Detección y respuesta para endpoints: el camino hacia la madurez de la seguridad comienza con la visibilidad

Siguiente

¿Estás buscando empezar con el pie derecho con la detección y respuesta de endpoints?Prioriza lavisibilidad de tus sistemas.

Para las organizaciones que están considerando la adopción de una solución de detección y respuesta de endpoints (EDR), la evaluación de ATT&CK® más reciente de MITRE Engenuity proporciona una visión singular de cómo se actúa una eventual herramienta de EDR frente a amenazas sofisticadas. El trabajo del equipo de Engenuity de MITRE se destaca particularmente en lo bien que emula las tácticas y técnicas documentadas empleadas por el más sofisticado de los adversarios: los grupos de amenazas persistentes avanzadas (APT).  

Si bien centrar la atención en las técnicas utilizadas por los grupos APT ciertamente tiene sentido para la estrategia de seguridad de algunas organizaciones, aprovechando al máximo esta visión, equivale a un nivel de madurez, o suficiente capacitación, personal de TI interno dedicado específicamente a esta tarea, que no muchas organizaciones tienen, o están listas para afrontar. La dura realidad para la mayoría de las organizaciones es que pueden tener solo uno o dos administradores de TI y están administrando la seguridad a tiempo parcial, junto con sus muchas otras responsabilidades. Esto puede hacer que una evaluación que se concentra en los grupos APT sea un enfoque apretado para las organizaciones sin un personal de seguridad altamente capacitado.

Sin embargo, a medida que los grupos APT encuentran sus objetivos más fáciles entre las organizaciones no preparadas, las técnicas emuladas hablan de la gama de prácticas de seguridad, desde  configuraciones y políticas básicas hasta ajustes y optimización avanzados, que deberían estar en su lugar para protegerse incluso contra las amenazas más comunes. Es posible que esas organizaciones descubran primero con EDR que las prácticas de seguridad no están a la altura de los estándares de la industria. De esta manera, comenzando con ponerse al día con su seguridad, las evaluaciones y EDR puede proporcionar información procesable incluso a las organizaciones menos maduras.

Una solución EDR robusta comienza con la visibilidad de los endpoints

EDR para mejorar la seguridad no es simplemente un complemento que se agrega a sus sistemas existentes. EDR está programada específicamente para la seguridad de endpoints porque se basa en eso tanto para la visibilidad como para la protección básica. Los eventos de bajo nivel que monitorea un producto de seguridad para endpoints se incluyen en aquellos que una herramienta EDR también analiza y presenta a un defensor de seguridad.

Donde EDR difiere de la seguridad para endpoints es en el nivel de visibilidad de la lógica analítica que se ejecuta en segundo plano. Para los productos de seguridad para endpoints, esto es más o menos como un libro cerrado. Sí, los administradores de TI deben tener una serie de opciones de configuración para aumentar la sensibilidad de detección si son más reacios al riesgo o para crear excepciones adecuadas para sus entornos particulares. Pero las propias tecnologías de detección emplean conocimientos patentados y piden su confianza para analizar eventos y tomar las decisiones de protección.  

Con EDR, la filosofía de ESET es hacer de su lógica analítica un libro abierto. La regla integrada aplicada a los eventos recopilados está abierta al ámbito de los defensores de la seguridad para que puedan tomar un papel activo en el análisis manual de esos eventos y participar en las decisiones sobre lo que constituye una amenaza y  lo que no. La acción clave que debe caracterizar una solución EDR, así como el software de seguridad de endpoints, es otorgar una visión equilibrada y enfocada en el estado de seguridad de su entorno que pueda informar mejor sus decisiones de protección.

El diseño de una plataforma de protección de endpoints es un acto de equilibrio

La seguridad tiene una fuerte dependencia de la visibilidad, pero esta dependencia no es indiscriminada. Diseñar un producto de seguridad de endpoints que escanea todo el tiempo o una solución EDR que vive enviando alertas actúa directamente contra la usabilidad, el rendimiento, la eficiencia y otros objetivos que un producto de seguridad debe tener. Las soluciones de seguridad más efectivas ciertamente deben monitorear un gran número de eventos de bajo nivel que ocurren en los endpoints, pero no sin priorizar.

