Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Trabajo Final Ingeniería de Sistemas Facultad de Ciencias Exactas Universidad Nacional del Centro de la Provincia de Buenos Aires UNCPBA 2022 Título: Análisis de software open source para la Ciberseguridad en PyMes y Organismos Públicos Alumno: Lopez Muñoz, Brian Ezequiel Director: Dr. Alejandro Zunino Capítulo 1. Introducción 3 Plano Regional y Argentina 4 PyMes y Administración Pública 4 Trabajo Propuesto 5 Organización del Trabajo 6 Capítulo 2. Marco Teórico 7 Seguridad de la Información 7 Triada de la Información 7 La Ciberseguridad 9 Ciberespacio y Ciberataque 10 Ataques en la Actualidad 11 Modelos y Marcos de Ciberseguridad 12 Modelo de Defensa Perimetral 12 Modelo de Defensa en profundidad 13 Políticas, Procedimientos, Concientización 14 Seguridad Física 15 Seguridad Perimetral 15 Seguridad de Red 15 Seguridad de Host 16 Seguridad en Aplicaciones 16 Seguridad con respecto a Datos 16 Marco de Ciberseguridad 17 Marco de Ciberseguridad de NIST 17 Cyber Security Kill Chain 19 MITRE ATT&CK 20 Marcos para Cumplimiento Normativo 21 Security Operation Center 22 Tecnologías SOC 23 SIEM 23 EDR 24 XDR 26 Beneficios de tener un XDR 27 Tipos de XDR 27 La necesidad de un XDR en las organizaciones 28 Capítulo 3. Elección y análisis preliminar de la herramienta. 29 Elección de la herramienta 29 Criterios básicos para la elección 29 Descripción de la herramienta Wazuh 32 Capacidades 34 Análisis previo a la instalación 36 Opciones de Instalación 41 Tipos de instalación de los componentes centrales 41 Implementación Física 42 Implementación Virtual 42 1 Implementación con contenedores 42 Tipos de instalación de agentes 43 Entorno de Prueba 43 Análisis posterior a la instalación 44 Wazuh Manager 44 Configuración inicial del Manager 46 Logs 47 Almacenamiento 48 Reglas y decodificadores 50 Wazuh Indexer 57 Wazuh Dashboard 61 Agente Wazuh 64 Inscripción Agente-Manager 64 Registro con variables de entorno 65 Registro con Wazuh Agent Enrollment 66 Actualización de agentes 68 Configuración Inicial 70 Consumo de recursos 71 Conclusiones del capítulo 72 Capítulo 4. Casos de Prueba 74 Detección de Vulnerabilidades 75 Evaluación de Configuraciones de Seguridad 79 Detección de Malware 82 Respuesta Activa 86 Conclusiones del capítulo 90 Capítulo 5. Conclusiones y Trabajo Futuro. 92 Conclusiones 92 Trabajo Futuro 93 Glosario 95 Referencias 108 2 Capítulo 1. Introducción En el último tiempo los datos se han convertido en el recurso más abundante del mundo. Se calcula que la cantidad de datos que había a principios del 2020 era de aproximadamente 44 zettabytes [1]. Es decir, que el número de bytes en el universo digital era 40 veces mayor que el número de estrellas en el universo observable. Sin embargo, la principal preocupación es que la información contenida en ellos generalmente es un activo importante, por lo que los datos pasan a ser el recurso más importante de la actualidad [2]. Como todo recurso valioso, las amenazas a su seguridad también aumentan con su valor. Según el Cost of a Data Breach Report 2021 [3], el costo promedio de una filtración de datos alcanzó los 4,24 millones de dólares, siendo así el más alto registrado hasta la fecha. En el último tiempo, las noticias de nuevas brechas de seguridad y filtraciones de información confidencial han aumentado considerablemente, y las técnicas en ciberataques son cada vez más sofisticadas [4]. A su vez, la pandemia de COVID-19 potenció este problema ya que tanto las empresas, como organismos de administración pública, se vieron en la necesidad de implementar esquemas de teletrabajo de forma rápida e improvisada, ocasionando que de un día para el otro los dispositivos personales de muchos colaboradores formen parte de la red corporativa, con la disparidad de condiciones de seguridad que eso implica [5]. Por otro lado, la Cuarta Revolución Industrial es una realidad [6]. Las nuevas tecnologías comenzarán a transformar la sociedad y, especialmente la economía, cuyo principal componente es la digitalización. En otras palabras, esta nueva ola de tecnologías se basa en datos, lo que las hace inherentemente vulnerables a los ataques cibernéticos. En síntesis, siendo los datos el principal activo en la actualidad y en el futuro cercano con el cual se transformará la realidad que hoy conocemos, el crecimiento del Cibercrimen como servicio [7] (cybercrime-as-a-service), los cambios vertiginosos que han ocurrido en el último tiempo debido a la pandemia, sumado a una creciente y profunda falta de confianza entre individuos e instituciones (menos del 50% del conectados al día de hoy confían en que la tecnología mejorará sus vidas [8]), hacen que sea necesario redoblar los esfuerzos para fortalecer la protección de los datos. 3 Plano Regional y Argentina Si bien la coyuntura actual hace pensar que los ciberataques se dan sólo entre las potencias mundiales, Latinoamérica no escapa de este problema. El Panorama de Amenazas en América Latina 2021 de Kaspersky revela un aumento del 24% en ciberataques en la región los primeros ocho meses del año, en comparación con el mismo periodo en 2020. En este contexto, Brasil lidera la región con más de 1,390 intentos de infección por minuto, seguido de México (299 por minuto); Perú (96 por minuto), Ecuador (89 por minuto) y Colombia (87 por minuto). En lo que refiere al panorama local, si bien Argentina se encuentra por detrás de los países anteriormente mencionados en términos de cantidad de ataques por segundo, se registraron 10 millones de intentos de infecciones en ese lapso. Por su parte el ultimo informe del CERT.ar [9], indica que los ataques registrados en 2021 no solo se duplicaron (226 en 2020 y en el 2021, 591), sino que resultan de ser de acto impacto, no sólo por los pedidos de rescate (por ejemplo, ante un ataque por ransomware), sino también por el costo que significa la falta de disponibilidad de los recursos durante las etapas de análisis y resiliencia. Además, esto se puede ver agravado por la posibilidad de un segundo ataque, que podría ocurrir mediante la venta de datos en la Deep Web o mediante otros ataques que utilicen esa información personal. PyMes y Administración Pública Si bien los principales objetivos de los ciberdelincuentes son las grandes empresas, las pequeñas empresas también sufren filtraciones de datos. Según un informe de Verizon [4], los incidentes reportados en PyMes se han incrementado, acortando así la brecha con respecto a los ataques dirigidos a grandes empresas. Las intrusiones a los sistemas, los errores de configuración y los ataques a aplicaciones web básicas representan el 80% de los incidentes, donde el 44% es de origen interno y el 57% externo. Entre los datos comprometidos se encuentran credenciales (44%), personales (39%), médicos (17%), con motivos mayormente financieros (93%). Estos incidentes suelen ser aún más dañinos para este tipo de empresas porque no disponen de recursos suficientes para recuperarse [10]. Los ataques no solo se dan a entidades privadas[11]. En lo que refiere a la Administración Pública, el Informe de Verizon reporta que el 69% de los incidentes están dados bajo el patrón de la Ingeniería Social, con la técnica de Phishing. Los datos comprometidos involucran robo de credenciales en un 80% y el 96% de los ataques están dados por motivos financieros. Si bien hay varias razones por las cuales la administración pública es un objetivo 4 para los ciberdelincuentes, el volumen y sensibilidad de los datos que suelen manejar estas entidades son elementos de interés. Según cuáles sean los datos sustraídos, los ciberdelincuentes pueden usarlos para fines como suplantación de identidad, creación de perfiles falsos en sitios web y redes sociales, insumo para ataques de ingeniería social, y sobre todo la venta de esos datos a terceros. Teniendo en cuenta lo descrito hasta el momento, cualquier organismo y/o empresa esun objetivo posible para recibir un ciberataque. Es por eso que no se puede prescindir de la ciberseguridad en todo su espectro. Desde la concientización a usuarios hasta la herramienta más completa del mercado. Trabajo Propuesto Como punto de partida, es importante dar por sentado que existirán problemas de seguridad, de modo que la mejor defensa será un ataque proactivo y deliberado. Por lo tanto, no es suficiente contar con una aplicación informática que nos defienda de posibles amenazas sino, que se necesita comprender un paradigma de seguridad por capas que involucre a todo el ciclo de vida de la gestión de un incidente, dando por hecho incluso, que en algún momento ocurrirá. Además de un adecuado conjunto de controles que incluya políticas, normas, procedimientos, estructuras organizacionales, procesos y protocolos, es necesario contar con una o varias plataformas de software que nos ayuden en las etapas de preparación; detección y análisis; contención, erradicación y recuperación; y actividades post-incidentes [12]. Por otro lado, es imprescindible tener en cuenta que el costo de las licencias de las plataformas de software reconocidas internacionalmente (siempre cotizado en dólares), restringen el despliegue en organismos públicos y PyMes que las quieran utilizar. Además, no poder acceder al código fuente y sin la posibilidad de una capacitación profunda en el uso, diseño y mantenimiento de estas plataformas y sus algoritmos, impiden el desarrollo de las capacidades tecnológicas nacionales en esta materia tan estratégica para los tiempos actuales. Ante este contexto, este trabajo propone realizar un análisis de herramientas open source disponibles que puedan ser de utilidad para la ciberseguridad, tanto en organismos públicos como en Pequeñas y Medianas empresas con bajo presupuesto, y a partir de ello, obtener conclusiones sobre la pertinencia de las mismas. 