Las tareas de Threat Hunting como búsqueda de lo desconocido ha abierto la puerta a un sinfín de interpretaciones y metodologías de análisis proactivo, además de formular múltiples preguntas sobre cómo organizar la búsqueda y poder medir el tipo de servicio que se ofrece.
La investigación, que se presentará en tres partes, tiene como objetivo analizar las tareas de la revisión proactiva con el fin de establecer un modelo de desarrollo de Unidades de Inteligencia en función de la cobertura de las técnicas descritas en la matriz de MITRE ATT&CK, así como un modelo matemático para la planificación de las tareas de Threat Hunting basado en la probabilidad de detección para la eficiencia de las horas de analista. Puede leerse el estudio al completo aquí.
La Unidad de Inteligencia en Threat Hunting
En la seguridad gestionada convencional el objetivo es la detección de amenazas de manera automática. Es decir, la detección del mayor número de amenazas con la menor tasa de falsos positivos. En este caso, idealmente, el valor de la inteligencia es siempre incremental, es decir; existe una relación directamente proporcional entre el número de reglas (correctamente calibradas) y la calidad del servicio, pues cuanto mayor número de reglas se dispongan, mayor número de amenazas será posible detectar. Es decir, la regla tiene que identificar de manera inequívoca un patrón malicioso. No es así para el Threat Hunting.
El Threat Hunting aparece como la disciplina para la revisión proactiva de estas desviaciones del comportamiento y la interpretación de dichas anomalías como procedimientos maliciosos. Una Unidad de Inteligencia tendrá mayor visibilidad sobre el número de procedimientos de los atacantes cuanto menor número de condiciones de exclusión se le pongan. Sin embargo, cuanto menor número de condiciones se le pongan, mayor volumen del bruto de la fuente de información tendrá que revisar el analista. Por lo tanto, podemos definir que la eficiencia de la Unidad de Inteligencia de Threat Hunting estará basada en la capacidad de proporcionar la mayor cobertura de procedimientos posibles en el menor número de registros. Es decir, la aproximación del Threat Hunting siempre debe tener como principal objetivo la monitorización completa de la fuente de información o el conjunto de información que permita monitorizar una técnica al completo y analizar las desviaciones respecto al comportamiento base, es decir, su Grado de Anomalía (DoA). A este tipo de Unidad de Inteligencia tendrá una cobertura de anomalía.
Por otro lado, en aquellas fuentes que no sea posible monitorizar a partir de su anomalía, se le aplicarán condiciones, teniendo una cobertura de condición. Dado que las condiciones de búsqueda tendrán un sesgo de analista basado en lo malo conocido, la monitorización a través de la búsqueda de condiciones no permitirá la completa cobertura de la técnica. En consecuencia, el modelo de cobertura de una táctica o técnica nunca será del 100% cuando se esté hablando de consultas con condición y, por lo tanto, el porcentaje de cobertura de una técnica sólo se podrá medir sobre los procedimientos conocidos.
En este punto, se nos abre la posibilidad de evaluar las Unidades de Inteligencia de cara a invertir el tiempo de analista en aquello que nos resulte más productivo de detectar.
Cobertura y Eficiencia de la Unidad de Inteligencia
Para evaluar la cobertura de una Unidad de Inteligencia de condición Cn se va a contabilizar el número de procedimientos que quedarían detectados Pn, sobre el número total de procedimientos registrados a nivel de técnica PN. Es decir, la condición aplicada permite la visibilidad de un número N de procedimientos conocidos por grupos APT, respecto a la técnica. La suma de las visibilidades de las Unidades de Inteligencia de una técnica Pn, menos los procedimientos que se solapen Pdup, será la visibilidad total que se disponga de la técnica Ct.
Por otra parte, la cobertura teórica de una Unidad de Inteligencia basada en anomalía tendrá una cobertura teórica del 100%.
Finalmente, la cobertura de la Unidad de Inteligencia valora únicamente el número de procedimientos, pero no representa un valor real sobre la aplicabilidad de la misma en la organización, pues no está teniendo en cuenta el coste de tiempo de analista. De esta manera, aparece un nuevo concepto respecto a la Unidad de Inteligencia de Threat Hunting, su eficiencia En. Esta medición se extraerá dividiendo la cobertura de la UdI Cn respecto el Grado de Anomalía DoA.
Esta medición permite establecer un valor relativo sobre la Unidades de Inteligencia, ofreciendo al analista un criterio para priorizar las Unidades de Inteligencia en función a su rentabilidad. Este valor resulta especialmente interesante en las tareas de Threat Hunting debido a la gran dependencia del tiempo que disponga el analista.
En la segunda parte del artículo se abordará la medición de la cobertura a nivel de táctica y así establecer un modelo de cobertura de Threat Hunting basado en la probabilidad de detección de un grupo APT.