Tarlogic News

Tarlogic presenta una metodología de evaluación de EDRs desde la perspectiva de un servicio de Threat Hunting

- Tarlogic Security
La metodología de evaluación de EDRs diseñada por Tarlogic permite homologar esta clase de soluciones para realizar servicios de Threat Hunting

Esta metodología de evaluación de EDRs permite analizar más de 60 funciones de las soluciones EDR para determinar su idoneidad a la hora de prestar un servicio de Threat Hunting proactivo

Tarlogic Security ha presentado en las XVIII Jornadas STIC del CCN-CERT una nueva metodología de evaluación de EDRs desde la perspectiva de un servicio de Threat Hunting. Esta herramienta ha sido diseñada por la división de BlackArrow de la compañía de ciberseguridad con el objetivo de analizar qué soluciones EDR se adaptan mejor al modelo de Threat Hunting proactivo de Tarlogic y contribuir al perfeccionamiento de una tecnología esencial a la hora de detectar y responder a las amenazas en los entornos empresariales.

Julio Jairo Estévez y Alberto Terceiro, Threat Hunters de BlackArrow, compartieron con desarrolladores de EDRs, investigadores y profesionales de Threat Hunting las claves de una metodología de evaluación de EDRs que ya se está empleando para analizar las soluciones con mayor penetración en el mercado y con las que trabajan el 90% de las empresas.

Al igual que se ha hecho con anteriores investigaciones de Tarlogic, toda la documentación sobre esta metodología de evaluación de EDRs se ha publicado de manera abierta a través de GitHub.

Además, los profesionales de Threat Hunting de nuestra compañía están colaborando activamente con fabricantes de soluciones EDR para evaluar de manera continua estas tecnologías y contribuir a su mejora.

Los EDRs son los antivirus de esta era para las empresas

Al igual que hace unos años era impensable que las empresas no dispusieran de antivirus para proteger sus equipos, hoy en día los EDRs son imprescindibles para salvaguardar a las grandes compañías, pero también a las pequeñas y medianas empresas frente a los actores maliciosos.

De hecho, en cierto modo las soluciones EDRs son una evolución del antivirus, una herramienta que ayuda a las empresas a hacer frente a un panorama de amenazas cada vez más complejo y peligroso. Y es que en el contexto actual no solo hay amenazas más avanzadas, sino que cada vez resulta más sencillo activar ciberataques contra empresas porque existe un mercado negro de malware o ransomware. Así, ya no es necesario disponer de los conocimientos y recursos necesarios para diseñar e impulsar estos ciberataques: se pueden comprar a terceros y simplemente propagarlos.

¿Para qué sirven las soluciones EDR? Esta tecnología es clave a la hora de monitorizar la infraestructura tecnológica de una empresa, detectar amenazas y generar telemetría. De tal manera que esta clase de soluciones permiten a profesionales experimentados como los Threat Hunters analizar de forma continua los activos de una organización, evitar incidentes y tratarlos en caso de que se produzcan.

La experiencia de los equipos de Threat Hunting y Red Team de BlackArrow demuestra que los controles de detección de las soluciones EDR pueden ser evadidos por actores maliciosos avanzados. Sin embargo, los EDRs más avanzados son capaces de registrar toda la información sobre cualquier actividad.

Así, aunque un actor malicioso haya sido capaz de evadir la tecnología de detección de un EDR y evitar que lanzara alertas de seguridad, el producto registra toda la telemetría que los Threat Hunters necesitan analizar para detectar actividad maliciosa y comprender las técnicas, tácticas y procedimientos de los actores hostiles.

¿Por qué es necesaria una metodología para evaluar EDRs desde la óptica de los Threat Hunters?

Las soluciones EDR son una de las armas con las que cuenta un equipo de Threat Hunting para detectar y responder a los incidentes de seguridad que puedan sufrir las empresas.

Sin embargo, no todas las soluciones EDR presentan las mismas características. De tal manera que los servicios de Threat Hunting deben analizar su funcionamiento para saber cómo se adapta cada solución a su modelo de Threat Hunting y poder homologar los servicios con diversos productos.

Por eso, de manera continua los profesionales de Tarlogic han analizado las diversas soluciones EDR de nuestros clientes para comprobar cómo se comporta el servicio de Threat Hunting al usarlas.

A partir de esta experiencia acumulada durante los últimos años y de los conocimientos adquiridos se ha desarrollado una metodología de evaluación de EDRs desde la perspectiva de un servicio de Threat Hunting que permite:

  • Objetivar y plasmar de manera empírica los análisis de EDRs que se llevan a cabo.
  • Evaluar de manera continua cada solución EDR.
  • Analizar la evolución en el tiempo de los diversos productos.
  • Comparar las diferentes soluciones EDR entre sí.
  • Mostrar de manera sencilla y clara a través de un sistema de scoring numérico y gráficas el resultado de las evaluaciones realizadas por los Threat Hunters.
La metodología de evaluación de EDRs mide hasta 65 funciones de estas soluciones

¿Cómo funciona la metodología de evaluación de EDRs?

Para llevar a cabo estas tareas, la metodología de evaluación de EDRs desde la óptica de un servicio de Threat Hunting se estructura en torno a siete grandes categorías que aglutinan 65 características que deben analizarse en cada solución:

  • Telemetría.
  • Lenguaje de consulta.
  • Herramientas administrativas.
  • Características
  • API.
  • Interfaz de usuario (UI).
  • Resultados obtenidos en MITRE Engenuity. Esta herramienta mide las capacidades técnicas de las soluciones EDR al someterlas a diversos escenarios de amenazas persistentes avanzadas.

Además, la metodología diferencia entre funciones críticas y normales para darle más relevancia a las primeras. Por ejemplo, en el caso de la telemetría, el tiempo medio que tarda la telemetría en llegar desde que se genera hasta la consola es considerado una función crítica de los EDRs. Mientras que la posibilidad de programar tareas es una función normal.

Asimismo, para realizar la evaluación, se ha diseñado un sistema de calificación de cada función que va del uno al cinco. De tal forma que la calificación más alta se da cuando una función esencial se ha implementado adecuadamente en una solución EDR.

De esta manera, es posible otorgar una puntuación a cada producto en función de su capacidad de mejorar los servicios de Threat Hunting.

Ayudar a los fabricantes de EDRs a seguir perfeccionando sus tecnologías

La metodología de evaluación de EDRs diseñada por los Threat Hunters de BlackArrow es un proyecto vivo y en constante evolución.

Esta herramienta de análisis permite evaluar de manera periódica las soluciones EDR para comprobar si se han implementado nuevas funciones y es capaz de adaptarse a los cambios e innovaciones que se producen en el terreno de la ciberseguridad.

Para continuar enriqueciendo esta metodología de evaluación de EDRs, los profesionales de Tarlogic seguirán trabajando con los fabricantes cuyos productos ya han sido analizados y, además, están abiertos a colaborar con otros productores, así como con investigadores y el resto de la comunidad de ciberseguridad.

Así, tras la presentación de la metodología de evaluación de EDRs realizada por Julio Jairo Estévez y Alberto Terceiro, se establecieron contactos constructivos con diversos fabricantes de soluciones EDR para colaborar en el perfeccionamiento de una tecnología esencial a la hora de proteger a las empresas y llevar a cabo servicios de Threat Hunting proactivo.

DORA