5 En principio, se realizará una investigación de las herramientas disponibles en el mercado y se seleccionará una de ellas bajo criterios establecidos. Una vez elegida la plataforma, se hará el despliegue en un ambiente de laboratorio donde se evaluarán las características funcionales y no funcionales de la misma. En esta misma línea, para analizar las capacidades de la herramienta, se implementarán una serie de escenarios que se asemejan al mundo real, o lo que se conoce como Prueba de Concepto (Proof-of-Concept - PoC, en Inglés). Organización del Trabajo El trabajo está organizado en capítulos como se describe a continuación: En el Capítulo 2 se describe el Marco Teórico, en el cual a partir de la investigación, se presentan cada uno de los conceptos, modelos y marcos de ciberseguridad, como así también herramientas que existen en la actualidad. En el Capítulo 3, se detalla en primera instancia la elección de la herramienta a estudiar bajo criterios establecidos; posteriormente se presenta en detalle el análisis, instalación y despliegue de la plataforma elegida en un ambiente de laboratorio; y finalmente se describen las principales características y funcionalidades del sistema propuesto. En el Capítulo 4 se presentan distintos casos de prueba realizados, cuales son los objetivos de dichas pruebas, y los resultados obtenidos. En el Capítulo 5, finalmente se detallan las conclusiones a las que se arribó en este trabajo, y a partir de éstas, se presentan algunos posibles trabajos futuros. 6 Capítulo 2. Marco Teórico Seguridad de la Información Como se mencionó anteriormente, la información es uno de los recursos más valorados por cualquier empresa u organización, ya que sin ella es imposible realizar las actividades necesarias. Sin importar su tamaño, absolutamente todas manejan información que se puede encontrar en distintos formatos: digital, físico o de manera no representada (por ejemplo, las ideas). A su vez estas pueden existir en diferentes estados, ya sea almacenada, procesada o transmitida. Ante esto, nadie puede privarse de no proteger algo que considera tan valioso y vital para su funcionamiento. De allí nace la necesidad de asegurar esa información en todas sus formas y estados. Para ello, es necesario comprender qué se entiende por Seguridad de la Información. Si bien generalmente se refiere a la Seguridad como ausencia de riesgo, sabemos que en la realidad está lejos de ese concepto ideal. El riesgo en ámbitos de aplicación siempre está, por lo que el objetivo es reducirlo hasta un nivel que se considere aceptable para la empresa u organización. Para reducir ese riesgo, es necesario establecer medidas, políticas y herramientas para minimizar cualquier amenaza que ponga en peligro la información. De esta manera se puede definir a la Seguridad de la Información como el conjunto de medidas, políticas y herramientas que tiene como objetivo proteger los activos de información. Una manera de asegurar la información es siguiendo normas como la ISO 27001 [13]. Esta norma además de definir una serie de requisitos a implementar para una correcta gestión de la seguridad de la información, tiene como principio básico lo que se conoce como tríada de la información: Confidencialidad, Integridad y Disponibilidad. Estos tres aspectos son fundamentales a la hora de elaborar y llevar a cabo las medidas y políticas necesarias para prevenir, detectar y responder ante los riesgos a los que se puede estar expuesto. Triada de la Información Como fue descrito, cuando se habla de la Triada de la Información, se refiere a los tres componentes (más precisamente, cualidades) que debe tener la información para considerarse segura en cualquiera de sus formas y/o estados. De esta manera, es importante saber en qué consisten estos tres elementos tomando como referencia las definiciones otorgadas por ISACA Fundamentals [14]. 7 La Confidencialidad es la protección de la información contra el acceso no autorizado o la divulgación. Distintos tipos de información requieren distintos niveles de confidencialidad. Por ejemplo, la información puede ser: ● Restringida: es la información más importante que posee una empresa u organismos. Pueden incluir secretos comerciales que, si se divulgan, podrían tener un impacto catastrófico. ● Confidencial: se trata de datos que las empresas deben mantener confidenciales (en función de la necesidad de conocerlos). Muchas veces, este tipo de datos está asociado con algunas regulaciones externas, y pueden aplicarse sanciones y multas si se divulgan. ● Privada: es la información más confidencial. Sin embargo, no está destinada al público y debe mantenerse dentro de la organización. ● Pública: ya la información tiene distribución pública (por ejemplo, se la puede encontrar en la red). De esta manera, de la pérdida de confidencialidad pueden resultar las siguientes consecuencias: la divulgación de información protegida por leyes de privacidad; la pérdida de confianza del público y de ventaja competitiva; derivar en acciones legales contra la empresa; y en algunos casos, la interferencia con la seguridad nacional La Integridad, por su parte, es la protección de la información contra la modificación no autorizada. Se refiere a que la información no debe sufrir ningún tipo de manipulación sin permisos, por ejemplo, al recibir un dato luego de ser transmitido, éste debe ser exactamente igual al dato enviado. La pérdida de integridad puede resultar en: imprecisión, decisiones erróneas, fraude. Por otro lado, la Disponibilidad garantiza el acceso oportuno y confiable al uso de la información y los sistemas. Esto incluye medidas para asegurarse que los datos no se eliminen de forma accidental o malintencionada. Cualquier problema en la disponibilidad de la información, puede resultar en una pérdida de productividad e ingresos. Del mismo modo, la pérdida de datos puede afectar la capacidad de la dirección para tomar decisiones y respuestas efectivas. Es importante mencionar que estos tres conceptos, además de ser independientementefundamentales dentro de la seguridad de la información, se relacionan entre sí en un sistema 8 interconectado. Por ejemplo, cualquier violación de la integridad puede ser el primer paso de un ataque exitoso contra la disponibilidad o confidencialidad de la información. La Ciberseguridad Para comenzar, es importante desarrollar qué entendemos por Ciberseguridad. Si bien se tiene una percepción general sobre lo que representa, continúa siendo un término en constante discusión. Por ejemplo, al día de hoy la palabra Ciberseguridad no está en el Diccionario de la Lengua de la Real Academia Española. Esto llevó a que diferentes autores y organizaciones necesiten desarrollar una definición que se ajuste a las ideas que pretenden expresar. A continuación se citarán algunas definiciones seleccionadas: 1. “La ciberseguridad consiste en gran medida en métodos defensivos utilizados para detectar y frustrar a los posibles intrusos”[15]. 2. “La ciberseguridad implica la protección de las redes informáticas y la información que contienen a partir de la penetración y del daño o interrupciones maliciosas.”[16] 3. “La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, garantías de seguridad, directrices, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, garantías y tecnologías que se pueden utilizar para proteger el entorno cibernético y los activos de la organización y del usuario.”[17] 4. “La capacidad de proteger o defender el uso del ciberespacio de los ciberataques.”[18] 5. “La actividad o proceso, habilidad o capacidad, o estado mediante el cual los sistemas de información y comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso o modificación no autorizados, o explotación.”[19] 6. “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados.” [14] 7. “Preservación de la confidencialidad, la integridad y la disponibilidad de la información y/o de los sistemas de información a través del medio cibernético. Asimismo, pueden estar involucradas otras propiedades, tales como la autenticidad, la trazabilidad, el no repudio y la confiabilidad.”[20] Ante estas definiciones y teniendo en cuenta que, la seguridad como tal no existe en su totalidad; que la información puede ser encontrada en diferentes estados (procesada, almacenada, transportada); que la ciberseguridad es una rama de la seguridad de la información que se enfoca solo en activos digitales; se puede definir la Ciberseguridad como un conjunto de medidas, políticas y herramientas que protegen a los activos digitales en 9 todos sus estados de las amenazas del ciberespacio, garantizando su confidencialidad, integridad y disponibilidad. Ciberespacio y Ciberataque Muchas de las definiciones encontradas sobre Ciberseguridad se mencionan palabras como Ciberespacio y Ciberataque. Es por eso necesario describir qué se entiende por cada uno de estos términos. Por un lado, el prefijo ciber siempre está relacionado con el mundo de las computadoras y de la realidad virtual. Esto nos puede llevar a definir al ciberespacio como el espacio virtual creado con medios cibernéticos. Esta definición es algo apresurada, ya que hablar sólo de espacio virtual nos da a entender que ese espacio sólo está compuesto por elementos no físicos, lo cual a la hora de defendernos de las amenazas del ciberespacio, dejaríamos afuera algo muy importante: los componentes físicos que crean ese espacio no físico. Por ejemplo, si se implementan diferentes tecnologías que previenen, detectan y responden a incidentes cibernéticos, pero no existe seguridad física, existe un riesgo latente de que los activos de una organización se vean comprometidos. Ante esto se toma la definición del Manual de Tallinn [21] que describe al ciberespacio como: “El entorno formado por componentes físicos y no físicos, caracterizados por el uso de computadoras y el espectro electromagnético para almacenar, modificar e intercambiar datos a través de redes informáticas”. Por otro lado, el término Ciberataque el cual NIST [22] lo define como: “Un ataque, a través del ciberespacio, dirigido al uso del ciberespacio por parte de una empresa con el propósito de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno/infraestructura informática; o destruir la integridad de los datos o robar información controlada”. Algo para aclarar, si bien NIST hace referencia a que los ataques se dan sobre el ciberespacio de una empresa, también los ciberataques se dan sobre el ciberespacio de otras entidades, por ejemplo de una Nación. Los tipos de ciberataques conocidos son: ● Ataques a contraseñas: Fuerza Bruta, Ataque por Diccionario. ● Ataques por Ingeniería Social: Phising, Batiting, Spam. ● Ataques a Conexiones: Spoofing, redes trampa (Wifi falsas) ● Ataques por Malware: Virus, Ransomware, Adware, Spyware, Troyanos, Gusanos, Rootkit, Botnets. 