La posibilidad de ciberataques no tiene que significar una catástrofe para una organización; sin embargo, sí requiere precisión en la recolección y organización de datos para detectar, hacer frente y recuperarse de la mejor forma posible a cualquier incidente de seguridad.
Para lograr precisión en el análisis de información de ciberseguridad, los datos deben integrarse para generar contexto, correlación y causalidad.
Los datos precisos llevan a resultados precisos, brindando a los equipos de ciberseguridad la oportunidad de hacer frente a los adversarios.
Pero…¿Qué queremos decir con precisión?
Tomemos, por ejemplo, la efectividad de los "datos de inteligencia" (haciendo referencia a tu entorno de Threat Intelligence) que te informa sobre una “bicicleta roja" malintencionada en tu “barrio”. De repente, estás en alerta máxima, buscando una bicicleta roja. Cuando una bicicleta roja pasa, ¡sospechas de actividad maliciosa! Pero resulta ser un repartidor entregando comida. Aparece otra bicicleta roja y tus sospechas aumentan de nuevo, solo para descubrir que es un adolescente yendo a casa de un amigo.
La precisión adecuada proporcionaría información adicional, como "bicicleta montañera roja, stickers únicos en el timón, una marca específica y un reflector trasero roto". Con estos detalles, no seríamos confundidos por puntos de datos no relacionados que coinciden con los datos, similares a las alertas de falsos positivos.
En realidad, para cuando la alerta de "bicicleta roja" se difunde, el delincuente probablemente ha cambiado de medio de transporte pero sigue prófugo. Debemos estar atentos a algo que no encaje, por ejemplo, cualquier bicicleta que aparezca con demasiada frecuencia sin detenerse. Incluso podría tratarse de un automóvil o un peatón. La búsqueda continúa hasta que estemos seguros de que la amenaza ha sido neutralizada (es decir, las medidas defensivas han sido efectivas). Un modelo eficiente para esto se puede encontrar en la Pirámide del Dolor (Bianco 2013).
Calidad de los Datos
Para que los datos sean buenos al propósito de ciberseguridad, estos deben tener:
Contexto: para descubrir un ataque, un analista necesita visibilidad en aspectos como:
Ubicación y tiempo de actividades sospechosas
Elementos accedidos
Acceso autorizado
Desviaciones del comportamiento “normal”. Las herramientas de detección y las políticas impulsan gran parte de esto. Idealmente, toda esta información está centralizada en una (o varias) herramienta de operaciones para acelerar el tiempo de respuesta.
Correlación: tiene como objetivo refinar el enfoque de la investigación utilizando toda la información disponible para formular hipótesis comprobables. "Dado un determinado dato de entrada, a veces se observa un resultado específico".
Al examinar varios colores y tipos de bicicletas, parece que cuando las "bicicletas rojas" aparecen en el vecindario, ocurre un delito.
Sin embargo, esto no siempre es cierto; hay bicicletas rojas inocentes. Eso está bien porque la correlación no produce el mismo resultado para cada entrada. Por lo tanto, con suficientes datos, podemos reducir aún más la hipótesis hasta encontrar el éxito.
La correlación se basa en los datos de inteligencia creados por herramientas bien integradas, fuentes externas, controles y la gestión de expertos, que alimentan con datos precisos.
Causalidad: implica tener todos los detalles de cada vector para otorgar un alto grado de certeza. No solo se sabe acerca de la bicicleta roja, los criminales en la bicicleta roja y lo que robaron, sino que también se conocería el motivo del robo, la fuente probable de operaciones y cómo lograron eludir la seguridad.
Es útil saber si eras un objetivo estratégico u oportunista antes de responder. La causalidad nos permite saber si hemos mitigado con éxito la amenaza y luego contar con la información necesaria para implementar medidas correctivas en el futuro.
Podemos respetar las capacidades y la determinación de los atacantes sin idealizarlos; después de todo, tienen las mismas tendencias hacia la rutina y los indicios observables que cualquier otra persona con pulso. Quieren obtener el máximo beneficio con la mínima inversión.
Un sistema capaz de producir suficiente contexto, correlación y causalidad en torno a la actividad en tu entorno tecnológico sirve como un sólido punto de referencia para la defensa. Es posible que requiera más herramientas e inversión, pero ayudará a garantizar que todos los riesgos sean conocidos y puedan abordarse.
Referencias
D. Bianco, 2013. SANS https://www.sans.org/tools/the-pyramid-of-pain/