visi\u00f3n nublada<\/h2>\n
Los sistemas CTI se enfrentan a algunos problemas importantes que van desde el tama\u00f1o de las redes de recolecci\u00f3n hasta su diversidad, lo que en \u00faltima instancia influye en el grado de confianza que pueden otorgar a sus se\u00f1ales. \u00bfSon lo suficientemente recientes y confiables para evitar falsos positivos o envenenamiento? \u00bfMe arriesgo a actuar sobre datos obsoletos? Esta diferencia es importante ya que una pieza de informaci\u00f3n es solo una ayuda para tomar decisiones, mientras que una pieza de informaci\u00f3n procesable puede usarse directamente como arma contra un agresor. Si los datos sin procesar son los campos de heno, la informaci\u00f3n son los montones de heno y las agujas son la se\u00f1al procesable.<\/p>\n
Para ilustrar el tama\u00f1o y la variedad de las redes de recopilaci\u00f3n, sin nombrar a nadie en particular, imaginemos un gran proveedor de CDN. Su funci\u00f3n es entregar, a gran escala, contenido a trav\u00e9s de HTTP(s). Esto atrae mucha “atenci\u00f3n” y se\u00f1ales, pero solo en la capa HTTP. Adem\u00e1s, cualquier atacante inteligente probablemente evitar\u00e1 sondear sus rangos de IP (que son p\u00fablicos y conocidos en su AS). Por lo tanto, solo recibe los esc\u00e1neres indiscriminados “Gatling guns” o ataques directos a trav\u00e9s de una capa HTTP. Este es un enfoque muy estrecho.<\/p>\n
Ahora, si usted es un gran EDR\/XDR o cualquier antivirus glorificado, tambi\u00e9n puede argumentar que tiene una enorme red de detecci\u00f3n que abarca millones de dispositivos… De empresas ricas. Porque seamos realistas, no todas las organizaciones sin fines de lucro, hospitales p\u00fablicos o bibliotecas locales pueden pagar esas herramientas. Por lo tanto, es posible que solo vea amenazas dirigidas a actores sofisticados y, en su mayor\u00eda, las transmitidas por malware en m\u00e1quinas LAN.<\/p>\n
En el frente del honeypot, tampoco hay una bala de plata. Los “esc\u00e1neres de ametralladoras Gatling” representan la radiactividad de fondo de Internet. Una especie de ruido est\u00e1tico que est\u00e1 constantemente presente en el entorno de cualquier dispositivo conectado a Internet. Aqu\u00ed, el problema es m\u00e1s bien que ning\u00fan grupo ciberdelincuente decente utilizar\u00e1 recursos significativos para apuntar a una m\u00e1quina trampa. \u00bfCu\u00e1l es el punto de invertir algunos recursos DDoS para derribar un mu\u00f1eco de paja? \u00bfUsar\u00eda alg\u00fan exploit o herramienta significativa, y mucho menos quemar su IP, en un objetivo “potencial”? Los honeypots recopilan “intenciones”, explotaci\u00f3n automatizada, algo as\u00ed como “esta IP quiere saber si eres (todav\u00eda) vulnerable a log4j<\/em>“. <\/p>\n Mant\u00e9ngase a la vanguardia con CrowdSec, una suite de seguridad de c\u00f3digo abierto que ofrece protecci\u00f3n colaborativa contra direcciones IP maliciosas. Con su simple integraci\u00f3n en su infraestructura de seguridad existente, obtiene detecci\u00f3n de comportamiento y remediaci\u00f3n automatizada. Adem\u00e1s, se beneficiar\u00e1 de inteligencia de amenazas cibern\u00e9ticas altamente procesable con cero falsos positivos y un volumen reducido de alertas creadas a partir de una red de m\u00e1s de 190k m\u00e1quinas repartidas en m\u00e1s de 180 pa\u00edses. No luches solo, deja que la multitud te apoye. \u00a1Comienza con CrowdSec gratis!<\/p>\n Puede ser interesante hasta cierto punto, pero se limita a las frutas maduras. Adem\u00e1s, su diversidad est\u00e1 limitada por su capacidad de esparcirse en muchos lugares diferentes. Si todas sus sondas (honeypots) est\u00e1n ubicadas sobre diez o peor, solo 3 o 4 nubes diferentes, no puede ver todo y puede ser “esquivado”, lo que significa que los delincuentes pueden saltarse voluntariamente sus rangos de IP para evitar ser detectados. Tambi\u00e9n debe organizar su sistema de implementaci\u00f3n para cada plataforma y, sin embargo, solo ver\u00e1 que la IP no esquiva GCP, AWS o cualquier nube con la que est\u00e9 trabajando. Y dado que esos proveedores no son ONG, el tama\u00f1o de su red tambi\u00e9n est\u00e1 limitado por… el dinero. Si un HP completamente automatizado que se ejecuta en la nube XYZ le cuesta $ 20 mensuales, su bolsillo debe ser grande para ejecutar miles de ellos.