Cuando hablamos de gestión de riesgos, la prevención es la mejor estrategia para intentar evitar un impacto sobre nuestros activos. Pero prevenir es un concepto amplio que consta de varios mecanismos que en función de las circunstancias pude incrementar los costes de la organización de manera innecesaria y poco efectiva.
Invertir recursos de manera desproporcionada que intenten abarcar todos los activos de una empresa, no hará más que generar procesos ineficientes y posiblemente duplicados con un consumo trivial de recursos tanto personales, financieros, como temporales.
Por ejemplo; no es la primera vez que organizaciones mal asesoradas han realizado inversiones en equipamiento de última generación que ni estaba bien configurado ni actualizado, o han delegado las labores de seguridad en personal poco cualificado con el consecuente incremento del riesgo.
Por tanto, un proceso de gestión del riesgo que se ejecute incorrectamente puede incurrir en el error de implementar controles totalmente innecesarios o en el de desequilibrar de manera negativa la efectividad de aquellos que deben ser implantados; con el consiguiente incremento en costes que se derivaría de su mantenimiento.
¿Cómo se puede por tanto prevenir sin incurrir en un gasto desproporcionado, logrando la mayor efectividad posible? Evidentemente, no existe una receta mágica, pero si se tiene bien definido el alcance y cuáles son las funciones críticas del negocio, se cuenta con asesoramiento o personal cualificado; se diseñan controles en función de un análisis de riesgos basado en una metodología contrastada y se implementa un proceso que monitorice los riesgos y que evalúen los controles confirmando que son realmente eficientes; el riesgo residual se minimizaría considerablemente y el impacto potencial dentro de la organización podría ubicarse dentro de una zona de control bastante delimitada.
IOCs
Un mecanismo de prevención que resulta altamente efectivo y cuyo coste es muy asumible por cualquier organización, es el uso de Indicadores de Compromiso “Indicators of Compromise” (IOC).
Se trata de un método estandarizado basado principalmente en metalenguajes y cuyo fin principal es la identificación y detección de manera anticipada de amenazas relacionadas con la seguridad.
La efectividad de los indicadores de compromiso se encuentra en la posibilidad de que la información que contienen, es actualizable en cualquier momento y que se puede compartir e intercambiar de una manera muy sencilla con cualquier persona o grupo interesado, como podrían serlo aquellos dedicados a la gestión de incidentes de seguridad.
Un Indicador de Compromiso, nos describe desde actividad maliciosa (incluyendo los elementos que participan de ella), hasta un incidente de seguridad por medio de patrones de comportamiento y características que pueden ser parametrizadas y categorizadas.
Esta información contenida en los IOCs, permite compartir el comportamiento de un incidente analizado desde que es localizado hasta su última actualización. Se pueden incluir tantas variables y propiedades a través de atributos como consideremos precisos para su descripción.
Por tanto, estamos tratando de un elemento que nos permite detectar e identificar de manera anticipada amenazas para la seguridad de los activos de cualquier organización.
Llegados a este punto es donde la figura del profesional de la seguridad, y especialmente de quien se dedica a la gestión de riesgos, adquiere un protagonismo esencial ya que será el responsable de elaborar tanto los planes de prevención ante incidentes como del fortalecimiento de los sistemas de seguridad. Para ello deberá comprender los flujos de información de los procesos críticos del negocio y los actores relevantes participantes, identificando de este modo los activos a proteger.
Ya no se trata de procesar información en uno u otro formato en función de las variables predefinidas y actualizarla a medida que el incidente muta o evoluciona; ahora se trata de cómo interpretar la amenaza, el posible alcance que pudiera llegar a tener en la organización, además de contemplar la dependencia entre sistemas, procesos de negocio e información crítica y el contexto en el que un posible impacto pudiera producirse. Es el momento de anticiparse y plantear posibles soluciones a los responsables de negocio. Gracias al análisis pormenorizado de estos indicadores y a la correcta interpretación del riesgo por parte de los profesionales, más de una vez, se ha detectado la presencia una amenaza potencial en entornos internos y de confianza. Esto ha permitido aplicar las medidas preventivas necesarias para reducir el riesgo a un nivel más que aceptable.
En resumen, el compartir información a través de estos indicadores en coordinación con todas las áreas interesadas de una corporación; es un método eficaz de prevención generando alertas tempranas que ayudan a garantizar de manera proactiva la detección y la gestión de incidentes, reforzando los niveles de seguridad de los activos críticos frente a amenazas ya existentes.
Principales IOCs
Existen una gran cantidad de Indicadores de Compromiso. Unos hacen una descripción de actividades inusuales en un sistema o en una red, otros se pueden basar en evidencias obtenidas de equipos comprometidos. Como ejemplo se pueden considerar las modificaciones que hayan tenido lugar en aplicativos o en las entradas de los registros, servicios o nuevos procesos, etc.
Como más frecuentes se pueden destacar, el uso inusual de puertos por aplicaciones, la detección de tráfico irregular, el número elevado de solicitudes de acceso a un mismo activo, un incremento injustificado de consultas a bases de datos o actividad anómala en cuentas de usuario con privilegios. Los hay más específicos que requieren de un perfil mucho más técnico para su procesamiento, como por ejemplo las distintas firmas de virus, listas de hash asociados a activos de malware, conjuntos de IPs detectadas en ataques dirigidos y en casos de botnets o ransomware, los nombres de dominio o las URL de los servidores de comando y control.
Implementación de IOCs
A día de hoy coexisten varios sistemas estandarizados de intercambio de Indicadores de Compromiso. Casi todos hacen uso del metalenguaje XML conteniendo los parámetros que definirán un posible compromiso y el valor asignado en cuanto a su probabilidad de ocurrencia.
Entre los más conocidos destacan:
- OpenIOC (Open Indicators of Compromise)
- Oasis Cyber Threat Intelligence (CTI)
- Cybox (Cyber Observable eXpression)
- Maec (Malware Attribute Enumeration and Characterization)
Existen además repositorios de IOCs como IOC Bucket o Openioc Db; plataformas gratuitas donde encontrar indicadores e información relevante sobre amenazas que son compartidos por una amplia comunidad de usuarios con la única finalidad de que le demos el mejor uso para la protección de nuestros sistemas.
Para su despliegue, existen plataformas como MISP o MANTIS encargadas de la recogida, almacenaje y distribución indicadores de seguridad
Conclusión
La prevención como elemento de protección a través de los IOCs, minimiza la exposición en el tiempo a la detección y respuesta ante un posible incidente de seguridad; siendo ambos factores críticos en un procedimiento de gestión del riesgo.
La cantidad de información tan masiva que se requiere para la detección de potenciales amenazas y la posterior definición de actuaciones y acciones preventivas, correctivas o incluso de recuperación, precisan de un procedimiento automatizado que haga sencillo y ágil la identificación de incidentes. Esta necesidad queda satisfecha con los IOCs, al permitir modelar un incidente, categorizarlo en función de diferentes variables y asociarlas a ese incidente en concreto.
El ahorro relativo comparado con los efectos de un impacto es significativo y su mantenimiento y monitorización a través de las plataformas descritas muy asumible para cualquier organización.
Iker Sala Simón
GRC Department
Áudea Seguridad de la Información