Ciberpaleontología: resultados impresionantes

9 Oct 2018

Perimíteme comenzar parafraseando una conocida reflexión filosófica: “¿Condiciona la profesión al individuo o el individuo condiciona su profesión?”. Por lo visto, esta pregunta (en realidad, la original) se ha debatido durante más de 150 años. Y tras la invención y expansión de Internet, parece que esta guerra santa continuará otros 150, por lo menos. Personalmente, no voy a mostrar mi apoyo ni a uno ni a otro; no obstante, me gustaría alegar a favor del dualismo de una profesión y de un ser, ya que se influyen mutuamente, de muchas maneras y de forma continua.

A finales de los 80, la virología informática surgió en respuesta a la proliferación creciente de programas maliciosos. Ya han pasado 30 años y la virología se ha convertido (más bien se ha fusionado, en éxtasis, con campos vecinos) en la industria de la ciberseguridad, que ahora dicta a menudo el desarrollo del ser de la informática: dada la inevitable competencia, solo sobrevive la tecnología con la mejor protección.

Durante estos 30 años que han tenido lugar desde finales de los 80, a nosotros (las empresas de antivirus) nos han llamado de todo. Pero lo más acertado de los últimos años, en mi humilde opinión, es el meme de la ciberpaleontología.

De hecho, la industria ha aprendido a enfrentarse a epidemias masivas: ya sea de forma proactiva (protegiendo a usuarios de las epidemias de los últimos años, Wannacry y ExPetr) o reactiva (mediante el análisis de los datos de amenazas en la nube y las rápidas actualizaciones). Pero en lo que respecta a los ciberataques dirigidos, la industria en general todavía tiene mucho camino por delante: solo unas cuantas empresas cuentan con la madurez técnica y los recursos necesarios para poder hacerles frente, pero si a esto le añades un compromiso firme para exponerse a cualquier ciberamenaza, sin importar de dónde procesa o cuáles sean sus motivos, solo queda una empresa: ¡KL! (Lo que me recuerda a algo que dijo Napoleon Hill: “La escalera del éxito nunca está abarrotada en la cima”). Bueno, no hay duda de que estamos solos (en la cima de la escalera) y podemos afirmar que este compromiso capaz de enfrentarse a cualquiera sale mucho más caro y es mucho más problemático dadas las turbulencias geopolíticas actuales, pero nuestra experiencia nos dice que es lo correcto y los clientes lo confirman con sus resultados financieros.

Una operación de ciberespionaje es un proyecto de alta tecnología, muy largo, caro y complejo. Es evidente que a los autores de estas operaciones les preocupa y molesta ser detectados y muchos piensan que intentan deshacerse de los “indeseables” desarrolladores con diferentes métodos mediante la manipulación de los medios. Hay otras teorías similares:

Pero me estoy desviando del tema…

Ahora bien, estas operaciones de ciberespionaje pueden permanecer fuera del alcance de los radares durante muchos años. Los autores cuidan bien su inversión equipo: atacan solo a unos pocos objetivos especialmente seleccionados (sin ataques masivos, que son más fáciles de detectar), lo prueban en todos los productos de ciberseguridad populares, cambian de táctica rápidamente si fuera necesario y mucho más. Por tanto, podemos asumir que la gran cantidad de ataques dirigidos que se han detectado son solo la punta del iceberg. Y la única forma de destapar estos ataques es a través de la ciberpaleontología, mediante la recopilación meticulosa y a largo plazo de datos para estructurar una “visión global”, la cooperación con expertos de otras empresas, la detección y el análisis de anomalías y el posterior desarrollo de las tecnologías de protección.

En el campo de la ciberpaleontología hay dos subesferas principales: las investigaciones específicas (después de detectar algo de casualidad y perseguirlo) y las investigaciones operacionales sistemáticas (el proceso de un análisis planeado del panorama informático corporativo).

Las ventajas obvias de la ciberpaleontología operacional son de gran valor para las grandes organizaciones (ya sean estatales o corporativas), que son siempre el objetivo principal de los ataques dirigidos. No obstante, no todas las organizaciones tienen la oportunidad o capacidad de emprender por sí mismos la ciberpaleontología operacional: los especialistas (para contratar) escasean en esta área y también son caros. Nosotros contamos con muchos de ellos por todo el mundo (con una amplia experiencia y reputación). Por consiguiente, dada nuestra fuerza en este campo y la necesidad de nuestros clientes corporativos (fiel a los principios del mercado de la oferta y la demanda), hemos decidido elaborar un nuevo servicio para el mercado: Kaspersky Managed Protection.

Kaspersky Managed Protection es nuestro sistema de subcontratación de ciberpaleontología.

