El otro día resolvimos un incidente de #ciberseguridad en un cliente. En la fase de lecciones aprendidas (casi siempre la olvidada) pensamos: "los hemos pillado pq han sido avariciosos, si hubieran ido más despacio podrían haber estado meses aquí". Moraleja de los atacantes (1/n)
Los atacantes TIENEN prisa. Los imaginamos como llenos de exploits y expertos en todo... pero son como nosotros, con jefes, objetivos, plazos, cosas que se les dan bien y cosas que ... no tan bien. Y fueron RÁPIDO pq a lo mejor pensaron que no les íbamos a pillar (2/n)
O justo lo contrario: fueron RÁPIDO pq pensaron que los íbamos a pillar y así "sacan lo que pueden". Aquí nosotros podemos jugar con dos factores: Bastionado y detección. Con el bastionado logramos por un lado FRENAR a los atacantes: sus TTP ya no van finan, y los atascamos (3/n)
¿Qué conseguimos? Que no puedan avanzar y conseguir sus objetivos (recuerda: tienen jefes y plazos). Así que tienen que "innovar", probar otras formas con las que no están cómodos. Esto implica ERRORES y RUIDO... que son maná caído del cielo para los defensores (4/n)
Pq los malos con sus técnicas hiperpulidas pueden volar por debajo de nuestro radar, pero si les forzamos a salir de su zona de confort y a hacer cosas que no tienen practicadas... la cagarán. Y en ese momento los podremos trincar y echar a patadas (5/n)
Moraleja: la seguridad defensiva se basa en el tridente Prevenir / Detectar / Responder (y yo metería tb Recuperar, pero eso da para otro hilo). Las 3 púas son importantes, y un equilibrio es lo que nos dará un protección óptima 😉
• • •
Missing some Tweet in this thread? You can try to
force a refresh
La semana pasada me dejé pendiente hablar de respuesta ante incidentes en #ciberseguridad. Vamos a contar algunas cosas :). Lo primero las fases: preparación, detección, análisis, contención, erradicación, recuperación y lecciones aprendidas. Dentro hilo 1/n
La preparación se hace de forma previa a cualquier incidente, y lo ideal es conseguir que tu infraestructura sea capaz de recoger toda la info posible para que luego podamos resolver el incidente. Parece fácil de decir, pero en la realidad poca gente lo tiene 100% 2/n
... y en muchos casos te encuentras con un "logs qué?". Logs del proxy, firewall, IDS/IPS, correo, EventLog, etc ... son fundamentales para los detectives puedan investigar y localizar el problema con rapidez y exactitud.
Tú no lo sabes, pero tienes dentro a un grupo de #ransomware que no puede progresar pq has bastionado bien. Están jodidos, pero no son tontos, y en lugar de hacer ruido se han quedado hibernando hasta que salga esa PoC que les permita elevar privilegios y liártela parda 1/n.
El bastionado tan solo te da TIEMPO y OPORTUNIDAD. Un atacante determinado al final encontrará "ese" sistema sin parchear, "ese" fichero con las pass en un .txt... El objetivo del bastionado es denegar/degradar la capacidad del atacante, forzándole a salir de su "zona de comfort"
... y de esa forma obligándoles a hacer cosas q no están acostumbrados. Y ahí entra la pareja del bastionado: La DETECCIÓN. Cuanto más ruido hagan los atacantes, más oportunidades tendremos de detectarlos, pero hay que tener una estrategia de detección con cobertura y profundidad