10 Ataques en la Actualidad Si bien estos ataques siguen existiendo en la actualidad, provocando problemas en las organizaciones y usuarios finales, éstos muchas veces se dan de forma no dirigida. Un ejemplo práctico de un ataque no dirigido es cuando un atacante sube a Internet un Malware enmascarado en una aplicación, y un usuario descarga este contenido sin saber que será infectado. Es decir, el atacante si bien tiene el propósito de infectar y tomar control de los sistemas, no lo dirige hacia una organización o usuario en particular. Desde hace unos años esos ataques comenzaron a ser dirigidos, es decir, tienen como objetivo una empresa o redes gubernamentales, debido a que la motivación (monetaria, política, etc) es mayor. Ante esto, los ataques se han ido complejizando. Ya no se trata de que un antivirus detecte un archivo malicioso y lo elimine o lo envíe a cuarentena. El atacante (en estos casos, son grupos u organizaciones) desarrolla un conjunto de tácticas y técnicas de ataque con el objetivo de obtener información valiosa sin ser detectado. Estos ataques se conocen comúnmente como Amenaza Avanzada Persistente (APT por sus siglas en Inglés de, Advanced Persistent Threat). Estas amenazas son Avanzadas porque se hacen mediante múltiples vectores de ataque y son Persistentes, debido a que establecen su presencia ilícita durante un largo periodo de tiempo. Como indica Kaspersky [23], los hackers logran hacer este estilo de ataques en una serie de etapas: ● Etapa 1: Obtener Acceso. Al igual que un ladrón fuerza una puerta con una palanqueta, para insertar malware en una red objetivo, los cibercriminales suelen obtener acceso a través de una red, un archivo infectado, el correo electrónico basura o la vulnerabilidad de una aplicación. ● Etapa 2: Infiltrarse. Los cibercriminales implantan malware que permite crear una red de puertas traseras y túneles utilizados para desplazarse por los sistemas de manera desapercibida. A menudo, el malware emplea técnicas como reescribir el código para ayudar a los hackers a ocultar sus rastros. ● Etapa 3: Intensificar el Acceso. Una vez dentro, los hackers utilizan técnicas como el quebrantamiento de contraseñas para acceder a los derechos de administrador, aumentar el control sobre el sistema y obtener mayores niveles de acceso. ● Etapa 4: Desplazamiento horizontal (Movimiento Lateral). Con un mayor nivel de incursión dentro del sistema gracias a los derechos de administrador, los hackers pueden moverse por este a voluntad. También pueden intentar acceder a otros servidores y a otras partes seguras de la red. 11 ● Etapa 5: Mirar, Aprender y Permanecer. Desde el interior del sistema, los hackers obtienen una completa comprensión de su funcionamiento y sus vulnerabilidades, lo que les permite hacer uso de la información que desean. Los hackers pueden intentar mantenereste proceso en funcionamiento, posiblemente de manera indefinida, o retirarse después de cumplir un objetivo específico. A menudo, dejan una puerta abierta para acceder al sistema de nuevo en el futuro. En síntesis, en la actualidad nos podemos encontrar con diferentes ciberataques. Algunos pueden ser detectados mediante escaneos periódicos y comparando con archivos contra bases de datos en constante actualización, lo que se conoce como detección basada en firmas. Y, por otra parte, existen ataques que pueden ser detectados en base a su comportamiento, gracias al monitoreo y la correlación de eventos, que nos pueden dar un indicio de si un atacante está aplicando alguna técnica y/o técnica conocida. Modelos y Marcos de Ciberseguridad Es sabido que distintos sectores de la industria y la administración pública están presenciando la era de la Transformación Digital. La posibilidad de interoperabilidad de los sistemas, la automatización de procesos y el crecimiento del trabajo remoto son algunos de los ejemplos visibles de esta transformación, que nacen ante la necesidad de adaptarse y aprovechar las facilidades que brinda el mundo digital. Esas capacidades tienen un núcleo en común: acceso a la información, tanto a la que se genera como a la que se necesita. Ahora bien, esa accesibilidad se da tanto para lo bueno como lo malo. Es decir, “salir a internet” también puede ser un problema si no se toman los recaudos necesarios. O al menos, es necesario tener presente que existen riesgos y amenazas. Para eso es necesario implementar un modelo de ciberseguridad y/o seguir marcos establecidos por entidades importantes a nivel mundial, con el objetivo que se mencionó con anterioridad: proteger los activos. Modelo de Defensa Perimetral Para comprender este modelo, es necesario conocer el contexto histórico en el que se dió. Si nos remontamos a los años donde las organizaciones y empresas contaban con la totalidad de sus activos informáticos dentro de su red (Intranet), para soportar posibles ataques externos era suficiente establecer un perímetro de red que delimita el lado público del privado. De esta manera, tanto la entrada como salida de esa red a Internet se realizaba sólo por un único punto de acceso. Los principales dispositivos que incluyen la seguridad perimetral son (Figura 1): firewall, routers fronterizos, sistema de detección de intrusos 12 (IDS), sistema de prevención de intrusiones (IPS), Zonas desmilitarizadas (conocida también como DMZ, sigla en inglés de demilitarized zone). La seguridad perimetral consiste, por tanto, en la protección de ese perímetro de red para evitar cualquier ataque o intrusión que pueda afectar a la red de una empresa [24]. Figura 1: Ejemplo de un modelo de defensa perimetral Sin embargo, dejar todo en manos de la seguridad perimetral puede ser un gran problema: en caso de que se pase este perímetro ya no existirán defensas que frenen un ataque. Por ejemplo, un usuario puede recibir un correo electrónico con contenido malicioso que puede derivar en la instalación de un ransomware y cifrar los archivos de la organización. Modelo de Defensa en profundidad Dado que solo con la seguridad perimetral no alcanza para defenderse de un ataque, es necesario pensar acciones complementarias. Aquí es donde aparece el concepto de Defensa en profundidad (en Inglés, Defense-in-Depth). Según NIST [22], la Defensa en profundidad es una estrategia de seguridad de la información que integra personas, tecnología y capacidades operativas para establecer barreras en múltiples capas (como lo indica la Figura 2) y dimensiones de la organización. Este enfoque tiene el propósito de reducir la posibilidad de exista un ataque, ya que ante el compromiso de uno de los puntos de seguridad del sistema, existen otras líneas defensivas que pueden contener el avance hacia el 13 objetivo del atacante. Es decir, en vez de contar solo con una línea fortificada como plantea el enfoque de seguridad perimetral, esta estrategia propone varias capas de protección. Figura 2: Modelo de Defensa en profundidad Políticas, Procedimientos, Concientización En esta primera capa, también conocida como Factor Humano, se definen las Políticas y Procedimientos que debe seguir toda la organización de forma obligatoria; en la que se establecen Roles y Responsabilidades; y donde se lleva a cabo la Concientización del personal en todos sus niveles. En esta capa se tiene en cuenta normas internacionales, legislaciones, pero también se definen los activos a proteger, y el valor de los mismos. 