Primero, nuestro servicio en la nube recopila metadatos de las redes y la actividad del sistema. Entonces, se agrega a los datos de nuestro KSN y, después, todo lo que ya se ha analizado por ambos sistemas inteligentes y ciberpaleontología expertos (por consiguiente, la estrategia HuMachine).

Volvamos a la recopilación de datos… Lo mejor de todo es que Kaspersky Managed Protection no requiere instalación de sensores adicionales para la recopilación de metadatos. El servicio funciona al unísono junto con productos ya instalados (en concreto, Kaspersky Endpoint Security y Kaspersky AntiTargeted Attack, y en el futuro, posiblemente, otros desarrolladores de productos), cuya telemetría utilizan en la base de su “reconocimiento médico” > diagnóstico > preinscripción médica.

Pero lo más interesante es que lo que se oculta en la unión con los datos de KSN.

El servicio ya cuenta con gigabytes de telemetría de diferentes sensores: eventos del SO, comportamiento de procesos y su interacción red, actividad de servicios de sistema y aplicaciones, veredictos de productos de seguridad (incluidos la detección de comportamiento inusual, sistema de detección de intrusos, aislamiento de procesos, análisis de comprobación de objetos, normas Yara… ¿Sigue dándote vueltas la cabeza?). Pero ejecutado de forma correcta, de todo este caos se pueden conseguir técnicas que te ayudarán a detectar ataques dirigidos.

En esta etapa, para separar el trigo de la paja, utilizamos tecnología patentada de detección, investigación y eliminación de ataques dirigidos en la nube. Primero, KSN etiqueta de forma automática la telemetría recibida según la popularidad de los objetos, si pertenece a un grupo u otro, las similitudes con otras amenazas conocidas y muchos otros parámetros. En otras palabras, extraemos la paja y adjuntamos etiquetas especiales en el resto de contenido útil (diferentes granos de trigo).

Entonces, se procesan automáticamente las etiquetas a través de un mecanismo correlacional con aprendizaje automático, lo que plantea hipótesis sobre posibles ciberataques. En el lenguaje de los paleontólogos, estudiamos los fragmentos para encontrar similitudes con los dinosaurios que ya están descubiertos y también buscamos combinaciones inusuales de fragmentos que podrían ser característicos de dinosaurios desconocidos para la ciencia.

El mecanismo correlacional recae en una multitud de fuentes de información para desarrollar hipótesis. En los 21 años de KL hemos acumulado los datos suficientes (siendo modesto) para estas hipótesis: datos sobre desviaciones estadísticas sospechosas de la actividad normal, sobre la táctica, tecnologías y procesos de varios ataques dirigidos o los datos recopilados de las investigaciones de crímenes informáticos en los que hemos participado.

Una vez que hemos puesto en común todas las hipótesis, llega el momento de poner el cerebro de los ciberpaleontólogos en marcha. Este experto realiza cosas que la inteligencia artificial es incapaz: él/ella comprueba la autenticidad de las hipótesis presentadas, analiza los objetos y acciones sospechosos, elimina los falsos positivos, enseña el aprendizaje automático a los robots y desarrolla normas para descubrir nuevas amenazas. No obstante, algún día prácticamente todo lo que hoy se ejecuta de forma manual por un ciberpaleontólogo será realizado de forma automática, se trata de un proceso sin fin de conversión de experiencia en investigaciones y de investigaciones que se convierte en servicios automatizados.

De esta forma, gradualmente, paso a paso, con la ayuda de tecnologías innovadoras y supervisadas por expertos, se pueden encontrar entre toneladas de tierra rastros de monstruos ataques dirigidos desconocidos hasta el momento. Cuanta más tierra sin procesar reciba Kaspersky Managed Protection y cuanto más excave en el tiempo, más probabilidades hay de que descubra lo “indescubrible” y, por consiguiente, destape ataques desconocidos. Lo más importante es que este es el medio de infección más eficaz, ya que esta tierra sin procesar con fragmentos de dinosaurio solo se encuentra en las redes de las grandes organizaciones.

Para concluir, les voy a contar en pocas palabras cómo Kaspersky Managed Protection complementa nuestro Centro de operaciones de seguridad (SOC, por sus siglas en inglés), el centro de control para los incidentes de seguridad de la información.

Evidentemente, Kaspersky Managed Protection no remplazará el SOC, pero (i) podría impulsar su creación, ya que resuelve con elegancia una simple tarea (aunque es la más importante): destapar ataques de cualquier complejidad; (ii) podría ampliar la competencia de un SOC existente al añadirle ciberpaleontología; y (iii) por último y más importante: podría generar actividad comercial adicional para los proveedores de servicios de seguridad gestionados al ampliar las aplicaciones del servicio de funciones expansibles de ciberpaleontología. Creo que este tercer factor podría ser el vector principal en el desarrollo de Kaspersky Managed Protection.