Cinc coses que cal que sàpiguen els CISO sobre els EDR
16/01/2024

La detecció i resposta protegeix els dispositius i bloqueja automàticament les amenaces, si es configura correctament.
La detecció i resposta de dispositius (EDR, de les seves sigles angleses) és un enfocament de protecció que monitora els terminals en una xarxa i bloqueja les amenaces a mesura que s’identifiquen. Com qualsevol altre productes de ciberseguretat, només pot protegir una xarxa si es configura i es prova adequadament. I hi ha cinc coses que cal que sàpiguen els CISO sobre aquestes plataformes:
L’EDR es pot eludir
El primer, i possiblement el més important, del EDR cal entendre que no és una solució immediata que resoldrà tots els problemes de seguretat dels teus terminals. Malgrat que tots els departaments de màrqueting i les diverses empreses d’estudi de mercat vulguin fer-ho creure, l’EDR pot ser derrotada i, a vegades, de manera bastant trivial. Hi ha moltíssimes i diverses maneres en què es pot evadir una EDR, sigui mitjançant una interrupció dels sensors, una implementació d’una tècnica que subverteix la lògica de detecció de l’EDR, i es barreja amb el comportament normal del sistema o trenca la cadena de comunicació entre l’endpoint i el servidor de recopilació central.
L’EDR té una feina difícil. Esperem que sigui capaç de detectar totes les eines que un adversari pugui fer servir contra els nostres punts finals, tant conegudes com desconegudes, i alhora sigui prou correcta per no introduir massa falsos positius, cosa que genera fatiga d’alerta al centre d’operacions de seguretat (SOC). Això sí, han d’equilibrar tot això, i a més han de ser fàcils de fer servir i implementar, eficaces, segures i amb un preu competitiu per tal que el proveïdor pugui vendre el seu producte. Si simplement moderem les nostres expectatives sobre l’EDR i entenem que, si bé ara és la millor eina per monitorar l’activitat dels endpoints, no pot captar tot de manera immediata, i podem començar a millorar-ne l’ús i extraure’n més valor.
No és un antivirus
El mercat de protecció de terminals i la manera en què s’anomenen els productes pot ser confús. Malgrat la llista cada vegada més gran de noms i acrònims, en realitat només hi ha dues famílies de productes de detecció; antivirus i EDR. L’antivirus generalment se centra a detectar artefactes (normalment programari maliciós basat en arxius). L’EDR, per altra banda, se centra a detectar comportaments. Si bé la majoria de les solucions EDR avui dia implementen alguna mena d’antivirus, la seva preocupació principal és detectar què succeeix després que es detona el programari maliciós, com ara l’activitat posterior a l’explotació.
L’enfocament de l’EDR en el comportament és el seu punt més poderós. Moltes amenaces modernes han evolucionat perquè no requereixen la introducció d’artefactes en el sistema que serien detectats per l’antivirus, com el programari maliciós sense arxius. En aquestes situacions, hem de poder investigar comportaments al sistema a la cerca de patrons que indiquen la presència d’un actor maliciós. Aquest és el veritable valor de l’EDR: poder consultar i correlacionar comportaments entre sistemes, sigui per buscar compromisos actius o crear deteccions proactives. Tractar la nostra EDR únicament com una eina per detectar programari maliciós col·locat al disc ens impedeix extraure’n gran part del seu valor.
La cobertura de la flota importa
No us puc dir quantes vegades, quan era operador de l’equip vermell, vaig comprometre una estació de treball i vaig saltar immediatament a un servidor perquè l’EDR no hi estava implementat. En discutir el tema de la cobertura de flota limitada amb aquests clients, vaig trobar moltes raons de perquè és així. Tanmateix, independentment d’aquestes raons, la recomanació és la mateixa: cal la cobertura més completa possible quan es tracta de la teva implementació de l’EDR. Certament, hi haurà excepcions, com ara sistemes operatius no compatibles, recursos del sistema limitats, funcions comercials crítiques, però per defecte s’hauria d’instal·lar l’agent EDR i caldria fer les excepcions sistema per sistema.
El raonament darrere d’això té sentit si tornem a considerar quin és el propòsit de l’EDR, és a dir, recopilar i informar d’esdeveniments que succeeixen en un terminal. Imagina’t que tens tres sistemes: estació de treball, servidor i una base de dades que conté les “joies de la corona” de la teva organització. Has implementat l’EDR a l’estació de treball perquè és gairebé segur que aquest sistema estarà subjecte a intents d’accés inicial. També has implementat l’EDR a la base de dades perquè és el sistema més important de tot el teu entorn. Però, l’EDR no s’ha implementat al servidor per una raó o una altra.
