Un día en la vida de... un líder de inteligencia de amenazas cibernéticas

Me lo pregunto, no porque tenga una vida social salvaje, sino porque los ciberdelincuentes nunca descansan. Para averiguar qué han estado haciendo mientras dormía, accedo de inmediato a una plataforma de intercambio de información de malware (MISP). Afortunadamente, ya he automatizado la extracción de datos de nuestros casos de respuesta a incidentes. Esto significa que puedo tener una idea de qué nuevos casos han surgido durante la noche y, lo más importante, puedo investigar si hay alguna superposición entre ellos, algo inusual o algo especialmente interesante.

En Thomas Murray, incorporamos inteligencia de amenazas cibernéticas (CTI) en cada servicio. Para asegurarme de que mis colegas tengan el apoyo que necesitan para el día, comienzo ayudándolos a prepararse para reuniones y llamadas con clientes, y proporcionándoles datos que puedan usar para realizar caza de amenazas, respuesta a incidentes, emulación de amenazas o pruebas de penetración.

Luego, investigo los datos de código abierto para asegurarme de estar al tanto de lo que está sucediendo en seguridad de la información, geopolítica y cualquier otro aspecto que pueda afectar nuestro mundo. También me gusta mantenerme al tanto de quién está sufriendo ataques de ransomware o DDoS, o está siendo mencionado en la web oscura. Aquí es donde termina la "parte típica" de mi día y comienza el caos organizado.

Más café es esencial.

9 a.m.: Comienza el caos organizado

Encuentro algo especialmente interesante en nuestros datos de casos y en uno de los feeds. Requiere más investigación y análisis, y redacto un informe para que podamos informar a nuestros clientes. Comienzan a llegar preguntas de colegas y clientes, y busco las respuestas y las redacto.

Para recopilar la mayor cantidad posible de fuentes de información, analizo manualmente el malware para obtener más contexto y realizo una investigación con un poco de enriquecimiento de datos en el camino.

A riesgo de ser demasiado honesto, tengo la tendencia a desarrollar una idea preconcebida de cómo será el informe o cuál será su conclusión. Sin embargo, a menudo estoy equivocado y sorprendido.

12 p.m.: Acelerando el ciclo de inteligencia

Me gusta automatizar todo lo que pueda. No me malinterpreten, también me encanta el análisis, ¡así que no estoy acortando esa parte! Pero el uso de herramientas de flujo de trabajo y Python puede eliminar muchas de las cargas cuando se trata de las fases de recolección y procesamiento del ciclo de inteligencia.

Las automatizaciones regularmente necesitan ajustes, así que trabajo en mejorarlas. Además, se me ocurre algo más eficiente y útil que pueden hacer por mí.

Hemos construido automatizaciones para permitir que todos en el equipo accedan a nuestros datos de CTI, lo que nos permite tomar decisiones informadas y rápidas.

Hablando de rápido, corro a la cocina para agarrar algo de almuerzo. Traigo mi sándwich de vuelta a mi escritorio y suspiro pesadamente cuando me doy cuenta de que he usado yogur natural en lugar de mayonesa. No tengo tiempo para hacer otro sándwich, y hay algunas cosas que simplemente no se pueden automatizar.

2 p. m.: Todo comienza de nuevo Otro "algo interesante" surge en uno de nuestros casos que indica una amenaza activa.

Los examinadores (es decir, los miembros del equipo que se ocupan de la informática forense digital y la respuesta a incidentes) necesitan que proporcione cualquier malware, scripts o indicadores asociados que haya encontrado en casos correlacionados. La experiencia pasada es de gran ayuda aquí: he podido identificar cómo un actor de amenazas obtuvo privilegios o desactivó el antivirus porque ya había recopilado los scripts de otro caso. Luego pudimos determinar que estos mismos scripts fueron los que se ejecutaron.

