¿Está mi red comprometida?: asuma que sí y demuestre lo contrario

Los metadatos de red de una compañía tienen el poder para saber si una organización se encuentra comprometida o está comunicándose con adversarios.

Todos los ataques cibernéticos exitosos tienen un denominador común: que los cibercriminales deben utilizar la red para realizar sus ataques, ya sea la red corporativa, o la nube pública o privada. Las organizaciones generan constantemente cantidades enormes de datos, es por esta razón que el análisis de su propia metadata es la única fuente que permite a las organizaciones medir y entender de manera continua e intencionalmente su compromiso.

Empresas especializadas se dedican a capturar metadata de todas las comunicaciones que viajan en la red, como las resoluciones de DNS, Logs de acceso de Firewalls y Proxies, Netflows y Spambox, y enriquecen dicha información para conectar los puntos que permiten identificar si la organización se está comunicando con infraestructura de cibercriminales.

A continuación, cuatro evidencias que se pueden encontrar al analizar metadatos y que permiten entender cómo se comporta la red de una organización:

  1. Alteraciones del DNS (Domain Name System):Lo primero que hace un dispositivo comprometido es intentar resolver un dominio que pertenece al adversario, si eso sucede la conclusión es evidente: la organización ha sido comprometida. Analizar las resoluciones de DNS es fundamental, ya que provee contexto sobre los intentos de conexión entre los dispositivos de la organización y la infraestructura adversaria. Sin embargo, esto no es lo único a lo que se debe prestar atención, ya que existe todo un mundo más allá de las resoluciones de DNS.
  2. Logs de acceso de Firewalls o Proxies: Si el atacante evita o no utiliza infraestructura de dominio, la única otra opción que tiene es utilizar una dirección IP. En ese caso, los rastros de contacto con el adversario se quedarán en los Logs de acceso de Firewalls o Proxies, por lo que analizar eso también resulta importante.
  3. Netflows: Una vez que se sabe que la organización está comprometida lo siguiente que se querrá conocer es      el objetivo implícito del atacante y cómo se está moviendo dentro de la red. Mediante la captura de metadatos de Netflows se puede entregar a la organización información relevante respecto a los intentos del adversario de moverse lateralmente.
  4. Spambox: Según el reporte Data Breach 2019 de Verizon, el correo electrónico es el método preferido por los cibercriminales para concretar ataques hacia los usuarios finales de una organización, aunque generalmente las empresas olvidan la data que contiene el Spambox o buzón de correo basura. El análisis del correo Spam o no deseado en una organización entrega detalles de quién está atacando, cómo está siendo atacada la organización y el tipo de ataque que la empresa está recibiendo. El cibercriminal que obtiene tráfico de una organización de manera exitosa está triunfando en comprometer a la empresa.

Se recolecta en tiempo real diferentes fragmentos de metadatos, los cuales son contrastados con Indicadores de Compromisos (IoCs, por sus siglas en inglés) conocidos y certificados, que provienen de la propia organización así como también de fuentes de amenazas cibernéticas públicas y privadas. Esto permite implementar el modelo de Continuous Compromise Assessment, o evaluación continua de compromiso, más certero que existe hoy en día.

De esta manera, la propia metadata ya disponible de una organización puede ayudar a resolver una de las preguntas fundamentales que se realizan actualmente en la industria de ciberseguridad: ¿Está mi red comprometida?, lo ideal es “asuma que está comprometido y demuestre lo contrario”.