Se deben tomar decisiones de diseño cuidadosas sobre qué interfaces de programación de aplicaciones (API) supervisar, qué comportamientos se consideran sospechosos o directamente maliciosos, si se ha alcanzado el umbral para una cadena de eventos sospechosa y ya no se debe permitir que continúe, cómo evitar falsos positivos, dónde minimizar los impactos en el rendimiento, etc. Estas opciones afectan directamente a las capas de protección que ofrece un producto, qué tipos de tecnología de detección se utilizan en cada capa y, en última instancia, cuándo la actividad maliciosa finalmente se marcará y se detendrá en seco.

Al diseñar un conjunto de reglas EDR, podrías monitorear todos los eventos en un endpoint, al menos,  todos los visibles para el software de seguridad de endpoints implementado en él, pero eso no solo sobrecargaría su base de datos de eventos EDR con una avalancha de datos, sino que tampoco podría priorizar los eventos que probablemente sean indicios de un ataque que los defensores de la seguridad deben investigar.

Prueba de la protección de los criterios de valoración en la evaluación ATT&CK® de Carbanak y FIN7

El impacto de las opciones de diseño está bien ilustrado en el escenario de protección de la última evaluación ATT&CK® emulando a los grupos APT Carbanak y FIN7. En la prueba 12, por ejemplo, ESET Endpoint Security respondió en el primer paso del ataque poniendo en cuarentena a samcat.exe porque fue identificado como Mimikatz, una herramienta de volcado de contraseñas de código abierto.  

En contraste, en la Prueba 15, ESET Endpoint Security bloqueó el ataque en su penúltimo paso cuando identificó un proceso rundll32.exe como Meterpreter, una carcasa inversa comúnmente utilizada en las pruebas de penetración. Los proveedores bloquearon el ataque en el mismo paso o en un paso anterior, o no detectaron ninguna de las técnicas utilizadas en el ataque en absoluto.

Obviamente, las pruebas de protección demostraron algunas lagunas existentes en las soluciones de seguridad de endpoints que no detectaban ni bloqueaban ciertos ataques. Pero aún más, demostraron que había una gran variedad en cuanto a la etapa en la que los diversos ataques fueron bloqueados. Esta variedad en la respuesta es en gran parte debido a las decisiones de diseño que entró en el producto de seguridad de endpoints en cuestión.

Haciendo de los endpoints un libro abierto con EDR

Existe un umbral en el que la seguridad "automatizada" proporcionada por la protección de endpoints simplemente no es suficiente para aumentar su madurez. La seguridad para endpoints por sí sola es limitada en el sentido de que le pide su confianza para proporcionar un tipo automatizado de seguridad - una especie de conjunto y olvidar (¡Pero no demasiado!) enfoque de la seguridad.

Algunas amenazas desafían tales categorías automatizadas de monitoreo y detección porque, en última instancia, detrás de cada ciberamenaza se encuentra alguna huella de inteligencia humana, aunque mal utilizada. Y a veces la inteligencia en cuestión ha ideado un ataque tan novedoso, dirigido o furtivo que sólo otra inteligencia humana – un defensor de la seguridad – sería capaz de detectarlo antes de que se haga demasiado daño.

Al manejar una herramienta EDR, sus defensores de seguridad están habilitados para observar los eventos de bajo nivel generados por los endpoints y supervisados por los productos de seguridad de endpoints. Armados con la familia de su entorno y con el filtrado correcto de los eventos en su lugar, sus defensores pueden centrarse y reconstruir la secuencia de pasos que un ataque tomó de principio a fin.

Prueba de la detección y respuesta de los criterios de valoración en la evaluación ATT&CK® de Carbanak y FIN7

Mientras que el escenario de protección de la administración de Carbanak y FIN7 ATT&CK® evaluó la protección de los endpoints, los escenarios de detección pusieron a prueba la detección y la respuesta de los endpoints. La herramienta EDR de ESET,  ESET Enterprise Inspector, detectó el 100% de los pasos en los escenarios de ataque y el 91% de los sub-pasos. Puede obtener el escrito completo del CTO de ESET Juraj Malcho de cómo le fue a ESET Enterprise Inspector en la evaluación en el post ATT&CK de MITRE Engenuity® Las evaluaciones muestran la necesidad de un enfoque equilibrado para el uso de EDR.