<\/p>\n Para frenar la trayectoria de la ciberdelincuencia masiva, debemos actuar sobre un recurso que, en esencia, es limitado; de lo contrario, no se puede organizar una “escasez” adecuada. Los famosos Conti-Leaks arrojan una luz interesante sobre los puntos d\u00e9biles reales de un gran grupo de ciberdelincuencia. Obviamente (cripto) lavado de dinero, reclutamiento, n\u00f3minas, los cl\u00e1sicos que esperar\u00edas. Pero curiosamente, cuando lees los intercambios en su sistema de chat interno, puedes ver IP, cambiarlos, pedirlos prestados, alquilarlos, limpiarlos, instalar las herramientas, migrar las operaciones y C2, etc. es\u2026 costoso. Tanto en tiempo como en dinero. <\/p>\n Hay variaciones casi infinitas de hashes y SHA1 ofrece un espacio de 2^160 posibilidades. Por lo tanto, recopilarlos es una cosa, pero est\u00e1 casi seguro de que cualquier nueva variaci\u00f3n de malware tendr\u00e1 una firma diferente. Mientras hablamos, la mayor\u00eda de los procedimientos de CI\/CD de cualquier grupo delictivo cibern\u00e9tico decente ya incluyen la modificaci\u00f3n de un byte antes de enviar la carga \u00fatil a un objetivo.<\/p>\n Apuntar a los nombres de dominio es luchar tambi\u00e9n contra un espacio infinito en tama\u00f1o. Puede reservar dominio1, dominio2, dominio3, etc. T\u00e9cnicamente no hay l\u00edmite para el n\u00famero de variaciones. Existen sistemas inteligentes que protegen su marca y verifican si se han reservado nombres de dominio similares al suyo \u00faltimamente. Estos sistemas de estilo previo al crimen son muy \u00fatiles para hacer frente a un pr\u00f3ximo intento de phishing. Empiezas a ser proactivo con este tipo de postura y herramientas.<\/p>\n De todos modos, es \u00fatil rastrear e indexar binarios mal\u00e9volos en funci\u00f3n de sus hashes o el C2 con el que intentan contactar o incluso indexar IP tratando de explotar autom\u00e1ticamente CVE conocido, pero hacerlo es una postura bastante reactiva. No contraatacas conociendo la posici\u00f3n o la t\u00e1ctica del enemigo, lo haces paralizando sus capacidades ofensivas, y aqu\u00ed es donde las direcciones IP son muy interesantes. El sistema tiene d\u00e9cadas de antig\u00fcedad y seguir\u00e1 ah\u00ed despu\u00e9s de nosotros. Es <\/p>\n Ahora hay un recurso que en realidad escasea: IPV4. El espacio IP hist\u00f3rico se limita a alrededor de 4 mil millones de ellos. Llevar la lucha a este terreno es eficiente porque si el recurso escasea, en realidad puede ser proactivo y quemar las direcciones IP tan pronto como se d\u00e9 cuenta de que el enemigo est\u00e1 utilizando una. Ahora, este panorama est\u00e1 en constante evoluci\u00f3n. Los proveedores de VPN, Tor y las aplicaciones de proxy residencial ofrecen una forma para que los ciberdelincuentes tomen prestada una direcci\u00f3n IP, y mucho menos el hecho de que pueden aprovechar algunos de los servidores ya comprometidos en la web oscura.<\/p>\n Entonces, si se usa una direcci\u00f3n IP en ese momento, es posible que ya no lo sea en la pr\u00f3xima hora y luego genere un falso positivo si la bloquea. La soluci\u00f3n es crear una herramienta de crowdsourcing que proteja empresas de todos los tama\u00f1os, en todo tipo de lugares, geograf\u00edas, nubes, hogares, DMZ de cuerpos privados, etc., y en todo tipo de protocolos. Si la red es lo suficientemente grande, esta rotaci\u00f3n de IP no es un problema porque si la red deja de informar una IP, puede liberarla, mientras que la nueva que aparece en varios informes debe integrarse en una lista de bloqueo. Cuanto m\u00e1s grande es la red, m\u00e1s realista se vuelve.<\/p>\n Puede monitorear casi cualquier protocolo, excepto los basados \u200b\u200ben UDP, que deben excluirse ya que es f\u00e1cil falsificar paquetes a trav\u00e9s de UDP. Entonces, al considerar los informes sobre un protocolo basado en UDP para prohibir una IP, podr\u00eda ser enga\u00f1ado f\u00e1cilmente. Aparte de eso, todos los protocolos son buenos para monitorear. Tambi\u00e9n puede buscar definitivamente CVE pero, a\u00fan mejor, para el comportamiento. Al hacerlo, puede detectar agresiones orientadas a los negocios que pueden no solo estar basadas en CVE. Un ejemplo sencillo, m\u00e1s all\u00e1 de los cl\u00e1sicos L7 DDoS, los escaneos, la fuerza bruta de credenciales o el relleno, es el scalping. Scalping es la acci\u00f3n de comprar autom\u00e1ticamente un producto con un bot en un sitio web y