04 julio 2022
COLUMNA DE OPINIÓN
Sebastián Vargas, consultor y docente especialista en gestión estratégica de la ciberseguridad y defensa de amenazas informadas con enfoque Blue team y Purple Team. Doctorando en Sociedad de la Información, Ingeniería Civil en Informática e Ingeniero en Ciberseguridad. Junto al profesor Francisco Valenzuela lideran el Diplomado en Desarrollo seguro de software de Educación Profesional de Ingeniería UC.
Chile es sumamente atractivo para las bandas de ciberdelincuentes, ya que es considerado un polo tecnológico dentro de la región debido a varios factores: el aumento del capital humano; el nacimiento de nuevas empresas del sector, vinculadas a los servicios y a la banca digital (Fintech y Cloud natives); y la llegada e instalación de grandes multinacionales tecnológicas (AWS, Huawei, Microsoft, Oracle, etc.) entre otras. Si bien el desarrollo no se compara a otros países como Israel, EE.UU y Estonia, nuestro país demuestra valor e inversiones sumamente altas que no dejan de ser relevantes.
Para comprender el problema, primero debemos situarnos en el, dentro de la gran variedad de distintos software maliciosos que pueden ser considerados como amenazas (backdoor, spyware, virus, worms, adware, etc.), uno de los más peligrosos y devastadores es el ransomware. Se trata de un programa malicioso diseñado para negar a un usuario u organización el acceso a los archivos de su propiedad, los cuales varían en su nivel de encriptación y forma de solicitud de rescate, dependiendo de la banda criminal que los utilice. El ransomware opera encriptando los archivos dejándolos inutilizables, por lo que no se pueden ejecutar, ni leer, y luego se exige el pago de un rescate por la clave de descifrado, en los mejores casos, puesto ya hay al menos cinco formas que tiene el ecosistema criminal de monetizar. Con ello, los ciberatacantes colocan a las organizaciones en una posición crítica, afectando su funcionamiento y credibilidad frente al público y otras entidades.
Es un error pensar en ransomware únicamente como el software final de técnica de impacto, debemos entenderlo como una serie de técnicas que habilitan el ataque completo, no únicamente la acción final de la pérdida del dato mediante la encriptación, el problema es el desconocimiento. Aunque tuviéramos un DRP (Disaster Recovery Plan) bien estructurado que nos permita solucionar la pérdida de disponibilidad, acceso a los datos, esto solo nos devolverá la continuidad operativa y parcial, pero es ahí donde el problema comienza a revelarse. ¿Entendemos que la recuperación, no es sinónimo de erradicación? Para aspirar a una solución es fundamental comprender la cadena completa del ataque, no existe una forma única de ser víctimas de un ransomware y tampoco una única forma de protegerse de todas las variantes del ataque.
Es por ello que la propuesta de solución radica en implementar un ciclo maduro de gestión de ciberincidentes tomando los conceptos de la Gestión de Incidentes ISO/IEC 27035 en sus capítulos I,II,II, que nos permitirá trabajar de una forma ordenada, metodológica, medible y mejorable en el tiempo, el cual va desde la preparación, detección e identificación, protección, contención, erradicación, recuperación y, finalmente, lecciones aprendidas.
También es imperativo generar un modelamiento en torno a las tácticas, técnicas y procedimientos que hoy están ocupando las bandas criminales reales que atacan las industrias, es por ello que desde MITRE Ingenuity, propone un Top 10 de las técnicas más utilizadas por kill chain de un ransomware, luego de hacer un análisis comparativo entre distintos grupos de amenaza de alto nivel, dichos TTP son:
Ransomware Top 10 List:
• T1486: Data Encrypted for Impact
• T1490: Inhibit System Recovery
• T1027: Obfuscated Files or Information
• T1047: Windows Management Instrumentation
• T1036: Masquerading
• T1059: Command and Scripting Interpreter
• T1562: Impair Defenses
• T1112: Modify Registry
• T1204: User Execution
• T1055: Process Injection
Esta lista puede servir como punto de partida para priorizar las técnicas de ATT&CK a la hora de planificar la defensa contra los ataques de ransomware. Se basa en los criterios que identificaron como importantes y no es definitiva para todos los defensores.
Conclusión
Es importante comprender el nuevo paradigma; no trata solo de atender el impacto, los análisis de impacto al negocio o enfocarse en la recuperación del negocio. Debemos entender el ecosistema hostil en el cual hoy las operaciones de las distintas organizaciones nacionales y mundiales se llevan a cabo. Hay que dejar de generalizar todo al nombrarlo como la técnica final cuando el adversario levantó la acción de rescate, y enfocarnos en los sistemas proactivos de mitigación antes de que la acción hostil sea realizada, las estrategias de guerra se realizan en tiempos de paz.
Referencias
https://top-attack-techniques.mitre-engenuity.org/
https://attack.mitre.org/
https://www.inn.cl/nch-isoiec-27035-22019