Las alertas críticas llegan antes que el café
Son las 6:45 de la mañana. Suena el despertador y sales de la cama en un dormitorio cubierto por el gris tinta del amanecer. Lo primero que haces es comprobar las notificaciones de tu teléfono. Dispara. Se ha detectado una alerta P0 y Danny, el analista de EMEA que trabajaba en el turno anterior, ya se ha desconectado. No le culpes, sus padres están de visita. Así que te das prisa con tu rutina matutina y renuncias a poner la cafetera en el fuego. Estarás bien; esto sucede a menudo y las alertas P0 siempre te sacuden lo suficiente como para sacudirte de ese aturdimiento matutino.
La notificación por correo electrónico con la alerta P0 entra dentro de su región geográfica asignada y su área de propiedad, EDR, por lo que se la asigna a usted mismo. Rápidamente, porque el tiempo es esencial cuando se trata de alertas críticas, pasas al siguiente paso: la investigación. Utilizando las herramientas disponibles en la plataforma de la que procede la detección, examinas los registros e intentas responder mentalmente a las 3 preguntas principales de cualquier investigación sobre amenazas a la seguridad: 1) quién lo hizo, 2) qué hizo, y 3) por qué me alertaron.
Unos 45 minutos más tarde, después de hojear múltiples herramientas y desplazarse por muchas líneas de registros, puede confirmar que esta detección fue un verdadero positivo, pero benigno. Había actividad sospechosa, pero no maliciosa. Elimina la detección de la cola y toma nota para redactar un informe sobre esta alerta.
Miras el reloj: son las 7:42 de la mañana. Por fin, hora del café, y justo a tiempo para tu reunión a las 8 de la mañana. No piensas en las otras 10 detecciones en la cola.
La detección que gritó "lobo" era en realidad un lobo
Una semana después, te sientes bien. Te has metido en una especie de rutina incluso con el abrumador número de alertas que recibes; has respondido a todas las alertas prioritarias dentro de tu turno y has escrito algunas reglas bonitas y ordenadas para evitar recibir notificaciones de esas alertas positivas benignas que siguen llegando. Incluso tu jefe te ha dado una palmadita virtual en la espalda por haber detectado el patrón de esos verdaderos positivos y haber implementado una solución permanente para aliviar la carga de todos.
Incluso cuando estás disfrutando del resplandor de un exitoso sprint SOC y finalmente disfrutando de un almuerzo que no consiste en alternar entre bocados de un sándwich y desplazarse a través de los registros para investigar una detección, algo no se siente bien. Puede que se te haya pasado una alerta P1; no, no sería el caso porque tu colega te habría avisado. Puede que te hayas dejado la cafetera encendida. Miras hacia ella; no, estaba apagada hace horas.
Es tranquilo. La cola de alertas tiene su línea de detecciones, pero no son prioritarias y se puede trabajar en ellas después de terminar el almuerzo. No hay alarmas flagrantes ni banderas rojas. Todo está tranquilo. Tú decides que la tranquilidad es lo que te perturba.
Una hora más tarde, estás arrasando con las detecciones en la cola. Casi todas no son maliciosas. Parece un paseo por el parque, y te sientes muy satisfecho cerrando una tras otra. Pulsas Actualizar en tu navegador y te sientas a ver cómo la interfaz de usuario se carga en el búfer y se renderiza. Piensas en premiarte con un final temprano del día. Tal vez vayas al gimnasio al que te apuntaste hace meses pero al que no has tenido tiempo de ir.
La interfaz de usuario termina de actualizarse y aparece una hilera de banderas rojas que indican la existencia de multitud de detecciones de alta prioridad. Se le revuelve el estómago. ¿Qué demonios ha pasado?
Su equipo está haciendo ping en el chat del equipo. Nadie entiende qué está pasando y por qué la plataforma se ha inundado de repente de alertas de alta prioridad. Aumenta la sensación de pánico entre todos, incluido usted mismo. Tal vez más dentro de ti mismo, porque al hacer clic en cada detección, ves que muchos de los registros te resultan familiares. Los ID, los dispositivos, los sistemas operativos... todo resulta familiar. Pero, por supuesto, las reglas que escribiste para bloquearlos no funcionaron, porque esas reglas eran únicas, y las detecciones actuales, claramente rojas, han convergido todas juntas.
Todo convergió en un gran ataque de seguridad que destrozó el negocio.
Qué salió mal
Después de días de trabajar durante horas para responder y remediar el problema, usted y su equipo han impedido que el ataque cause más daños. No se ha puesto en peligro ningún elemento de la empresa, lo cual es una victoria para cualquiera. Pero ha sido estresante y abrumador y, maldita sea, ¿qué ha fallado?
Primero te culpas a ti mismo por etiquetar potencialmente una detección como un positivo benigno, pero tu trabajo fue comprobado y verificado por otras dos personas de tu equipo. Cuando volvió, era un positivo benigno y se trató en consecuencia. Usted, entonces, culpa a la plataforma. Algo en su algoritmo o en los informes no te permitió hacer tu trabajo correctamente, pero sabes que sólo la estás utilizando como chivo expiatorio.
Mientras revisas los eventos y datos de los tres días de trabajo anteriores y redactas un informe post-mortem, observas cómo las detecciones convergen en un ataque unificado, y te das cuenta de que no has sido tú ni la plataforma los causantes del despiste y la confusión; el problema radica en las propias detecciones.
Las detecciones son abundantes, especialmente en silos y desde varias superficies de ataque. Normalmente se pasa más tiempo en una plataforma que extrae información de esas diversas superficies de ataque, pero es mucha información y se acaba pivotando hacia esas herramientas de todos modos. El problema radica en el número de detecciones: había demasiadas y muchas de ellas eran de baja prioridad, por lo que no se les prestaba toda la atención necesaria.
¿Pero cómo ibas a saberlo? Se consideraban menores, y usted tenía otras cosas que hacer. Entonces, ¿qué puede solucionar este dilema?
Panorama general
Las alertas y las detecciones no tienen en cuenta el panorama general: los agresores son inteligentes y adaptables, lo que significa que irán saltando de un lugar a otro, aprovechando las lagunas en la cobertura y las puertas traseras inseguras, y haciéndose pasar por detecciones poco peligrosas antes de reunir toda la información que necesitan para un ataque a gran escala.
Aquí es donde la priorización basada en entidades puede resolver el problema. Una entidad no es una alerta ni una detección. Es una acumulación de eventos correlacionados que caen bajo una única, bueno, entidad. En algunos casos, incluye hosts, cuentas y detecciones. Con las entidades, los analistas pueden tener una visión de conjunto y atrapar a los atacantes que juegan a largo plazo.
Como analista SOC, lo has entendido todo mal. No es usted. Es la forma en que las tecnologías de seguridad consideran las alertas y detecciones. Una vez que las tecnologías adopten un tipo de priorización que dé prioridad a las entidades por encima de las alertas y detecciones, no sólo tendrá menos alertas que supervisar e intervenir, sino que también detectará más verdaderos positivos a un ritmo más rápido y con más confianza.
Y, lo más importante, podrás tomarte tu taza de café por la mañana.