14 Seguridad Física La seguridad física contempla todo aquello que pueda ser comprometido físicamente. Es decir, se enfoca en la prevención, detección y respuesta ante el peligro de un activo físico de una organización. Para ello se establecen diferentes mecanismos como: ● Protección de Ubicaciones físicas: perímetro de seguridad segmentado. ● Controles de acceso: lector biometrico, huella, controles físicos ID ● Monitorización de accesos: Sistemas de Videovigilancia, no impiden el acceso pero registran accesos. ● Sistemas de limitación de accesos: vallas, muros, guardias ● Sistemas de seguimiento de personas o activos: Vehiculos, GPS, dispositivos moviles ● Sistemas de protección de Datacenter: ante un incendio, terremoto, redundancia física un datacenter de contingencia. ● Sistemas de protección de cableado En la actualidad, con el surgimiento de los servicios en la Nube (Cloud), la seguridad en esta capa está contemplada por aquellos que prestan estos tipos de servicio. Esto puede ser una ventaja o una desventaja, dependiendo del enfoque. Por ejemplo, tercerizar la seguridad de esta capa para una pequeña o mediana empresa, puede significar disminuir costes en tecnología y personal. Sin embargo, para cualquier organismo público prescindir del control de esta capa es delicado, ya que se pone en juego activos que atañan a la ciberdefensa de una nación. Seguridad Perimetral Como se desarrolló anteriormente, esta capa es la encargada de securizar el perímetro de la red. Donde se define que tráfico puede ingresar desde internet y que puede salir desde la red corporativa. Firewall, DMZ, HoneyPot, DLP, IDS,VPN,WAF. Seguridad de Red Una vez que se divide la parte perimetral, ya nos adentramos en la red interna. Aquí es donde entra en juego la segmentación de la red, que consiste en dividir lógicamente la red física con el objetivo de disminuir el riesgo ante un impacto. Por ejemplo, si una estación de trabajo es impactada, y esa máquina sólo tiene acceso a la red donde se encuentra, no será posible para el atacante acceder a la subred donde se encuentran los servidores. Se implementan alguno de los siguientes controles: ● NAC (Network Access Protection ) ● Seguridad con respecto a sistemas de mensajería o Mail Security Gateway. 15 ● Seguridad en redes inalámbricas. ● Protección en sistemas de VOIP ● Firewall de Red Interna ● Monitoreo de Seguridad ● NIDS/NIPS Seguridad de Host Si bien la seguridad en la red interna disminuye la superficie de ataque, no se está exento de que haya un impacto a una máquina o lo que es peor, a un servidor de la red corporativa. Ante esto, esta capa se enfoca en la seguridad del Host. Un Host puede ser un servidor o una máquina de un usuario (endpoint) que, para protegerlo, se le realiza un hardening al sistema operativo y se implementan una serie de controles como: ● Desktop Firewall ● Soluciones de Seguridad de Endpoint ● Gestores de Actualizaciones ● HIDS/HIPS Seguridad en Aplicaciones Pasada la capa de seguridad del host, es el momento de proteger aquellas aplicaciones y/o bases de datos que se encuentran en el host. Esta capa se enfoca en aquellas organizaciones que desarrollan y/o tienen servicios propios, por lo cual es necesario que esas aplicaciones estén securizadas. Para eso es necesario que existan: ● Política de contraseñas ● Controles de accesos ● Autenticación y Autorización ● 2FA● Web Application Firewalls ● Pruebas de Aplicaciones Dinámicas ● Monitoreo de Base de datos ● Firewall de Base de datos Seguridad con respecto a Datos Por último, llegamos al activo más importante de una organización, los datos. Como se desarrolló anteriormente, los datos pueden encontrarse en diferentes estados: procesados, almacenados o transportados. En cada uno de ellos, es necesario protección y control. En esta capa intervienen: 16 ● Borrado seguro. ● DLP: Data Log Prevention ● Cifrado (Bitlocker). ● Implementación de PKI ● Clasificación de la información. ● Respaldo ● Plan de Recuperación ante desastres ● Auditoría de accesos y eventos ● Implementación de sistemas de Identidad y gestión de acceso. Como es de suponer, aplicar esta estrategia tiene un costo asociado. La defensa en profundidad implica la contratación de personal técnico para las diferentes áreas, servicios de terceros y tecnología. Por ello, es necesario que la organización realice una evaluación del valor de sus activos, y a partir de allí, diseñar e implementar las capas de seguridad que se consideren necesarias. Marco de Ciberseguridad Para enfrentar a los ataques complejos, se han establecido marcos de ciberseguridad, con el objetivo de que una organización y/o empresa, sin importar su tamaño, pueda establecer una estrategia de ciberseguridad; comprender las tacticas, tecnicas y procedimientos (TTP) de un ataque; gestionar y reducir los riesgos; y cumplir normativas y/o leyes de datos. Estos marcos están basados en el conocimiento generado a partir de años de investigación. Marco de Ciberseguridad de NIST El marco de seguridad cibernética (CSF) del NIST es una referencia para los estándares, las pautas y las mejores prácticas para administrar el ciclo de vida de las amenazas. Según el marco [25], para gestionar la seguridad de los activos son necesarias las siguientes actividades: ● Identificar: Consiste en desarrollar una comprensión organizacional para minimizar el riesgo de los sistemas, activos, datos y capacidades. Esto permite a una organización enfocar y priorizar sus esfuerzos, de acuerdo con su estrategia de gestión de riesgos y las necesidades comerciales. Los ejemplos de categorías de resultados dentro de esta función incluyen: Gestión de Activos; Entorno de Mercado; Gobernanza; Evaluación de riesgos; y Estrategia de Gestión de Riesgos. ● Proteger: Consiste en desarrollar e implementar medidas de seguridad adecuadas para garantizar la prestación de servicios críticos. La función de protección admite la 17 capacidad de limitar o contener el impacto de un posible evento de ciberseguridad. Los ejemplos de categorías de resultados dentro de esta función incluyen: Gestión de Identidad y Control de Acceso; Sensibilización y Formación; Seguridad de datos; Procesos y Procedimientos de Protección de la Información; Mantenimiento; y Tecnología de Protección. ● Detectar: Consiste en desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. La función de detección permite el descubrimiento oportuno de eventos de ciberseguridad. Ejemplos de Categorías de resultados dentro de esta función incluyen: Anomalías y Eventos; Monitoreo Continuo de Seguridad; y Procesos de Detección. ● Responder: Consiste en desarrollar e implementar actividades apropiadas para tomar medidas con respecto a un incidente de ciberseguridad detectado. La función de respuesta admite la capacidad de contener el impacto de un potencial incidente de ciberseguridad. Los ejemplos de categorías de resultados dentro de esta función incluyen: Planificación de la Respuesta; Comunicaciones; Análisis; Mitigación; y Mejoras. ● Recuperar: Consiste en desarrollar e implementar actividades apropiadas para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se vio afectado debido a un incidente de ciberseguridad. La función de recuperación admite la recuperación oportuna de las operaciones normales para reducir el impacto de un incidente. Los ejemplos de categorías de resultados dentro de esta función incluyen: planificación de la recuperación; mejoras; y Comunicaciones. Es importante mencionar, que estas cinco funciones básicas que propone el marco no son estáticas, ni mucho menos, para ser realizadas en ese orden. Por el contrario, estas actividades deben ser desarrolladas de manera simultánea y continua (Figura 3), lo que se conoce como Mejora Continua. 18 Figura 3: Fases del marco NIST Cyber Security Kill Chain Este es uno de los marcos o modelo creado por científicos informáticos de Lockheaed Martin Corporation [25], que se enfoca en la esencia de una intrusión: el atacante debe desarrollar técnicas para pasar a un entorno de confianza, permanecer en ese entorno y, a partir de ahí, emprender acciones a sus objetivos, con diferentes tacticas, tecnicas y procedimientos. Es decir, como los ataques ocurren en etapas, es necesario conocer cada una de ellas para detenerlo, en cualquiera de sus fases. Las etapas de este modelo son: 1. Reconocimiento (Reconnaissance): Investigación, identificación y selección de objetivos, muchas veces a través de técnicas como Web Crawling que rastrean lista de mails, conferencias públicas, etc. Es decir, es el momento donde se recopila la información del objetivo. 2. Preparación (Weaponization): En esta etapa se prepara el ataque de forma específica sobre un objetivo. Por ejemplo, el desarrollo de un exploit (arma) para atacar vulnerabilidades específicas de una organización. 3. Distribución (Delivery): Transmisión del “arma” al objetivo. Por ejemplo mediante archivos adjuntos de correo electrónico, sitios web y medios extraíbles como un USB. 4. Explotación (Exploitation): Después de que el arma es distribuida al Host de la víctima, comienza la fase de explotación del ataque. En la mayoría de los casos, la explotación tiene como objetivo una aplicación o una vulnerabilidad del sistema operativo. 19 5. Instalación (Installation): Como lo indica su nombre, es la fase donde se instala el Malware de la victima.La instalación de un troyano de acceso remoto o puerta trasera en el sistema de la víctima permite que el adversario mantenga la persistencia dentro del entorno. 6. Comando y Control (Command and Control -C2-): En este punto el atacante ya cuenta con el control del sistema de la víctima. Por lo general, los hosts comprometidos deben enviar una baliza de salida a un servidor de controlador de Internet para establecer un canal C2. El malware requiere especialmente la interacción manual en lugar de realizar la actividad automáticamente. Una vez que se establece el canal C2, los intrusos tienen acceso dentro del entorno de la víctima. De esta manera se pueden sustraer credenciales, tomar capturas de pantallas, tomar documentación confidencial, instalar programas, etc. 7. Acciones sobre los Objetivos (Actions on Objectives): Esta fase final implica realizar las acciones por las cuales se atacó el objetivo. Por lo general, se trata de efectuar una exfiltración de datos, lo que implica recopilar, cifrar y extraer información del entorno de la víctima; las violaciones de la integridad o disponibilidad de los datos también son objetivos potenciales. Alternativamente, los intrusos pueden desear solo acceder a la caja de la víctima inicial para usarla como un punto de salto para comprometer sistemas adicionales y moverse lateralmente dentro de la red. MITRE ATT&CK El marco MITRE ATT&CK [27] es una base de conocimiento accesible a nivel mundial de tácticas y técnicas del adversario basadas en observaciones del mundo real. Los conocimientos de ATT&CK se utilizan como base para el desarrollo de metodologías y modelos de amenazas específicos en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad. Es decir, este marco utiliza evidencia para comprender como se manifiestan las tácticas, técnicas y procedimientosque utiliza un atacante. ATT&CK dispone de tácticas donde, por cada una de ellas, se describen múltiples técnicas que un atacante puede utilizar mediante diferentes procedimientos para hacerse con un sistema. 