revenderlo para obtener un beneficio en eBay, por ejemplo. Es un problema de la capa empresarial, no realmente relacionado con la seguridad. El sistema de c\u00f3digo abierto CrowdSec fue dise\u00f1ado exactamente para permitir esta estrategia. <\/p>\n Finalmente, durante las \u00faltimas dos d\u00e9cadas, nos dijeron: “IPV6 est\u00e1 llegando, prep\u00e1rate”. Bueno\u2026 digamos que tuvimos tiempo para prepararnos. Pero realmente est\u00e1 aqu\u00ed ahora y la implementaci\u00f3n de 5G solo acelerar\u00e1 su uso exponencialmente. IPV6 cambia el escenario con un nuevo grupo direccionable de IP tan grande como 2^128. Esto todav\u00eda est\u00e1 limitado de muchas maneras, sobre todo porque todos los rangos de IP V6 a\u00fan no se utilizan por completo, sino tambi\u00e9n porque todos obtienen muchas direcciones IPV6 a la vez, no solo una. A\u00fan as\u00ed, hablamos de una gran cantidad de ellos ahora. <\/p>\n Cuando los datos comienzan a fluir masivamente desde una gran red de fuentes m\u00faltiples y el recurso que intenta reducir se hace m\u00e1s grande, la IA suena como un callej\u00f3n l\u00f3gico para explorar. <\/p>\n El efecto de red ya es un buen comienzo por s\u00ed mismo. Un ejemplo aqu\u00ed podr\u00eda ser el relleno de credenciales. Si una IP usa varias parejas de inicio de sesi\u00f3n\/pase en su lugar, lo llamar\u00eda fuerza bruta de credenciales. Ahora, en la escala de la red, si tiene la misma IP golpeando en diferentes lugares usando diferentes inicios de sesi\u00f3n\/contrase\u00f1as, es un relleno de credenciales, alguien que intenta reutilizar las credenciales robadas en muchos lugares para ver si son v\u00e1lidas. El hecho de que vea la misma acci\u00f3n, aprovechando las mismas credenciales desde muchos \u00e1ngulos diferentes, le brinda una indicaci\u00f3n adicional del prop\u00f3sito del comportamiento en s\u00ed.<\/p>\n Ahora, para ser honesto, no necesita IA para separar la fuerza bruta de credenciales de la reutilizaci\u00f3n de credenciales o el relleno de credenciales, pero hay lugares donde puede sobresalir, espec\u00edficamente cuando se combina con una gran red para obtener montones de datos.<\/p>\n Otro ejemplo podr\u00eda ser un escaneo masivo de Internet, realizado con 1024 hosts. Cada host podr\u00eda escanear solo un puerto y eso probablemente pasar\u00eda desapercibido. Excepto si ve, en muchos lugares diferentes, la misma IP escaneando el mismo puerto en un per\u00edodo de tiempo similar. De nuevo, apenas visible a escala individual, evidente a escala grande.<\/p>\n Por otro lado, los algoritmos de IA son buenos para identificar patrones que no ser\u00edan visibles si miras solo en un lugar a la vez, pero evidentes a la escala de una gran red. <\/p>\n Representar los datos en estructuras apropiadas mediante gr\u00e1ficos e incrustaciones puede descubrir grados complejos de interacci\u00f3n entre direcciones IP, rangos o incluso AS (sistemas aut\u00f3nomos). Esto llev\u00f3 a identificar cohortes de m\u00e1quinas que trabajan al un\u00edsono hacia el mismo objetivo. Si varias direcciones IP est\u00e1n secuenciando un ataque en muchos pasos, como escanear, explotar, instalar una puerta trasera y luego usar el servidor de destino para unirse a un esfuerzo DDoS, esos patrones pueden repetirse en los registros. Entonces, si la primera IP de la cohorte es visible en una marca de tiempo determinada y la segunda 10 minutos despu\u00e9s, y as\u00ed sucesivamente, y este patr\u00f3n se repite con las mismas IP en muchos lugares, puede decirles a todos que proh\u00edban las 4 direcciones IP a la vez.<\/p>\n La sinergia entre la IA y las se\u00f1ales de fuentes m\u00faltiples nos permite abordar las limitaciones de cada uno de manera efectiva. Si bien las se\u00f1ales de fuentes m\u00faltiples brindan una gran cantidad de datos en tiempo real sobre amenazas cibern\u00e9ticas, es posible que carezcan de precisi\u00f3n y contexto, lo que eventualmente puede conducir a falsos positivos. Los algoritmos de IA, por otro lado, generalmente solo se vuelven relevantes despu\u00e9s de absorber una enorme cantidad de datos. A cambio, esos modelos pueden ayudar a refinar y analizar estas se\u00f1ales, eliminando el ruido y revelando patrones ocultos.<\/p>\n Hay una pareja poderosa para casarse aqu\u00ed.<\/p>\n <\/p>\nEstablecimiento de una contraofensiva<\/h2>\n
Juntemos IA y Crowdsourcing <\/h2>\n