El incidente de hoy es significativo. Soy un par de manos adicionales para ayudar con la triage y el análisis forense de los endpoints afectados, y esta es una de esas veces en las que me piden que lidere una respuesta a incidentes. No voy a mentir, esto me parece realmente interesante y un poco emocionante. Todavía disfruto adentrándome en los detalles porque me ayuda a entender lo que están haciendo los actores de amenazas. Todo lo que aprendo de estos proyectos se retroalimenta en la inteligencia de amenazas cibernéticas.

Por ejemplo, fue hace algún tiempo, pero una vez identifiqué lo que entonces era una nueva cepa de ransomware. Gracias a la información recopilada, pude rastrear los métodos de acceso inicial del adversario, su método de ejecución de encriptador y otras herramientas asociadas. Trabajando con un colega, desciframos los comandos de inicio obfuscados. Este tipo de hallazgos realmente me emocionan, y creo que muestra el valor de la inteligencia de amenazas, especialmente cuando esos hallazgos pueden compartirse con la comunidad más amplia.

En cuanto al problema actual, eventualmente podré identificar qué datos ha exfiltrado (robado) el actor de ransomware, incluso si han realizado una intensa anti-forense en toda la red. Pero, por ahora, apenas estoy comenzando el laborioso proceso de armar miniaturas de la caché de RDP. Una vez completado, este complejo rompecabezas me mostrará el indicio de PowerShell donde usaron Rclone para exfiltrar una gran cantidad de datos sensibles a un servicio en la nube.

(PowerShell y Rclone son programas: PowerShell es para la automatización de tareas y la gestión de la configuración, y Rclone es para gestionar archivos en almacenamiento en la nube.)

3:30 p. m.: Un breve descanso

Más café (también agua y algo de fruta. Estoy tratando de dar un buen ejemplo para mi hijo). Mientras espero a que la máquina de café haga su trabajo, recuerdo un caso de ransomware "4x" (¡sí, cuatro adversarios diferentes estaban presentes!), donde la víctima no tenía idea del problema hasta que uno de los actores de amenazas llamó para exigir un rescate. La contraseña del administrador de dominio del proveedor de servicios gestionados (MSP) también había sido violada y, durante al menos diez años, había estado ampliamente disponible para los actores de amenazas. Y aún así, las organizaciones siguen confiando en terceros para mantener segura su información sensible.

3:45 p. m.: Las cosas se ponen oscuras

Paso la tarde en la web oscura, buscando información sobre cosas como filtraciones de datos y monitoreando charlas generales sobre el cliente en el centro del incidente importante de hoy.

También estoy buscando credenciales comprometidas o intermediación de acceso para asegurarme de que el cliente esté al tanto de cualquier otra amenaza potencial entrante. La plataforma de seguridad Orbit de Thomas Murray proporciona automáticamente este tipo de datos, pero estoy haciendo una búsqueda única para un análisis más detallado. En el pasado, este tipo de análisis ha encontrado todo tipo de datos, incluida información sensible enviada por un empleado a un sandbox público y todo tipo de errores en el oficio de los adversarios, lo que me da pistas sobre con qué otros perfiles colaboran, y la composición de la membresía de un grupo de amenazas.

5:30 p. m.: Tiempo libre (más o menos)

"Tiempo de relajación" con mi hijo de dos años no es muy relajante, pero sí muy divertido. No se lo digan a nadie, pero creo que me gusta jugar con sus juguetes más que a él. Afortunadamente, él es bueno compartiendo, e insiste en que cada uno de sus juguetes reciba la misma cantidad de mi atención. Hago lo mejor que puedo, aunque mi hijo intenta derribarme al suelo todo el tiempo.

Una vez que lo acostamos, mi esposa y yo ponemos al día nuestra extensa lista de películas y series por ver y compartimos notas sobre nuestros días. También planeamos nuestras próximas vacaciones familiares: los actores de amenazas nunca se toman un descanso, pero ¡yo tengo derecho a un poco de tiempo libre!