20 Figura 4: Matriz de Mitre ATT&CK 1 Marcos para Cumplimiento Normativo Cabe destacar que comúnmente los marcos de ciberseguridad son usados de manera obligatoria por las empresas para cumplir con regulaciones estatales, globales e industriales. Algunos ejemplos son: PCI DSS [28]: Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales). 1 Fuente de la Figura: https://natasec.com/wp-content/uploads/2020/02/interfaz_MITRE_ATTCK_Navigator_natas ec-980x631.jpg 21 https://natasec.com/wp-content/uploads/2020/02/interfaz_MITRE_ATTCK_Navigator_natasec-980x631.jpg https://natasec.com/wp-content/uploads/2020/02/interfaz_MITRE_ATTCK_Navigator_natasec-980x631.jpg HIPAA [29]: La norma de confidencialidad de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA) protege los datos médicos personales y evita su uso indebido. Otorga a la persona el derecho a solicitar y examinar su historia clínica e indicar a los proveedores de atención de la salud y las compañías aseguradoras a quiénes pueden divulgar esta información. La ley también fija normas de seguridad para establecer y mantener los registros electrónicos sobre la salud de la persona. ISO 27001 [13]: La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información según el conocido “Ciclo de Deming”: denotado por las siglas PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). GDPR [30]: El Reglamento General de Protección de Datos (GPDR, por sus siglás en inglés de General Data Protection Regulation ) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. NIST 800-53 [22]: proporciona un catálogo de controles de seguridad y privacidad para los sistemas federales y organizaciones de información, así como un proceso para seleccionar controles para proteger las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación, de un conjunto diverso de amenazas. Security Operation Center Como se detalló, una organización debe definir una estrategia de seguridad, siguiendo modelos y/o marcos de ciberseguridad; diseñar una arquitectura segura; realizar controles administrativos, como políticas, normas, procedimientos y cumplimiento legal, etc. Pero también es necesario saber de qué manera se supervisarán las actividades diarias. Es decir, de qué manera se securizarán las operaciones de una organización. Es aquí donde entra el juego el concepto de SOC. Un Centro de Operaciones de Seguridad (Security Operations Center - SOC, en inglés), es una solución global para la seguridad de las operaciones. Si bien hay varios enfoques de lo que significa un SOC, estos centros se podrían definir como una combinación de personas, procesos, tecnologías, GRC (Governance, Risk & Compliance), 22 para identificar, detectar y mitigar amenazas de manera efectiva, idealmente antes de que ocurra cualquier daño [31]. Según ISACA [32], los SOC son responsables de monitorear y proteger los activos de la organización, incluida la propiedad intelectual, los datos personales/confidenciales, los sistemas comerciales, la infraestructura crítica y la reputación de la marca frente a las amenazas de ciberseguridad. Los SOC sirven como los ojos y los oídos de una organización, activan la alarma cuando ocurren eventos de ciberseguridad sospechosos o anormales y permiten una respuesta rápida para reducir el impacto en la organización. Tecnologías SOC Durante el desarrollo del modelo de seguridad en profundidad, se fueron nombrando diferentes tecnologías que son aprovechadas para securizar cada capa. Sin embargo, implementar un SOC nos lleva a tener que simplificar las formas que vemos las amenazas y los controles de seguridad con una mirada más holística. Es decir, ya no alcanza con tener soluciones individuales sino que se pretende que las tecnologías tengan la capacidad de correlacionar eventos y responder ante una amenaza. Ante esto, y con el objetivo de proteger las tres superficies de ataque (Nube, Red, Endpoint), es que surgen tecnologías como SIEM, EDR y XDR. SIEM En lo que refiere a soluciones tecnológicas que proveen un SOC, es indispensable contar con un SIEM (Security Information Event Management). Los profesionales y analistas de seguridad utilizan el sistema SIEM para monitorear, identificar, documentar y, a veces, responder a incidentes [33]. Esta tecnología aprovecha que los principales productos de hardware y software, como firewalls, switches, IPS/IDS, servidores, etc, crean archivos de registros (logs) que necesitan ser gestionados [34]. Además de la gestión de logs, los SIEM están pensados para proporcionar [33]: ● IT Regulatory Compliance: a partir de los logs, se pueden generar reglas para auditar y validar cumplimientos normativos. ● Correlación de Eventos: mediante varios eventos registrados, se puede verificar si existe una relación entre ellos para poder elegir reaccionar o no. Es decir, dado un conjunto de eventos, la herramienta analiza si corresponde disparar una alarma o no. ● Respuesta Activa: tomar acciones automáticas frente a incidentes. ● Endpoint Security: monitoreo de PCs, servidores, componentes de red. 23 CrowdStrike, una empresa conocida de ciberseguridad, proporciona explicaciones, ejemplos y mejores prácticas sobre los principios fundamentales de una variedad de temas de ciberseguridad. Entre ellos, características comunes que tiene una solución SIEM [35]: ● Dashboard: Un panel único proporciona una forma fácil de usar para que el personal del SOC interactúe con los datos, administre alertas, realice un seguimiento del estado y la actividad de los productos de protección de vulnerabilidades e identifique los sistemas que ya no se analizan en busca de vulnerabilidades. ● Capacidades analíticas: Obtiene información de grandes cantidades de datos y aplica Machine Learning para identificar automáticamente las amenazas ocultas. Los SIEM basados en análisis pueden combinar datos operativos de TI e inteligencia de seguridad para permitir la identificación de una vulnerabilidad específica. ● Detección avanzada de amenazas: utiliza el monitoreo de la seguridad de la red, la detección de Endpoint y el análisis de comportamiento para identificar y poner en cuarentena nuevas amenazas potenciales, y correlaciona las defensas en diferentes estilos de amenazas persistentes avanzadas (APT). ● Inteligencia de amenazas (Threat Intelligence): correlaciona datos actuales sobre indicadores de compromiso (IOCs) y tácticas, técnicas y procedimientos (TTP) del adversario en contexto con otra información sobre incidentes y actividades para facilitar la exposición de eventos anormales. ● Informes de Cumplimiento (Compliance): Los registros de cada host que debeincluirse en los informes se transfieren de forma regular y automática al SIEM, donde se agregan en un solo informe que se puede personalizar para generar informes de cumplimiento enriquecidos en uno o varios hosts. Las capacidades de generación de informes cumplen con los requisitos obligatorios de PCI DSS, HIPAA y GDPR, anteriormente detallados. EDR Siguiendo las evidencias que se explayaron anteriormente, donde se demuestran que en los últimos años los ataques se han ido complejizando (APT), ya no es suficiente contar con soluciones tradicionales de detección basada en firmas, como por ejemplo, los antivirus. Esto es debido a que la naturaleza de estos ataques está en evitar los Antivirus, se necesitan de metodologías y/o tecnología que en base a la investigación del comportamiento de estos ataques, se pueda detectar y responder ante amenazas. Para brindar un enfoque más general sobre la protección de los endpoint, existen los sistemas de detección y respuesta del endpoint (EDR, de sus siglas en inglés de Endpoint Detection and Response). Los EDR 24 correlacionan información y eventos recopilados, y en caso de detectar una amenaza o comportamiento anómalo, permite actuar de forma inmediata y casi automática para poder eliminar la amenaza o mitigar sus efectos. El Instituto Nacional de Ciberseguridad de España (INCIBE) [36], destaca que el EDR además de las características propias de un Antivirus, incorpora aplicaciones y herramientas como: ● Herramientas de análisis apoyadas en el uso del aprendizaje automático (machine learning) para mejorar la detección de amenazas. ● Sandbox: el sistema virtual y aislado de pruebas para comprobar el comportamiento de los archivos descargados, por ejemplo. ● Escaneo de IOCs y reglas YARA2, que permiten analizar y detectar las amenazas provocadas por amenazas complejas en tiempo real. ● El uso de listas blancas y negras de correos electrónicos, páginas web e IP. ● Interoperabilidad e interacción con otras herramientas de seguridad, como SIEM, IPS/IDS o herramientas antimalware. Para agregar, Crowdstrike, destaca seis razones [37] por las cuales tenes una solución EDR debe ser parte de la estrategia de seguridad de una organización: ● Razón 1: La prevención por sí sola no puede garantizar una protección del 100%. Cuando la prevención falla, si no se dispone de una solución de detección y respuesta es posible que los atacantes aprovechan esta situación para quedarse y navegar dentro de la red. ● Razón 2: Los adversarios pueden estar dentro