En la actualidad es bien conocido que es necesario realizar dentro de nuestra organización, validación de los controles de seguridad para hacer frente a los adversarios, conocer amenazas actuales y así poder conocer nuestros puntos ciegos y áreas de oportunidad dentro de nuestra organización.
Realizar estas validaciones y pruebas requieren un gran esfuerzo técnico y suele ser complejo, de difícil replicación, además de que la gestión de los resultados puede ser un reto ya que existe un amplio espectro de tipos de ataques, cada uno con su variedad de técnicas y técnicas.
Dentro de las opciones para estas validaciones mencionadas tenemos el tradicional y bien conocido “Pentest” y más recientemente tenemos el concepto de Emulación de Adversario.
¿Que es la Emulación de Adversarios?
La emulación de adversarios es una actividad en la que los expertos en seguridad emulan cómo opera un adversario. El objetivo final, por supuesto, es mejorar la capacidad de recuperación de la organización frente a estas técnicas.
En el ecosistema actual podemos encontrar diferentes herramientas que nos pueden ayudar a realizar diferentes tipos de pruebas para la emulación de Adversarios.
Figura 1 :Herramientas de Emulación
Emulación de Adversario vs Pentest
A diferencia del Pentest tradicional la Emulación de Adversarios nos permite usar técnicas conocidas y estandarizadas por el MITRE ATT&CK, que pueden ser repetibles y replicables para múltiples cantidades de objetivos, fácil de medir, fácil de compartir y de costo relativamente bajo. Sin embargo un pentest tradicional es la mejor simulación de un atacante real, pero éstos como sabemos tienen su dificultad en el momento de replicar las técnicas, además de que pueden representar altos costos. Es importante aclarar que una no es mejor que la otra, sino que ambas son necesarias en la evaluación de los controles de seguridad.
Finalmente lo que buscamos es confirmar la eficacia de los controles y detecciones que se tienen implementados dentro de nuestra organización, para poder validar si lo que funcionó ayer todavía funciona hoy y no se pierda la detección de una técnica o táctica que es ampliamente conocida por la comunidad, además de algo que es sumamente importante, validar lo que dice el proveedor. "Detectamos eso" ... "Ok, ¡muéstramelo!"
Una vez explicado el tema de la emulación de Adversarios surge la cuestión, ¿porqué no automatizar todo el ciclo?.
La respuesta a esta pregunta es, por supuesto que sí, ya que actualmente MITRE cuenta con su proyecto de investigación enfocado en la automatización de emulación de Adversarios “CALDERA”, lo cual nos marca la pauta de que si Mitre lo está haciendo es que vamos por buen camino.
MITRE CALDERA
Mitre Caldera es el marco de ataque original de Mitre y permite a los operadores ejecutar fácilmente ejercicios autónomos de penetración y simulación de ataques.
Figura 2 : Framework Caldera MITRE
Automatización de la emulación de Adversarios con plataforma SOAR
En A3Sec hemos puesto a prueba el Framework y funciona bien, pero surgen algunas limitaciones como que es un proyecto de investigación aún y se limita a la perspectiva de Red Team y Blue Team donde los resultados se quedan dentro de la plataforma. Está bien desde un punto de vista, pero ahora con las herramientas tipo SOAR (Security Automation Orchestration & Response) podemos obtener aún más alcance dentro de la gestión y evaluación de controles de seguridad y emulación de ataques.
En A3Sec usamos Splunk, Phantom, Atomic Red Team - Red Canary que a su vez se soporta en MITRE ATT&CK y el EDR Falcon Crowdstrike, con la finalidad de mostrar el ciclo de emulación de adversario y validación de detecciones de forma Automatizada como se muestra en la siguiente imagen:
Arquitectura de la Solución
Figura 3:Diagrama de solución
¿Quieres implementarlo en tu empresa? CONTACTA CON NOSOTROS
Componentes de la Arquitectura
SOAR - Phantom
Phantom - SOAR Security Orchestration Automation and Responses permite a los equipos de seguridad la automatización de respuesta a incidentes. Además de ayudar a investigar, contener, erradicar y recuperarse de un evento de seguridad.
MITRE ATT&CK
Es una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversas basadas en observaciones del mundo real. La base de conocimiento ATT & CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de seguridad cibernética.
Atomic Red Team- Red Canary
Atomic Red Team son pruebas de detección pequeñas y altamente portátiles asignadas al MITER ATT & CK Framework. Cada prueba está diseñada para mapear a una táctica particular. Esto brinda a los defensores una forma altamente accionable de comenzar a probar de inmediato sus defensas contra un amplio espectro de ataques. Consulta aquí Atomic Red Team
EDR Endpoint Detection & Response Crowdstrike Falcon
Falcon ofrece una visibilidad de punto final continua y completa que abarca la detección, la respuesta y el análisis forense para garantizar que no se pierda nada y que se detengan posibles incumplimientos.
Consultar aquí Endpoint de Crowdstrike
SOAR y Playbooks
Como se mencionó anteriormente, lo que buscamos es crear un flujo completo automatizado que se encargue del ciclo completo de nuestra validación de los respectivos controles de seguridad. Dicho esto, el componente clave de la solución es el SOAR y el cerebro que nos permite automatizar toda la lógica es el Playbook.