Durant aquesta infracció l’adversari compromet una estació de treball i opera per sota del llindar de detecció de l’EDR. L’adversari descobreix que té privilegis suficients per migrar al rang de servidors i salta al sistema del servidor. Al servidor, és efectivament lliure de fer el que vulgui des d’una perspectiva de detecció, per la qual cosa aquest es converteix en el seu cap de pont nou. A través del reconeixement, descobreix que es pot connectar a la base de dades per extraure informació d’alt valor. S’inicia la resposta a incidents (IR) i veuen molt clarament que l’accés inicial, les accions posteriors a l’explotació i fins i tot el salt de l’estació de treball al servidor, però aleshores descobreixen que no hi ha dades al servidor perquè no hi havia l’EDR instal·lat i ja no se’n pot fer el seguiment.
Ara, el procés de determinar l’abast i l’impacte d’una infracció, com també erradicar els actors residents, esdevé substancialment més difícil. Si s’hagués instal·lat l’EDR al servidor, l’equip de seguretat interna podria haver respost proactivament per reduir l’impacte i/o l’IR (recuperació d’informació, en les seves sigles en anglès) podria haver armat una cadena d’atac de l’adversari de manera més ràpida i precisa per millorar l’eficàcia de la remediació.
Què has d’afegir a la teva EDR
Cada EDR ve amb alguna lògica de detecció incorporada. Alguns proveïdors fins i tot arriben a tenir un període de referència en què l’EDR es normalitza per al seu entorn (per exemple, un procés que accedeix a LSASS pot ser normal al teu entorn però mai passarà en una altra empresa). Si bé aquest és un punt de partida excel·lent, podem fer-hi més. La lògica de detecció inclosa pel proveïdor només s’ha de veure com un punt de partida. No comprèn les complexitats del teu entorn, la sensibilitat de certs amfitrions o grups de sistemes, les peces estratègicament importants de la teva xarxa o les inquietuds específiques que puguis tenir. Per a això, hem de recórrer a l’enginyeria de detecció.
Històricament, les regles de detecció han estat un joc de copejar el talp a causa de la seva naturalesa precisa. Per exemple, una detecció de Mimikatz, una eina utilitzada per extreure credencials de sistemes Windows, consistiria simplement a cercar processos anomenats “mimikatz.exe”. Aquesta lògica és fàcil d’evitar, si un atacant canvia el nom de “mimikatz.exe” a “mimidogz.exe”, per exemple, i per tant cal complementar-la amb quelcom de més robust. Atès que l’EDR té connexions tan profundes amb el sistema operatiu a través dels innumerables sensors, tenim totes les dades per trobar un comportament similar a Mimikatz sense que calgui buscar Mimikatz específicament.
Si la nostra lògica de detecció cerca la funcionalitat principal d’una tècnica determinada, com ara obrir un identificador prou privilegiat per a Issas.exe i llegir la seva memòria, podem capturar més d’una variació de la seva implementació. Això significa que una única regla de detecció pot proporcionar cobertura a nivell de procediment per a Mimikatz i eines similars, incloses SafetyKatz o Invoke-Mimikatz. Aquesta extensibilitat és una funcionalitat central de cada EDR que val la pena comprar avui mateix.
Prova el teu EDR
Com pots saber si el teu EDR pot detectar les coses que diu que fa? Com pots saber que això és vàlid en totes les versions del sistema operatiu, l’agent EDR i la configuració de polítiques? S’aplica això a tots els amfitrions del seu entorn? És cert per a la pròxima setmana, i la següent? Hem de posar a prova les nostres suposicions sobre el nostre EDR per tenir plena consciència de la situació i fer confirmacions significatives.
Hi ha moltes maneres de provar les deteccions i algunes són més específiques que d’altres. El primer que et pot venir al cap és Red Teaming, que és un servei dissenyat per provar les teves deteccions i exercir els teus procediments de resposta a incidents. Si bé aquesta és una manera completament vàlida per provar les teves defenses, no proporciona cobertura de prova per a totes les teves deteccions i només és una avaluació d’un moment determinat.
Un altre estil són les proves “atòmiques”. Això implica l’ús de proves dissenyades específicament per emular algun comportament (més comunament assignat a MITRE AT&CK) per estimular les defenses d’una manera calculada per tal que l’EDR es pugui avaluar més directament. El desavantatge d’aquest enfocament és que la qualitat del corpus de la prova és difícil de mesurar i la majoria de les solucions no es dissenyen de manera contínua o a escala. Aquests enfocaments de prova aporten un valor immens al teu programa de seguretat en provar suposicions i exercir defenses. Independentment de l’enfocament que prioritzis, el més important és avaluar l’eficàcia i la solidesa de les teves deteccions i millorar qualsevol deficiència que es trobi fent servir el conjunt de dades complet proporcionat per la teva EDR.