de la red de una organización por largos periodos de tiempo e irse y regresar cuando quieran. De no detectarse, los atacantes pueden moverse “silenciosamente” en el entorno de una organización y crear puertas traseras que permitan volver cuando quieran. ● Razón 3: Las organizaciones carecen de la visibilidad necesaria para monitorear de manera efectiva un Endpoint. Cuando se descubre una brecha, una organización puede pasar mucho tiempo tratando de remediar el incidente porque carece de una visibilidad suficiente para comprender qué y como sucedió, y como solucionar esa brecha. ● Razón 4: La necesidad de acceso a inteligencia para responder a un incidente. Es posible que las organizaciones no solo carezcan de la visibilidad necesaria para comprender lo que sucede en sus Endpoint, sino que es posible que no 2 https://yara.readthedocs.io/en/stable/ 25 https://yara.readthedocs.io/en/stable/ puedan registrar lo que es relevante para la seguridad, y mucho menos, recuperar la información con la suficiente rapidez cuando sea necesario. ● Razón 5: Tener los datos es solo una parte de la solución. Incluso cuando los datos están disponibles, los equipos de seguridad necesitan los recursos necesarios para analizarlos y aprovecharlos al máximo. Esta es la razón por la que muchos equipos de seguridad descubren que poco después de implementar un producto de recopilación de eventos, como un SIEM, a menudo se enfrentan a un problema de datos complejo. Comienzan a surgir los desafíos relacionados con saber qué buscar, la velocidad y la escalabilidad. ● Razón 6: La remediación puede ser prolongada y costosa. Sin las capacidades enumeradas anteriormente, las organizaciones pueden pasar semanas tratando de discernir qué acciones tomar. Casi siempre, el único recurso es volver a crear una imagen de las máquinas, lo que puede interrumpir los procesos comerciales, degradar la productividad y, en última instancia, causar pérdidas financieras graves. XDR Desde que Nir Zuk, CTO y cofundador de Palo Alto Networks, acuño el término XDR (eXtended Detection and Response [38], como una propuesta de salto de calidad de las herramientas de detección y respuesta existentes en el mercado, las definiciones sobre esta solución han sido variadas. Según Gartner [39], “XDR es una plataforma unificada de seguridad y respuesta a incidentes que recopila y correlaciona datos de múltiples componentes patentados. La integración a nivel de plataforma ocurre en el punto de implementación en lugar de agregarse más tarde. Esto consolida varios productos de seguridad en uno y puede ayudar a proporcionar mejores resultados generales de seguridad. Las organizaciones deben considerar el uso de esta tecnología para simplificar y optimizar la seguridad”. Para Forrester [40] esta solución es “la evolución de EDR, que optimiza la detección, investigación, respuesta y búsqueda de amenazas en tiempo real. XDR unifica las detecciones relevantes para la seguridad del endpoint con telemetría de herramientas comerciales y de seguridad, como análisis y visibilidad de red (NAV), seguridad de correo electrónico, administración de identidad y acceso, seguridad en la nube y más. Es una plataforma nativa de la nube basada en una gran infraestructura de datos para brindar a los equipos de seguridad flexibilidad, escalabilidad y oportunidades de automatización.” 26 Beneficios de tener un XDR En este sentido, lo que viene a resolver esta solución es hacer un poco más fácil el trabajo a los analistas del SOC, debido a que acelera los tiempos de detección y respuesta ante amenazas críticas. Por ejemplo, si bien el SIEM es una herramienta de gran ayuda para un equipo de seguridad, ya que agrega registros y alertas de manera efectiva, a veces no puede reconocer que distintas alertas (o eventos que no considera alertas) pertenecen al mismo incidente. Aunado a estas características, XDR provee más beneficios [38]: ● Bloqueo de ataques conocidos y desconocidos con la protección de endpoint: Bloquea malware, exploits, ataques sin archivo (File Less attacks) con antivirus basados en IA e inteligencia de amenazas. ● Visibilidad de todos los datos: recopilación y correlación de todos los datos de cualquier fuente para detectar, clasificar, investigar y responder a las amenazas. ● Detección automática de ataques sofisticados 24/7: uso de análisis out-of-the-box y reglas personalizadas para detectar APT y otros ataques encubiertos. ● Reducción de alertas: se simplifican las investigaciones analizando la causa raíz, lo que reduce la cantidad de alertas que se deben revisar y clasificar. ● Eliminar los adversarios sin interrumpir usuarios: al detener los ataques y responder rápidamente, se evita tiempo de inactividad del usuario o del sistema. ● Cerrar las amenazas avanzadas: protege la red contra ataques externos e internos, el ransomware, ataques sin archivo, ataques memory-only, y malware zero-day. ● Multiplicar la fuerza del equipo de seguridad: Detener cada etapa de una ataque detectando indicadores de compromiso (IOC) y comportamiento anómalo, como también priorizar el análisis utilizando una puntuación de incidentes, hace de XDR un multiplicador de fuerza (Force Multiplier) importante para cualquier SOC. ● Restaurar Host post-incidente: brinda la posibilidad de recuperarse rápidamente de un ataque eliminando archivos maliciosos y claves de registro, así como también restaurando archivos dañadosy claves de registro utilizando sugerencias para la remediación. ● Extender la detección y la respuesta a fuentes de datos de terceros: La integración con registros recopilados de otras tecnologías (por ejemplo, de un firewall), permite hacer un análisis de comportamiento y tener una vista unificada de incidentes y realizar un análisis con mayor rapidez. Tipos de XDR En la actualidad, a los XDR que existen en el mercado se los clasifica como Propietario (o Nativo) e Híbrido (también se lo conoce a Abierto, lo que se cree confuso porque se confunde con código abierto). Forrester define estas clasificaciones de la siguiente manera: 27 ● XDR híbrido: Una plataforma XDR que se basa en integraciones con terceros para la recopilación de otras formas de telemetría y la ejecución de acciones de respuesta relacionadas con esa telemetría. ● XDR nativo: Una suite XDR que se integra con otras herramientas de seguridad de su cartera para la recopilación de otras formas de telemetría y la ejecución de acciones de respuesta relacionadas con esa telemetría. La necesidad de un XDR en las organizaciones Para la mayoría de las organizaciones encuestadas por Enterprise Strategy Group (ESG) en su trabajo de investigación “The Impact of XDR in the Modern SOC” [41], creen que XDR puede proporcionar una solución que simplifique la visualización de ataques complejos y ayude a comprender como progresan en las distintas etapas de la Kill Chain; como también ven como una gran característica de este tipo de herramienta, poder realizar análisis avanzados capaces de correlacionar eventos desde múltiples fuentes. Pero por sobre todas las cosas, perciben que puede ser de gran ayuda en la ingesta de datos, hoy uno de los mayores inconvenientes que presentan los SOC. Si bien es una tecnología nueva y todavía los profesionales de ciberseguridad no tienen en claro el potencial, Gartner [42] espera que para fines de 2027, hasta el 40% de las organizaciones de usuarios finales utilizaran XDR”. No obstante, afirma que para 2023 el 30% de los proveedores de EDR y SIEM afirmaron proporcionar una solución XDR, a pesar de que carecen de la funcionalidad básica de XDR. 28 Capítulo 3. Elección y análisis preliminar de la herramienta. Elección de la herramienta Asumiendo que en algún momento existirán problemas de seguridad, es imperioso contar con herramientas de seguridad informática que ayuden a reducir la superficie de ataque a la que un sistema está expuesto. Como se introdujo anteriormente, tecnologías como EDR o XDR contribuyen a la prevención, detección y respuesta a intrusiones, como también lo hacen los firewalls, IDS (basados en red y host), etc. Ahora bien, tener una una mirada holística sobre la arquitectura de la organización y centralizar toda la información recolectada es sumamente necesario para cualquier equipo de seguridad. No solo por el monitoreo en tiempo real, sino también porque la recopilación de las actividades permite, por ejemplo, realizar análisis forense en caso de que haya ocurrido una violación de seguridad. Aquí es donde cobra importancia la implementación de un SIEM, que se encarga de gestionar y correlacionar los eventos que proveen cada uno de los sistemas de seguridad mencionados. Si bien existe una diversidad de plataformas de seguridad, la mayoría se trata de software privativo. Esto significa que acceder a licencias es una gran inversión, ya que siempre son cotizadas en dólares. A esto se suma que debido a las características legales de los licenciamientos de ese tipo de herramientas, éstas resultan no auditables en base al secreto comercial. Criterios básicos para la elección En base a lo mencionado, se tomaron los siguientes criterios de elección para la herramienta a evaluar que se desprenden de los objetivos del trabajo propuesto. ● La plataforma debe ser Software libre (open-source). ● La plataforma debe tener licencia de uso sin costo asociado. ● La plataforma debe contar con abundante documentación y una comunidad de soporte. Dado los criterios establecidos, se excluyen las plataformas comerciales tradicionales como las que se observan en el cuadrante mágico de Gartner 2021 respecto de plataformas SIEM (Figura 5) y de protección de endpoints (Figura 6). 