En el playbook crearemos toda la lógica del flujo de cada una de nuestras pruebas, ya sea la validación de una ATP completa o una técnica específica de nuestra Matriz de MITRE ATT&CK.
En comparación con los modelos actuales de emulación de adversarios, hacerlo con la plataforma SOAR nos va a permitir por medio de los Playbook los siguientes puntos:
-
-
-
-
Validar múltiples técnicas en múltiples host y distintos Sistemas Operativos.
-
Notificar el inicio de las pruebas para evitar disparar alertas (falsos positivos).
-
Solicitar permisos de ejecución de la prueba.
-
Solicitar accesos al asset owner antes del inicio de la prueba.
-
Contextualizar el detalle específico de la prueba a las partes involucradas, red team, blue team, asset owners, managers, etc.
-
Notificar por diferentes medios, emails, slack, etc., el inicio y fin de la prueba.
-
Automatizar el envío de reportes de resultados de la prueba.
-
Tener un histórico y timeline de las pruebas ejecutadas.
-
Asignar un estatus, criticidad, severidad, etc.
-
Asignación del caso a analistas de seguridad.
-
Enviar resultados hacia nuestro SIEM u otras plataformas para contextualizar.
-
Aplicar remediaciones de manera automatizada.
-
Aislar equipos que se identificaron como vulnerables posterior a las pruebas.
-
Gestionar las credenciales de forma segura para acceso a los objetivos.
-
Conectarnos a los hosts objetivo sin necesidad de agente o dejar algún backdoor para acceder a los hosts como lo hace Caldera.
-
-
-
Figura 4:Playbook de automatización de emulación de adversarios.
¿Necesitas este tipo de protección? Habla con uno de nuestros Asesores
SOAR Phantom - Atomic Red Team - MITRE ATT&CK
Para la automatización de las pruebas nos apoyamos de Atomic Red Team, que es la tecnología que nos permite obtener las pruebas y el contexto del MITRE ATT&CK para su ejecución de manera remota en los assets, que son parte del conjunto de validaciones; las ventajas de este esquema es que los módulos que provee Atomic Red Team ya están validados y contextualizados.
Este tipo de integraciones permite usar frameworks de terceros para ampliación de las capacidades de nuestros playbooks de automatización de emulación de Adversarios.
Figura 5: Módulos Atomic Red Team - Phantom
Validación de Detecciones
Como se muestra en la arquitectura de la solución, el último paso del ciclo de la automatización de las pruebas es la detección. Si tenemos la capacidad de saber qué técnicas de las que usan los adversarios actualmente somos capaces de detectar y contener, implícitamente podemos saber cuáles son nuestros puntos ciegos, es por eso que no solo basta hacer la emulación del ataque, también es necesario realizar la validación de la detección.
En este punto del flujo los resultados son binarios, nuestro sistema de defensa detecta o no detecta. Es importante saber que si queremos validar alguna técnica como por ejemplo la T1117 Regsvr32, que es una técnica muy común entre los adversarios, se puede usar para realizar una variedad de acciones maliciosas que son difíciles de detectar o bloquear debido a que la técnica aprovecha un componente de Windows que no se puede deshabilitar o restringir fácilmente, y la detección depende de una inspección minuciosa de la telemetría a nivel de proceso, nuestro sistema de defensa debe ser capaz de detectar la prueba y darnos contexto de las tácticas y técnicas empleadas.
Múltiples fabricantes dicen ser capaces de detectar basado en el framework de MITRE, pero es importante validar que realmente lo hagan, y con la automatización por medio de SOAR es posible comprobarlo.
Figura 6 : Detección falcón-Descripción de técnica T1117
Para algunos casos, MITRE ya ha puesto a prueba a algunos fabricantes y evaluado algunas ATP para comprobar la eficiencia de las tecnologías.
Figura 7: Evaluación de Falcon de MITRE ATT&CK
Evaluación de Falcón de Mitre ATT&CK
Conclusión
La finalidad de la automatización de Emulación de Adversario es poder tener un set de pruebas estandarizado que nos permita estar evaluando dentro de nuestro entorno de manera recurrente las tácticas y técnicas que comúnmente han usado los Adversarios para diferentes tipos de ataques informáticos, y optimizar las pruebas de nuestro Red Team al tener un entorno fácil de crear y pruebas fáciles de replicar en los activos de nuestra organización, además de ayudar a nuestro Blue Team a afinar las detecciones con base al seguimiento de las evidencias de las pruebas, todo esto para cumplir con el ciclo de Prevención, Detección y Respuesta de manera Automatizada.
Es importante mencionar que a pesar de las evaluaciones de detección del MITRE ATT&CK que nos pueden ayudar para la toma de decisión al adquirir algún producto de seguridad, no podemos confiarnos únicamente en este criterio, ya que en el entorno de la seguridad cada día se descubren vulnerabilidades, tácticas y técnicas que es necesario estar al tanto y comprobando su aplicabilidad en nuestros entornos, es por eso tan importante tener un esquema de automatización de emulación de adversarios que nos permita estar al día y mitigar el riesgo tanto como sea posible en el menor tiempo.
Splunk Phantom + Atomic Red Team + Falcon Crowdstrike
¿Deseas implementar este tipo de protección en tu organización?