Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
POR:
CSIRT Team
COMPARTIR
Pirámide del dolor en la práctica
La ciberseguridad es un campo que enfrenta constantes desafíos y amenazas en evolución. En este contexto, hay herramientas y metodologías que nos ayudan a entender y combatir estas amenazas. Una de estas herramientas conceptuales es la Pirámide del Dolor de David Bianco, un concepto que ha “revolucionado” la forma en que los profesionales de la ciberseguridad priorizan las respuestas a las amenazas. En este post, exploraremos en detalle qué es la Pirámide del Dolor, y algunas ideas para llevarla a la práctica.
Introducción a la pirámide del dolor
La Pirámide del Dolor es un marco conceptual introducido por David Bianco en 2013. Esta pirámide clasifica diferentes tipos de indicadores de compromiso (IoC) según el "dolor" que causan a los adversarios cuando los utilizamos para detectar y bloquear sus actividades maliciosas. La idea es que cuanto más "doloroso" es un indicador para un adversario, más efectivo es para nosotros como defensores.
Estructura
La Pirámide del Dolor está estructurada en cinco niveles, cada uno representando un tipo diferente de IoC:
Hash Values: En la base de la pirámide, encontramos los valores de hash, que son fáciles de usar, pero también los más simples para un adversario modificar.
IP Addresses:El siguiente nivel incluye direcciones IP. Aunque son un poco más difíciles de cambiar que los hashes, siguen siendo relativamente fáciles de alterar para los atacantes.
Domain Names:Los nombres de dominio son más complejos de manejar para los adversarios, ya que cambiar un dominio puede requerir más esfuerzo y recursos.
Network/Host Artifacts: Este nivel incluye artefactos de red o del host, como patrones de tráfico específicos o archivos de configuración anómalos, que son más difíciles de imitar o cambiar sin afectar la operación del malware.
Tools and TTPs (Tactics, Techniques, and Procedures):En la cima de la pirámide, encontramos las herramientas y TTPs. Estos son los indicadores más difíciles de modificar para los adversarios, ya que implican cambiar sus métodos y estrategias de ataque.
La Pirámide del Dolor nos ayuda a entender no solo cómo detectar amenazas, sino también cómo nuestras acciones impactan en los atacantes. Al enfocarnos en los indicadores que están más arriba en la pirámide, podemos aumentar el costo operativo para los adversarios, obligándolos a invertir más tiempo, recursos y esfuerzo en sus ataques. Esto no solo mejora nuestra postura de defensa, sino que también reduce la frecuencia y severidad de los ataques.
Aplicación práctica de la Pirámide
Esta es más que un marco teórico; es una guía práctica que puede transformar la estrategia de seguridad de cualquier organización. Veamos cómo podemos aplicar cada nivel de esta pirámide para mejorar la detección y respuesta ante amenazas.
Comenzando por la Base: Hashes
Diferentes herramientas recolectan y generan listas con valores de hashes de archivos que consideramos maliciosos (o confirmados). Herramientas externas como VirusTotal o bases de datos de malware pueden ser útiles. Múltiples herramientas de seguridad como antivirus y EDRs son buenas para comparar automáticamente los hashes de los archivos en tus sistemas con una lista de hashes conocidos, típicamente en los procesos de respuesta se incorporan hashes para bloquear en estas. La mayoría reaccionan automáticamente al detectar un archivo con un hash malicioso, eliminándolo o poniéndolo en cuarentena. O en el caso de los dispositivos de red, bloqueando una conexión.
Entre algunas limitaciones de estos métodos, sabemos que los atacantes pueden modificar fácilmente sus piezas de malware para generar un hashes diferente, este método, aunque esencial, es esencial, es rápido, pero tiene su efectividad aislada.
Subiendo un Nivel: Direcciones IP
Listas de IPs maliciosas pueden mantenernos atentos sobre actividades maliciosas y bloquearlas en firewalls, otros puntos de entrada. Incluso desde un plug-in de navegación.
Una mirada “con análisis” sobre esta técnica puede utilizar un SIEM y analizar patrones de tráfico desde y hacia estas IPs externas. Ante un incidente, esas direcciones IPs representan nodos externos a los que nuestros activos no deberán conectarse, y aunque no son direcciones conocidas, las consideramos maliciosas en contexto de ese incidente y podemos bloquearlas. Para estos casos siempre serán direcciones IP detectadas y correlacionadas con otras señales de compromiso relacionadas con la detección de amenazas.
Sabemos aquí que, aunque no con el cambio de un bit, pero las IPs utilizadas por un adversario pueden cambiar. Hay una combinación de estrategias que se conjugan tanto para incorporar una IP como maliciosa, como el tiempo correcto para quitarla de ese listado de bloqueo.
Más Allá de lo Básico: Nombres de Dominio
Cada dispositivo se comunicará con el exterior típicamente usando un dominio, es aquí donde implementar bloqueos a nivel de DNS puede evitar que los sistemas accedan a dominios conocidos por alojar contenido malicioso. En este caso (aunque también el anterior) podríamos alimentar nuestras listas de bloqueo con feeds inteligencia de amenazas, con lo cual para obtener información actualizada sobre dominios maliciosos, la cual podamos aplicarla en tiempo real.
Al igual que con las IPs, todo lo que sea ya reconocido como malicioso, puede serlo en el momento correcto, es aquí donde buscar patrones inusuales o dominios generados aleatoriamente, utilizado por muchos tipos de malware, puede aportar un valor especial a la detección.
Artefactos de Red y Host
Implementar soluciones de monitoreo en endpoints que puedan identificar y responder a artefactos maliciosos como scripts de PowerShell, tareas programadas anómalas, o cambios sospechosos en la configuración del sistema nos dará una visión más amplia desde los puntos finales.
Podemos desarrollar playbooks de respuesta automática en las herramientas de orquestación para reaccionar rápidamente ante la detección de algún artefacto malicioso. Desde el bloqueo, hasta la recolección de registros para analizar la situación.
Los artefactos pueden variar considerablemente entre diferentes ataques, lo que requiere una base de conocimientos y herramientas de detección avanzadas.
En la Cima: Herramientas y TTPs
Aquí empiezan a observarse elementos que surgen del modelado de amenazas, utiliza marcos como MITRE ATT&CK para modelar las tácticas, técnicas y procedimientos usados por los adversarios nos ayuda a entender cómo encarar la protección.
Aquí los ejercicios de simulación de ataques (red ream) no solo nos permiten probar la efectividad de controles, sino también de la detección asociada para cada caso.
Entrenar a los distintos equipos encargados de la detección les permitirá reconocer y responder a los TTPs, y complementar las capas definidas en niveles más bajos de la pirámide.
Es cierto que esta es la capa más “sofisticada” de la pirámide y requiere un enfoque proactivo y alto nivel de experticia, pero también es el nivel que más dolor produce a los adversarios para modificar, incluso en algunos casos no es posible modificar ya que depende plenamente de los activos que están involucrados.
Conclusión
Comprender la puesta en práctica de la Pirámide del Dolor de David Bianco es clave para alimentar la estrategia de protección interna. Esta proporciona una base para priorizar la detección y respuesta ante las amenazas. Al enfocar en elevar el 'dolor' para el adversario en cada nivel de la pirámide, no solo mejoramos la defensa, sino también podríamos forzar a un atacante a reconsiderar sus objetivos, potencialmente desviándolos hacia blancos menos protegidos. Aplicar estos principios requiere un compromiso con la mejora continua.