visión nublada
Los sistemas CTI se enfrentan a algunos problemas importantes que van desde el tamaño de las redes de recolección hasta su diversidad, lo que en última instancia influye en el grado de confianza que pueden otorgar a sus señales. ¿Son lo suficientemente recientes y confiables para evitar falsos positivos o envenenamiento? ¿Me arriesgo a actuar sobre datos obsoletos? Esta diferencia es importante ya que una pieza de información es solo una ayuda para tomar decisiones, mientras que una pieza de información procesable puede usarse directamente como arma contra un agresor. Si los datos sin procesar son los campos de heno, la información son los montones de heno y las agujas son la señal procesable.
Para ilustrar el tamaño y la variedad de las redes de recopilación, sin nombrar a nadie en particular, imaginemos un gran proveedor de CDN. Su función es entregar, a gran escala, contenido a través de HTTP(s). Esto atrae mucha “atención” y señales, pero solo en la capa HTTP. Además, cualquier atacante inteligente probablemente evitará sondear sus rangos de IP (que son públicos y conocidos en su AS). Por lo tanto, solo recibe los escáneres indiscriminados “Gatling guns” o ataques directos a través de una capa HTTP. Este es un enfoque muy estrecho.
Ahora, si usted es un gran EDR/XDR o cualquier antivirus glorificado, también puede argumentar que tiene una enorme red de detección que abarca millones de dispositivos… De empresas ricas. Porque seamos realistas, no todas las organizaciones sin fines de lucro, hospitales públicos o bibliotecas locales pueden pagar esas herramientas. Por lo tanto, es posible que solo vea amenazas dirigidas a actores sofisticados y, en su mayoría, las transmitidas por malware en máquinas LAN.
En el frente del honeypot, tampoco hay una bala de plata. Los “escáneres de ametralladoras Gatling” representan la radiactividad de fondo de Internet. Una especie de ruido estático que está constantemente presente en el entorno de cualquier dispositivo conectado a Internet. Aquí, el problema es más bien que ningún grupo ciberdelincuente decente utilizará recursos significativos para apuntar a una máquina trampa. ¿Cuál es el punto de invertir algunos recursos DDoS para derribar un muñeco de paja? ¿Usaría algún exploit o herramienta significativa, y mucho menos quemar su IP, en un objetivo “potencial”? Los honeypots recopilan “intenciones”, explotación automatizada, algo así como “esta IP quiere saber si eres (todavía) vulnerable a log4j“.
Manténgase a la vanguardia con CrowdSec, una suite de seguridad de código abierto que ofrece protección colaborativa contra direcciones IP maliciosas. Con su simple integración en su infraestructura de seguridad existente, obtiene detección de comportamiento y remediación automatizada. Además, se beneficiará de inteligencia de amenazas cibernéticas altamente procesable con cero falsos positivos y un volumen reducido de alertas creadas a partir de una red de más de 190k máquinas repartidas en más de 180 países. No luches solo, deja que la multitud te apoye. ¡Comienza con CrowdSec gratis!
Puede ser interesante hasta cierto punto, pero se limita a las frutas maduras. Además, su diversidad está limitada por su capacidad de esparcirse en muchos lugares diferentes. Si todas sus sondas (honeypots) están ubicadas sobre diez o peor, solo 3 o 4 nubes diferentes, no puede ver todo y puede ser “esquivado”, lo que significa que los delincuentes pueden saltarse voluntariamente sus rangos de IP para evitar ser detectados. También debe organizar su sistema de implementación para cada plataforma y, sin embargo, solo verá que la IP no esquiva GCP, AWS o cualquier nube con la que esté trabajando. Y dado que esos proveedores no son ONG, el tamaño de su red también está limitado por… el dinero. Si un HP completamente automatizado que se ejecuta en la nube XYZ le cuesta $ 20 mensuales, su bolsillo debe ser grande para ejecutar miles de ellos.