29 Figura 5: Cuadrante mágico de Gartner para SIEM (junio 2021) 30 Figura 6: Cuadrante mágico de Gartner para protecciones en el Endpoint (mayo 2021) Además de los criterios básicos, se tuvieron en cuenta algunas especificaciones más para acotar el espacio de posibles herramientas a evaluar: ● La plataforma debe ser escalable para lograr mínimamente una cobertura de infraestructuras medianas (soporte para cientos de puestos de trabajo). ● La plataforma debe cumplir los criterios básicos en una versión completa (no en una versión limitada). ● La plataforma debe ser fácilmente integrable con otras plataformas open-source. ● La plataforma debe poder ser desplegada en los sistemas operativos más utilizados (mínimamente en las plataformas Windows, Linux, MacOS). 31 Los criterios adicionales ayudan a desestimar otras herramientas que cumplen con los criterios básicos como SIEMonster 3 , OSSIM 4 , Mozdef 5 o Prelude OSS 6 . Finalmente, siguiendo los requisitos de elección, se ha seleccionado Wazuh 7 , una suite que nació como una bifurcación (comúnmente llamado fork) del proyecto OSSEC 8 (Open Source HIDS SECurity), un reconocido HIDS multiplataforma de código abierto. La misma ha ido creciendo con el tiempo, incorporando funcionalidades y nuevos componentes, convirtiéndose así en una plataforma de seguridad que combina las características de un SIEM y XDR. Si bien no era un criterio establecido, es importante agregar que la plataforma cuenta con un equipo de soporte, capacitación y desarrollo en la República Argentina. Descripción de la herramienta Wazuh Una vez presentada la herramienta Wazuh, se describen sus componentes, arquitectura y capacidades que brinda. Tener una primera impresión de la herramienta permitirá establecer los pasos a seguir para realizar el análisis de la misma, que es el propósito de este trabajo. Según su documentación 9 , Wazuh está integrada fundamentalmente por cuatro componentes: Agente, Manager, Indexador y Visualizador. El primero es un agente multiplataforma y ligero que envía datos del sistema protegido (Endpoint) como logs, hashes de archivos y anomalías detectadas a un gestor central (Manager) donde estos eventos posteriormente se analizan y se correlacionan, para dar lugar a alertas de seguridad, en caso de que así lo sean. Sin embargo, esta suite no solo se limita a recolectar y correlacionar eventos, sino que a su vez tiene un indexador (Wazuh Indexer) el cual permite, valga la redundancia, indexar los datos provenientes de los logs generados por el Manager. Esto convierte a este componente en un motor de búsqueda muy potente capaz de manejar grandes volúmenes de datos. Por último, la presentación de los datos es un componente muy importante, ya que le brinda al equipo de seguridad una visibilidad del monitoreo de alto nivel. Aquí es donde aparece Wazuh Dashboard, un entorno frontend que proporciona paneles de control (dashboards), una visualización más amigable de los logs, y permite realizar consultas al motor de búsqueda (Wazuh Indexer). Para comprender visualmente lo descrito hasta ahora, la Figura 7 presenta los componentes y el flujo de datos que existe entre ellos. 9 https://documentation.wazuh.com/current/index.html 8 https://www.ossec.net/ 7 https://wazuh.com/ 6 https://www.prelude-siem.org/ 5 https://mozdef.readthedocs.io/en/latest/overview.html 4 https://cybersecurity.att.com/products/ossim 3 https://siemonster.com/ 32 https://documentation.wazuh.com/current/index.html https://www.ossec.net/ https://wazuh.com/ https://www.prelude-siem.org/ https://mozdef.readthedocs.io/en/latest/overview.html https://cybersecurity.att.com/products/ossim https://siemonster.com/ Figura 7: Componentesy flujo de datos de Wazuh. Siguiendo el flujo de datos que refleja la Figura 7, se pueden visualizar las comunicaciones entre los componentes. La primera es entre el Agente y el Manager, que dispone de dos canales: uno para la autenticación y el otro donde ocurre el envío de datos. La segunda comunicación es entre Manager e Indexer. Esta se da gracias a Filebeat 10 , un componente liviano de Elastic 11 , que tiene la funcionalidad de enviar todos los eventos y alertas que genere Wazuh Manager para ser indexados en Wazuh Indexer. Por último, Wazuh Dashboard tiene un canal de comunicación con Indexer para poder realizar las consultas necesarias; y, por otro lado, se comunica con el servicio de RESTful API del Manager para proveerse de información relacionada con la configuración y estado, tanto del servidor de Wazuh como de los agentes. Como se introdujo, la información puede existir en diferentes estados, ya sea almacenada, procesada o transmitida. Para las comunicaciones es importante enfocar la seguridad en la transmisión de la información, ya que de ser comprometida podría causar, por ejemplo, fugas de datos. Es decir que, por querer remediar los problemas de seguridad, se estarían profundizando. Ante esto, Wazuh cifra estas comunicaciones. En el caso de la comunicación Agente-Manager, los eventos generados en el endpoint se cifran antes de ser enviados mediante AES, lo que permite comprobar si la información es auténtica y no ha sido alterada durante la transmisión y que proviene desde el origen correcto. Por otro lado, para la comunicación Manager-Indexer se utiliza el protocolo criptográfico TLS. Con el mismo método, se encripta la comunicación entre Dashboard y el servicio REST API, a la que se suma la autenticación mediante usuario y contraseña. 11 https://www.elastic.co/es/ 10 https://www.elastic.co/es/beats/filebeat 33 https://www.elastic.co/es/ https://www.elastic.co/es/beats/filebeat Capacidades Retomando la Figura 7, se puede observar que tanto el agente como el manager disponen de módulos. Éstos hacen a las capacidades que tiene esta herramienta. Es que Wazuh, en una única arquitectura, unificó funcionalidades que históricamente estaban separadas. Su documentación enumera varias de sus capacidades, entre las que se encuentran: ● Detección de Intrusiones en el Host: es la característica original de la herramienta. Ya sea mediante el uso de firmas, índices de compromiso y/o comportamiento anómalo, Wazuh tiene la capacidad de detectar malware y rootkits conocidos. Además puede detectar procesos ocultos, puertos de red en escucha y otras actividades no autorizadas o que son anómalas al comportamiento normal del sistema. ● Análisis de Logs: como se mencionó recientemente, los agentes de Wazuh envían los logs tanto del sistema operativo como de las aplicaciones. De igual manera, existe la posibilidad que otros componentes o sistemas sin agente como routers, firewalls, switches (gestionables) puedan enviar sus propios logs. Sin embargo, el solo hecho de persistir esos logs, no aportaría nada a la visibilidad que cualquier equipo de seguridad desea tener. Para ello, Wazuh dispone de un conjunto de decodificadores y reglas (algunas propias y otras out-of-the-box) para que los datos que aportan esos logs permitan identificar errores y/o anomalías de los sistemas monitoreados. ● Monitoreo de la Integridad de Archivos: el monitoreo de archivos de Wazuh consiste en identificar cambios tanto en el contenido de los archivos, como en sus permisos y otros atributos. Además, en conjunto con herramientas de auditoría de Windows y Linux, brinda la posibilidad de supervisar que usuario hizo los cambios en los archivos junto con el nombre del programa o proceso utilizado. El monitoreo de la integridad de los archivos es una característica fundamental si se quiere prevenir y detectar accesos no autorizados a información importante y/o confidencial de un organismo y/o empresa. ● Detección de Vulnerabilidades: Wazuh es capaz de detectar vulnerabilidades en aplicaciones instaladas en los endpoints utilizando el módulo de Detección de Vulnerabilidades. Gracias a este módulo, los agentes recopilan información de sus paquetes instalados en un inventario que se envía periódicamente al manager, quien se encarga de contrastar contra fuentes de vulnerabilidad indexadas por Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft y National Vulnerability Database. Esto permite conocer qué debilidades tiene un sistema para poder robustecerlo y/o tomar acciones antes que las vulnerabilidades sean explotadas. 34 ● Evaluación de la Configuración: Wazuh cuenta con un módulo (Security Configuration Assessment) que le da la capacidad realizar evaluaciones periódicas en la configuración del sistema del endpoint monitoreado. Esto se realiza siguiendo políticas de seguridad, estándares y guías de hardening recomendadas. Esta funcionalidad es muy importante para reducir la superficie de ataque. ● Higiene TI: Wazuh cuenta con un módulo de inventario del sistema de cada uno de los agentes, donde recopila información de hardware y software (interfaces de red, puertos abiertos, configuraciones de red, procesos, paquetes, especificaciones de CPU, memoria, sistema operativo, etc). ● Respuesta Activa: Wazuh provee acciones programadas como contramedida frente a una amenaza. Estas medidas se realizan automáticamente cuando se cumplen ciertos criterios establecidos. ● Cumplimiento Normativo: las capacidades desarrolladas, además de proporcionar controles de seguridad, sirven para cumplir con estándares de cumplimiento normativo. Esto se da gracias a que las reglas de Wazuh tienen asociadas requisitos de cumplimiento de estándares como PCI-DSS, GDPR, HIPAA, NIST 800-53, entre otros ( desarrollados en el capítulo 2). ● Threat Hunting: al igual que con cumplimiento normativo, las reglas de Wazuh se mapean con el framework de MITRE ATT&CK. Esto no solo proporciona un mejor contexto de seguridad, sino que permite hacer detección e investigación de tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes. ● Configuración Centralizada: la mayoría de las capacidades nombradas pueden ser configuradas de forma remota. Wazuh dispone de una funcionalidad para agrupar agentes y poder realizar cambios en su configuración de forma remota. Esta característica es muy importante para despliegues con cientos o miles de agentes. ● Integración con Software de Terceros: Wazuh puede ser integrado con otros servicios y/o herramientas como VirusTotal 12 , YARA, Slack 13 , TheHive Project 14 , Suricata 15 , etc. Esto se logra integrando el sistema de alertas con las APIs de los productos de software a través de scripts. ● Seguridad en la Nube: Wazuh brinda capacidad de detección de amenazas, hardening y monitoreo para plataformas en la nube como AWS, Microsoft Azure, Google Cloud, GitHub, Office 365. ● Seguridad en Contenedores: Wazuh puede utilizarse para monitorear anomalías contenedores, alertando en tiempo real. Wazuh protege las cargas de trabajo de 15 https://suricata.io/ 14 https://thehive-project.org/ 13 https://slack.com/ 12 https://www.virustotal.com/ 35 https://suricata.io/ https://thehive-project.org/ https://slack.com/ https://www.virustotal.com/ contenedores a nivel infraestructura (por ejemplo, mediante monitoreo del host donde se encuentra el contenedor Docker) y nivel contenedor (utilizando Kubernetes DaemonSet 16 ). Análisis previo a la instalación Luego de introducir con una breve descripción los componentes de la suite Wazuh, es necesario realizar un análisis previo a la instalación a partir de su documentación [43]. Esto permitirá conocer todo el abanico de implementaciones y, a partir de ello, tomar las decisiones pertinentes para elaborar un entorno de prueba de la herramienta. En lo que refiere a los agentes, Wazuh puede proteger equipos con sistema operativo Linux, Windows,MacOS, Solaris, AIX y HP-UX. El agente puede ser desplegado en diferentes endpoints: netbooks, pc de escritorio, servidores, instancias cloud, contenedores o máquinas virtuales. Por otra parte, los componentes centrales de Wazuh pueden ser implementados utilizando dos tipos de arquitectura: Centralizada o Distribuida en clúster. La arquitectura centralizada es la más sencilla de implementar, ya que se trata de la instalación de todos los componentes centrales en un único servidor, como muestra la Figura 8. Figura 8: Arquitectura Centralizada Otra posible implementación (recomendada para ambientes de producción) es mediante una arquitectura distribuida en clúster. Esto implica la utilización de más de un servidor 16 https://kubernetes.io/es/docs/concepts/workloads/controllers/daemonset/ 36 https://kubernetes.io/es/docs/concepts/workloads/controllers/daemonset/ independiente, donde en al menos uno estará alojado Wazuh Manager, y en otro el servicio de Wazuh Indexer y Dashboard, como se puede observar en la Figura 9. Figura 9: Arquitectura Distribuida en clúster Para comprender la composición y funcionamiento del clúster de Wazuh, es importante separar al Manager del Indexer, ya que se trata de componentes diferentes. La configuración en clúster de Wazuh Manager tiene dos tipos diferentes de nodos con tareas definidas y que definen una jerarquía: Master y Worker. El nodo Master es quien centraliza y coordina los Workers. Algunas tareas del Master son: ● Recibir y gestionar solicitudes de registro de agentes. ● Creación de grupos de configuración compartidos. ● Actualización de reglas personalizadas, decodificadores y listas CDB. ● Proveer el servicio de RESTful API de Wazuh. ● Puede recibir y procesar eventos de los agentes como los Workers. Por otro lado, pueden existir uno o más nodos Workers que se encargan de: ● Redireccionar solicitudes de registro de agentes al Master. ● Recibir actualizaciones del Master. ● Recibir y procesar los eventos que llegan de los agentes. ● Enviar actualizaciones del estado de los agentes al Master. 37 Es claro que esto permite mejorar la disponibilidad y escalabilidad del servicio. De todos modos, este tipo de configuración jerárquica tiene una desventaja ante un fallo del Master. Esto se debe a que no hay ningún mecanismo que ante un fallo se asigne el rol de Master a uno de los nodos Workers. Por lo tanto, si el Master deja de funcionar temporalmente, no se podrá registrar nuevos agentes; realizar cambios en las reglas y configuración centralizada; ni poder utilizar Wazuh Dashboard, ya que necesita del servicio de Wazuh API. Sin embargo, no se perderá la funcionalidad de seguir registrando eventos de seguridad, algo fundamental para un sistema de detección, prevención y respuesta. En este caso, solo se perderá la visibilidad hasta que el Master pueda recuperarse. Esto que parece una desventaja, resulta conveniente si lo comparamos con un servidor de Wazuh con un solo punto de falla como puede ser una arquitectura centralizada o distribuida con un solo nodo. Para esta configuración, es recomendable utilizar un balanceador de carga. Esto ayudará a distribuir la carga de trabajo, optimizando así el uso de los recursos de cada nodo y evitando su sobrecarga; y además, potencia la confiabilidad del servicio, ya que los agentes pueden seguir comunicándose con el clúster ante el fallo de uno de los nodos. La Figura 10 muestra una posible configuración clúster de Wazuh. Figura 10: Arquitectura de cluster típica de Wazuh 38 Retomando la Figura 9, se puede observar que Wazuh Indexer tiene la posibilidad de tener más de un nodo. Más allá de ser una característica ventajosa, ya que permite escalabilidad al motor de búsqueda, no se puede escapar ante la pregunta de por qué esta configuración de clúster es diferente a la del servidor de Wazuh. Y la respuesta está en el pasado. Es que, Wazuh se integraba (hasta no hace mucho tiempo atrás) con la conocida pila de soluciones de Elastic, Elasticstack (conocida también como ELK stack). Esta pila está compuesta por Elasticsearch, Kibana, Beats y Logstash. Las capacidades de Elasticstack generaron un gran ecosistema empresarial, como por ejemplo, aplicaciones de seguridad IT como lo es Wazuh. De hecho, Beats (Filebeat) es utilizado para enviar los eventos y alertas que genera el manager de Wazuh hacia el Indexer. Sin embargo, esto era posible debido a que Elastic comenzó como una plataforma open-source (estaba disponible bajo la licencia Apache 2.0 17 ), pero desde 2021 cambió su licencia a Elastic 2.0 18 , lo que provocó varias limitaciones en su uso. Como respuesta ante esto, Amazon presentó el proyecto OpenSearch 19 , que es un fork de código abierto impulsado por la comunidad para que puedan seguir contando con la potencialidad de esta plataforma. OpenSearch está publicado bajo la licencia Apache versión 2.0 e incluye la distribución anterior de Elasticsearch (Open Distro for Elasticsearch). Esto primeramente sirvió para que Wazuh pueda seguir contando con las capacidades de búsqueda, analitica e indexación, y a partir de la versión 4.3, agregar como componente de la suite a Wazuh Indexer, una distribución de Opensearch con algunas herramientas adicionales. Esto mismo ocurre con Wazuh Dashboard, una distribución personalizada de OpenSearch Dashboards, herramienta de visualización predeterminada para datos en OpenSearch. Profundizando en el diseño de OpenSearch, se observa que la clusterización es una característica inherente de este motor de búsqueda. Es que, OpenSearch puede operar como un cluster de un solo nodo o multi-nodo. En caso de agregar nodos para aumentar la capacidad, automáticamente se distribuye de manera equilibrada la carga de datos y consultas para proporcionar escalabilidad y alta disponibilidad. Además, cada nodo puede tener una funcionalidad específica. De hecho, existen diferentes tipos de nodos, que brindan la posibilidad de múltiple configuraciones de cluster [44]: 19 https://opensearch.org/ 18 https://www.elastic.co/es/licensing/elastic-license 17 https://www.apache.org/licenses/LICENSE-2.0 39 https://opensearch.org/ https://www.elastic.co/es/licensing/elastic-license https://www.apache.org/licenses/LICENSE-2.0 ● Cluster Manager: es quién administra el funcionamiento general del clúster y realiza un seguimiento del estado del mismo. Esto incluye la creación y eliminación de índices, el seguimiento de los nodos que se unen y abandonan el clúster, la verificación del estado de cada nodo en el clúster y la asignación de fragmentos a los nodos. ● Cluster Manager Eligible: Es quien elige un nodo como Cluster Manager a través de un proceso de votación. ● Data: Almacena y busca datos. Realiza todas las operaciones relacionadas con los datos (indexación, búsqueda, agregación) en fragmentos locales. Comparándolo con Wazuh Manager, son los nodos de tipo Workers. ● Ingest: Se encarga de preprocesar los datos antes de ser almacenados. ● Coordinating: Delega las solicitudes del cliente a los fragmentos de los nodos de datos, recopila y agrega los resultados en un resultado final y envía este resultado al cliente. ● Dynamic: Delega un nodo específico para el trabajo personalizado, como tareas de aprendizaje automático, lo que evita el consumo de recursos de los nodos de datos y, por lo tanto, no afecta ninguna funcionalidad de OpenSearch. Reservar un nodo para realizar tareas específicas sin ser compartido con ninguna otra tarea, depende exclusivamente de los recursos disponibles y factores de rendimiento que se esperen. Además, la funcionalidad de cada nodo puede corresponder a destinar diferentes recursos de hardware. Por ejemplo, para los nodos Data, donde predominan las operaciones de búsqueda e indexación de datos, tener discos rápidos (por ejemplo, SSD) y gran capacidad y velocidad en memoria RAM es indispensable para un buen rendimiento. Mientras que, por otro lado, un nodo con potencia de CPU puede
Compartir