Como cualquier analista sabe, la misma naturaleza del Threat Hunting conlleva la aplicación de aproximaciones lo más genéricas posible en cuanto a la detección de anomalías. Al contrario que las posiciones reactivas de la seguridad basada en reglas, el análisis proactivo delega en el analista un porcentaje importante de la detección. Esto conlleva que, del mismo modo que le ocurre a un analista de inteligencia convencional, se suela caer en errores de interpretación, debido al gran número de casuísticas que se encuentran en el día a día, y que el cerebro tiende a clasificar como legítimas o maliciosas en cuestión de centésimas de segundos.
Según Richard Heuer define en “Psicology of Intelligence Analysis”, un analista tiene límites en la interpretación de la información, determinados por su personalidad, sus creencias y sus sesgos cognitivos. Y es que, tras la identificación de la anomalía, el analista debe ser capaz de hacer una predicción. Es decir, es la interpretación de una detección y su asociación a una posible amenaza lo que concluye con una alerta de seguridad.
Y no solo esto, sino que, tal y como define Steven Rieber en su “Intelligence Analysis and Judgmental Calibration“, el analista también debe ser capaz de ponderar la criticidad de una anomalía, lo que también queda dentro de posiciones subjetivas en forma de probabilidad subjetiva.
Como vemos, por tanto, el razonamiento tiene un papel relevante en la detección de la anomalía, pero también en el grado de “maliciosidad” que le atribuye a dicha anomalía.
Dentro de este proceso, la doctora Lucía Halty utiliza el símil de una partida de ajedrez para explicar su diferencia. Un jugador no analiza todas las potenciales jugadas en el momento de la partida, debido a que esto es imposible para el ser humano. Por el contrario, el jugador se centra en aquellas donde, a priori, tiene una mayor probabilidad de sacar ventaja.
De este modo, el razonamiento queda dividido en dos metodologías: la algorítmica y la heurística; mientras que un proceso algorítmico tiene en cuenta todas las posibilidades del problema, una aproximación heurística se centra en aquellas partes más relevantes.
Teniendo esto en cuenta, a partir de unos indicios genéricos, dentro de la búsqueda de anomalías en las tareas de Threat Hunting el cerebro del analista aplica una serie de reglas que establece como “indicios de maliciosidad”. Es decir, sigue funcionando bajo “reglas” que aplica para ponderar la maliciosidad de la anomalía. Así pues, por el mero hecho de ser humanos, aplicamos una aproximación heurística que genera diferentes problemas.
Desarrollando este concepto, David Moore recoge en su estudio “Pensamiento crítico y análisis de inteligencia” la existencia de dos tipos de análisis heurísticos: los de representatividad y los de disponibilidad.
Análisis heurísticos de representatividad
Los análisis heurísticos de representatividad se basan en el grado de similitud de un evento A con un evento B. Es decir, en qué medida uno se asemeja al otro. Un ejemplo podría ser la detección de conexiones a un recurso en la nube, que asociamos a la exfiltración de información.
Este tipo de análisis nos pueden conducir a errores de análisis de la mano de la falacia de la tasa base, que son los que se producen cuando no se valora en su justa medida la información global y sólo se atiende a cuestiones concretas.
Por ejemplo, ¿es normal en la organización realizar conexiones contra la nube? ¿Hay navegación adicional que verifique una actuación no automática? ¿Quién realiza las conexiones?
Análisis heurísticos de disponibilidad
En en caso de los análisis heurísticos de disponibilidad, un analista será capaz de detectar una determinada casuística en la medida que su experiencia le advierta de la posibilidad de que se trate de actividad maliciosa. Dicho de otra forma, un analista tendrá una mayor capacidad de análisis heurístico en la medida que disponga del conocimiento de ciertas acciones maliciosas. La obtención de la experiencia tiene dos líneas de acción:
- La primera línea resulta del conocimiento teórico de lo malicioso. Por ejemplo, que cierto actor suela utilizar scripts de PowerShell para realizar movimientos laterales.
- La segunda línea de la experiencia resulta del conocimiento de un entorno organizativo real. Es decir, saber que además de los actores maliciosos, los administradores de sistemas también pueden utilizar scripts de Powershell en tareas legítimas.
Y es que, el mero hecho de utilizar una aproximación heurística, intrínseca al factor humano, introduce una serie de sesgos cognitivos:
- El sesgo de confirmación, que Brasfield define como la tendencia de un analista a buscar razones que confirmen su hipótesis en lugar de aquellas que la contradicen, lo que provocará en última instancia que descarte información que podría contradecir la hipótesis. Por supuesto, podemos encontrar este tipo de sesgos en cualquier actividad humana.
- El exceso de confianza, de modo que si un analista está completamente convencido de que se va a producir o se ha producido un determinado ataque o actividad maliciosa, su percepción le conducirá a encontrar las evidencias del mismo.
Por tanto, dentro de las tareas de Threat Hunting, el analista debe ser consciente de los sesgos cognitivos a los que se enfrenta en su día a día, y ser capaz de revaluar sus detecciones con objetividad, de cara a minimizar los errores de interpretación de los resultados.
Referencias
- Análisis – Lucía Halty Barrutieta.
- Conceptos fundamentales de Inteligencia – Antonio M. Díaz Fernández.
- Intelligence Analysis and Judgmental Calibration – Steven Rieber.
