Por: Everth Hernández, Director de Ingeniería de Sistemas en Aruba México.

Hay un dicho perfecto para describir una situación en la que el remedio a un problema llega demasiado tarde: “Es como cerrar la puerta de un establo después de que el caballo fue robado.”

Cuando analizamos las soluciones analíticas de comportamiento de usuario y entidades (UEBA) se encargan de ataques mediante correo electrónico como spearfishing y ransomware, nos damos cuenta que su enfoque es “mira cómo te mostramos los datos saliendo de tu organización” en vez de “hemos visto un correo que al parecer puede llevar a un ataque.” En otras palabras: “el caballo se está yendo, buena suerte.”

Mientras que cualquier notificación de un ataque en progreso (o incluso terminado) es necesaria para el control de daños y limpieza, nuevas tecnologías como el aprendizaje autónomo deberían ser mejores que eso.

Mucho se ha logrado gracias al valor del aprendizaje autónomo y la analítica del comportamiento—usualmente presentadas como solución UEBA—para detectar ciber-ataques que han evadido defensas en tiempo real y típicamente enmascaradas con credenciales legítimas de usuarios.

La “E” en UEBA se refiere a “entidad.” Una entidad puede ser un usuario, un host, una aplicación, en realidad, cualquier actor de TI con una dirección IP, incluso de IoT. Hasta ahora, el aprendizaje autónomo de UEBA ha sido aplicado para encontrar pequeños cambios en el comportamiento del usuario o host que, cuando se recolectan con el tiempo y se ponen en contexto, indicarán la lenta incubación de un ataque. En otras palabras, un foco en el usuario o sistema en riesgo.

Aruba ha expandido la definición de “entidad” para incluir ahora al atacante con nuestro producto UEBA, IntroSpect. A través del uso de los modelos de aprendizaje autónomo de UEBA que se enfocan en las tácticas que perjudican la seguridad, analistas de seguridad verán estos intentos antes en la cadena de acciones y pueden tomar medidas para interceptar los ataques antes de que causen daño.

Este avance vino de un estudio exhaustivo de campañas de ataque basadas en correos, por el equipo de investigación de amenazas de IntroSpect. En un estudio publicado, “Using Behavioral Analytics to Detect Malicious Email Campaigns and Targeted Attacks,” cinco de las campañas más letales, como Lokey, PostMoney y Witness, fueron escudriñadas cuidadosamente para descubrir las herramientas, técnicas o procedimientos (TTPs) usados por atacantes. Con base en las “autopsias” de estos ataques, los investigadores de IntroSpect señalaron los signos críticos de ataques basados en correos que incluyen:

* Suplantación de nombre

* Campaña dirigida

* Origen

* Duración

El hallazgo más importante del estudio es que los mismos algoritmos del aprendizaje autónomo que IntroSpect usa para encontrar infiltrados riesgosos o maliciosos pueden ser usados en registros de correo electrónico o en encabezados de correo reales para marcar automáticamente ransomware, spearfishing, whaling, etc.

Por ejemplo, una típica campaña de ataque de correos intentará engañar al usuario suplantando la dirección del emisor reemplazando la “i” con una “l” o una “o” con un cero o haciendo un pequeño cambio que fácilmente pasa desapercibido: en vez de “IntroSpect”, sería “InterSpect”. Con modelos de aprendizaje autónomo especialmente preparados, IntroSpect puede señalar estos cambios sutiles y combinarlos con otros comportamientos de ataque para arrojar un testigo fiable, y procesable antes de que los archivos se congelen o la información salga de la organización.

De acuerdo con el reporte de 2017: Verizon Data Breach Investigations Report, 95% de los ataques por phishing que llevaron a un daño fueron seguidos por alguna forma de instalación de software. De estos ataques de suplantación de identidad: Tres cuartos fueron motivados financieramente y un cuarto estuvo enfocado en operaciones de espionaje. A pesar del conjunto de defensas de seguridad, centrados o no en correo electrónico, estos ataques siguen traspasando y solo son notados cuando vuela la información o se corrompen los archivos.

IntroSpect ha abierto un nuevo frente en la guerra contra ataques mediante correo electrónico. Combinando las anomalías detectadas en el comportamiento del atacante con otras alertas relevantes, las puertas pueden ser observadas y los caballos están protegidos- antes de que se haga el daño.