Establecimiento de una contraofensiva
Para frenar la trayectoria de la ciberdelincuencia masiva, debemos actuar sobre un recurso que, en esencia, es limitado; de lo contrario, no se puede organizar una “escasez” adecuada. Los famosos Conti-Leaks arrojan una luz interesante sobre los puntos débiles reales de un gran grupo de ciberdelincuencia. Obviamente (cripto) lavado de dinero, reclutamiento, nóminas, los clásicos que esperarías. Pero curiosamente, cuando lees los intercambios en su sistema de chat interno, puedes ver IP, cambiarlos, pedirlos prestados, alquilarlos, limpiarlos, instalar las herramientas, migrar las operaciones y C2, etc. es… costoso. Tanto en tiempo como en dinero.
Hay variaciones casi infinitas de hashes y SHA1 ofrece un espacio de 2^160 posibilidades. Por lo tanto, recopilarlos es una cosa, pero está casi seguro de que cualquier nueva variación de malware tendrá una firma diferente. Mientras hablamos, la mayoría de los procedimientos de CI/CD de cualquier grupo delictivo cibernético decente ya incluyen la modificación de un byte antes de enviar la carga útil a un objetivo.
Apuntar a los nombres de dominio es luchar también contra un espacio infinito en tamaño. Puede reservar dominio1, dominio2, dominio3, etc. Técnicamente no hay límite para el número de variaciones. Existen sistemas inteligentes que protegen su marca y verifican si se han reservado nombres de dominio similares al suyo últimamente. Estos sistemas de estilo previo al crimen son muy útiles para hacer frente a un próximo intento de phishing. Empiezas a ser proactivo con este tipo de postura y herramientas.
De todos modos, es útil rastrear e indexar binarios malévolos en función de sus hashes o el C2 con el que intentan contactar o incluso indexar IP tratando de explotar automáticamente CVE conocido, pero hacerlo es una postura bastante reactiva. No contraatacas conociendo la posición o la táctica del enemigo, lo haces paralizando sus capacidades ofensivas, y aquí es donde las direcciones IP son muy interesantes. El sistema tiene décadas de antigüedad y seguirá ahí después de nosotros. Es
Ahora hay un recurso que en realidad escasea: IPV4. El espacio IP histórico se limita a alrededor de 4 mil millones de ellos. Llevar la lucha a este terreno es eficiente porque si el recurso escasea, en realidad puede ser proactivo y quemar las direcciones IP tan pronto como se dé cuenta de que el enemigo está utilizando una. Ahora, este panorama está en constante evolución. Los proveedores de VPN, Tor y las aplicaciones de proxy residencial ofrecen una forma para que los ciberdelincuentes tomen prestada una dirección IP, y mucho menos el hecho de que pueden aprovechar algunos de los servidores ya comprometidos en la web oscura.
Entonces, si se usa una dirección IP en ese momento, es posible que ya no lo sea en la próxima hora y luego genere un falso positivo si la bloquea. La solución es crear una herramienta de crowdsourcing que proteja empresas de todos los tamaños, en todo tipo de lugares, geografías, nubes, hogares, DMZ de cuerpos privados, etc., y en todo tipo de protocolos. Si la red es lo suficientemente grande, esta rotación de IP no es un problema porque si la red deja de informar una IP, puede liberarla, mientras que la nueva que aparece en varios informes debe integrarse en una lista de bloqueo. Cuanto más grande es la red, más realista se vuelve.
Puede monitorear casi cualquier protocolo, excepto los basados en UDP, que deben excluirse ya que es fácil falsificar paquetes a través de UDP. Entonces, al considerar los informes sobre un protocolo basado en UDP para prohibir una IP, podría ser engañado fácilmente. Aparte de eso, todos los protocolos son buenos para monitorear. También puede buscar definitivamente CVE pero, aún mejor, para el comportamiento. Al hacerlo, puede detectar agresiones orientadas a los negocios que pueden no solo estar basadas en CVE. Un ejemplo sencillo, más allá de los clásicos L7 DDoS, los escaneos, la fuerza bruta de credenciales o el relleno, es el scalping. Scalping es la acción de comprar automáticamente un producto con un bot en un sitio web y revenderlo para obtener un beneficio en eBay, por ejemplo. Es un problema de la capa empresarial, no realmente relacionado con la seguridad. El sistema de código abierto CrowdSec fue diseñado exactamente para permitir esta estrategia.