Sin embargo, para las organizaciones que no están listas para enfrentarse a grupos APT, una consideración principal al considerar dicha evaluación es cómo puede ayudar a desarrollar su madurez de seguridad. En última instancia, un objetivo clave para los ingenieros de seguridad es familiarizarse con los sistemas que utiliza su organización y priorizar la protección en consecuencia. Esto es además de la práctica básica de seguridad, que siempre debe estar en su lugar, el enfoque equilibrado para EDR se trata de obtener un conocimiento profundo de su entorno para que pueda madurar en su postura de seguridad, un requisito previo para la seguridad contra ataques APT.

Como demostraron los resultados de la evaluación de ESET Enterprise Inspector, la herramienta EDR de ESET proporciona mucha visibilidad. Sin embargo, mientras que la visibilidad es un componente crítico de la seguridad, es sólo un comienzo. La responsabilidad sigue siendo de los protectores de la seguridad conocer sus sistemas y conocer su herramienta EDR para que puedan ajustarlo mejor a su entorno.

De hecho, muchas organizaciones pueden sorprenderse después de configurar por primera vez su solución EDR ¿Tu equipo de TI ha estado configurando empleados con cuentas de administrador local en sus máquinas, o dándoles  rienda suelta para acceder a recursos internos, o tal vez incluso aplicaciones potencialmente inseguras, que no necesitan? ¿Has asegurado el acceso remoto a su red a través de herramientas como herramientas de monitoreo y gestión remota (RMM), protocolo de escritorio remoto (RDP), TeamViewer o VNC? La visibilidad otorgada por una herramienta EDR puede revelar algunas de las prácticas y hábitos de riesgo que han pasado descontrolados hasta ahora.

¿Te falta capacidad o tiempo para administrar su EDR?

Las mejores prácticas de seguridad, al menos en su nivel básico, son un libro de jugadas bien conocido, pero muchas organizaciones no han podido dominar las jugadas debido a obstáculos tan simples como la falta de capacidad, de nuevo, esos uno o dos administradores que hacen seguridad a tiempo parcial. Lo que a menudo se describe como la razón para la adopción de EDR - visibilidad de los ataques APT - asume un cierto nivel de madurez de seguridad para participar en absoluto con este tipo de enemigo.

Otro desafío para algunas organizaciones es cuando la seguridad se encuentra fuera del modelo de negocio principal. Como tal, estas organizaciones preferirían delegar la seguridad a un proveedor de servicios gestionados, lo que depende en gran medida del nivel de madurez de la seguridad de los niveles de inversión, confianza y experiencia en juego con ese proveedor externo y de su capacidad para comprender la infraestructura y los modelos de amenazas de sus clientes. Donde EDR realmente para el caso de uso centrándose en los grupos APT está en manos de organizaciones muy maduras, como los bancos, que tienen el presupuesto y el impulso regulatorio para mantener equipos de  seguridad completos.

Conclusión

A medida que un número creciente de empresas examinan EDR como es ampliamente descrito por los proveedores, analistas, y especialmente en las evaluaciones de ATT &CK, deben considerar los beneficios de acercarse a EDR incluso con un nivel de entrada de madurez de seguridad. En pocas palabras, si el cambio a EDR comienza a educar a sus administradores de TI sobre mejores prácticas de seguridad, entonces la inversión probablemente habrá valido la pena. Después de todo, los malos hábitos, ya sea debido a un problema o historial plagado de prácticas de seguridad, negligencia o ignorancia, están bien eliminados - incluso si se necesitan las alertas en una solución EDR para despertar a su organización. En cuanto a los evaluadores de la unidad del grupo APT favorecidos y emulados por MITRE Engenuity, cada uno se erige como un lugar atractivo para que el personal de seguridad comprenda los riesgos compuestos que plantean tanto los adversarios externos maduros como la postura de seguridad de su propia  organización.