a reforzar la capacidad de atribución al proporcionar información sobre la ubicación desde la que se aproxima el atacante remoto. Utilizado en combinación con una herramienta como Molehunt (https://github.com/Prometheaninfosec/Molehunt), uno puede obtener una idea bastante clara de quién está atacando y la ubicación del atacante, ya que Molehunt permite al usuario crear documentos que, cuando se abren. , que los equipos de seguridad lo sepan. Por ejemplo, uno podría permitir que un documento sea exfiltrado deliberadamente y, junto con HoneyBadger, obtener información relevante sobre la atribución de la persona que lo abre. Una vez más, esta herramienta es mínimamente intrusiva y se centra exclusivamente en la recopilación de información y la asistencia a la aplicación de la ley.
4)
El último enfoque discutido aquí es el Marco de Explotación del navegador (BeEF) (https://beefproject.com/). BeEF es posiblemente más una herramienta de prueba de penetración que una herramienta de defensa activa, pero merece mención porque, en ciertas circunstancias, también se puede usar para apoyar la defensa activa. En primer lugar, es importante tener en cuenta que es imprescindible utilizar esta herramienta de una manera legal. Si existen dudas sobre si un enfoque es legal, debe discutirse con el equipo legal. Si un usuario no puede determinar si el uso planificado es legal, es mejor pecar de cauteloso y renunciar a este por ahora. Por lo tanto, con una advertencia completa, BeEF permite al profesional “conectar” el navegador de un usuario remoto cuando el usuario navega a una página controlada por el profesional. Después de hacerlo, el navegador se puede utilizar para recopilar información, realizar un seguimiento de la actividad del usuario remoto y, en determinadas circunstancias, asignar la red remota desde la que se conectan. Según la advertencia anterior, las técnicas de recopilación de información para respaldar la atribución (es decir, la ubicación desde la que se conecta) probablemente sean legales (una vez más, se debe consultar al equipo legal) mientras que otras técnicas (por ejemplo, mapear la red remota del usuario) probablemente no estén sin el permiso del usuario. En un contexto de prueba de penetración, esto significa que un profesional puede usar un navegador como punto de partida para infiltrarse en un entorno. Sin embargo, desde un punto de vista de defensa activa, esto podría significar solicitar información de atribución.
Nota final
1 ISACA, State of Cybersecurity 2018, www.isaca.org/state-of-cybersecurity-2018
Ed Moyle
Es socio fundador de la firma analista Security Curve. Antes de eso, Moyle fue director de liderazgo de pensamiento e investigación en ISACA. En sus casi 20 años en seguridad de la información, ha ocupado numerosos cargos, incluido el de estratega senior de Savvis, gerente sénior de la práctica de seguridad global de CTG, vicepresidente y responsable de seguridad de la información de Merrill Lynch Investment Managers. Moyle es coautor de Bibliotecas criptográficas para desarrolladores y colaborador habitual de la industria de la seguridad de la información como autor, orador público y analista.