Finalmente, durante las últimas dos décadas, nos dijeron: “IPV6 está llegando, prepárate”. Bueno… digamos que tuvimos tiempo para prepararnos. Pero realmente está aquí ahora y la implementación de 5G solo acelerará su uso exponencialmente. IPV6 cambia el escenario con un nuevo grupo direccionable de IP tan grande como 2^128. Esto todavía está limitado de muchas maneras, sobre todo porque todos los rangos de IP V6 aún no se utilizan por completo, sino también porque todos obtienen muchas direcciones IPV6 a la vez, no solo una. Aún así, hablamos de una gran cantidad de ellos ahora.
Juntemos IA y Crowdsourcing
Cuando los datos comienzan a fluir masivamente desde una gran red de fuentes múltiples y el recurso que intenta reducir se hace más grande, la IA suena como un callejón lógico para explorar.
El efecto de red ya es un buen comienzo por sí mismo. Un ejemplo aquí podría ser el relleno de credenciales. Si una IP usa varias parejas de inicio de sesión/pase en su lugar, lo llamaría fuerza bruta de credenciales. Ahora, en la escala de la red, si tiene la misma IP golpeando en diferentes lugares usando diferentes inicios de sesión/contraseñas, es un relleno de credenciales, alguien que intenta reutilizar las credenciales robadas en muchos lugares para ver si son válidas. El hecho de que vea la misma acción, aprovechando las mismas credenciales desde muchos ángulos diferentes, le brinda una indicación adicional del propósito del comportamiento en sí.
Ahora, para ser honesto, no necesita IA para separar la fuerza bruta de credenciales de la reutilización de credenciales o el relleno de credenciales, pero hay lugares donde puede sobresalir, específicamente cuando se combina con una gran red para obtener montones de datos.
Otro ejemplo podría ser un escaneo masivo de Internet, realizado con 1024 hosts. Cada host podría escanear solo un puerto y eso probablemente pasaría desapercibido. Excepto si ve, en muchos lugares diferentes, la misma IP escaneando el mismo puerto en un período de tiempo similar. De nuevo, apenas visible a escala individual, evidente a escala grande.
Por otro lado, los algoritmos de IA son buenos para identificar patrones que no serían visibles si miras solo en un lugar a la vez, pero evidentes a la escala de una gran red.
Representar los datos en estructuras apropiadas mediante gráficos e incrustaciones puede descubrir grados complejos de interacción entre direcciones IP, rangos o incluso AS (sistemas autónomos). Esto llevó a identificar cohortes de máquinas que trabajan al unísono hacia el mismo objetivo. Si varias direcciones IP están secuenciando un ataque en muchos pasos, como escanear, explotar, instalar una puerta trasera y luego usar el servidor de destino para unirse a un esfuerzo DDoS, esos patrones pueden repetirse en los registros. Entonces, si la primera IP de la cohorte es visible en una marca de tiempo determinada y la segunda 10 minutos después, y así sucesivamente, y este patrón se repite con las mismas IP en muchos lugares, puede decirles a todos que prohíban las 4 direcciones IP a la vez.
La sinergia entre la IA y las señales de fuentes múltiples nos permite abordar las limitaciones de cada uno de manera efectiva. Si bien las señales de fuentes múltiples brindan una gran cantidad de datos en tiempo real sobre amenazas cibernéticas, es posible que carezcan de precisión y contexto, lo que eventualmente puede conducir a falsos positivos. Los algoritmos de IA, por otro lado, generalmente solo se vuelven relevantes después de absorber una enorme cantidad de datos. A cambio, esos modelos pueden ayudar a refinar y analizar estas señales, eliminando el ruido y revelando patrones ocultos.
Hay una pareja poderosa para casarse aquí.