Cytomic Orion, la solución cloud que acelera el ‘Threat Hunting’

Orion es una de las primeras propuestas de Cytomic, la unidad de gran empresa de Panda Security. Se trata de una solución perteneciente a la categoría de Threat Hunting & Incident Response Solution TH&IR, una de las tendencias más sólidas en el mercado de la seguridad empresarial.

Cytomic es la unidad de negocio enfocada a la gran empresa de Panda Security. Se presentó el pasado año en el contexto del Panda Security Summit (PASS) consolidando la estrategia de la compañía en torno al segmento Enterprise donde se ha marcado objetivos muy ambiciosos que hablan de pasar de un 15% de la facturación de la compañía, a más del 40%.

Cytomic parte de la experiencia de Panda Security, aunque extiende el ámbito de su alcance más allá de los productos “clásicos” de seguridad para configurar una plataforma completa de soluciones de seguridad que abarcan tanto las aproximaciones tradicionales para la protección de los endpoints como las más recientes tendencias en ciberseguridad basadas en tecnologías de big data e inteligencia artificial como es Threat Hunting. El objetivo es mejorar algunas de las métricas que, actualmente, caracterizan a los sistemas de seguridad corporativos.

Por ejemplo, según un estudio del Ponemon Institute acerca de los costes de la seguridad empresarial en 2019, se tardan 197 días en identificar a un atacante en la red. Es un dato medio global sobre el MTTD (Mean Time to Detect and Discover), un KPI que caracteriza el tiempo de respuesta ante incidentes IT. Este informe también habla del MTTR (Mean Time To Resolve), que es de nada menos que 266 días a nivel global. Ambos KPIs caracterizan, a su vez, la eficiencia del SOC corporativo.

La plataforma construida por Cytomic contempla todas las capas posibles dentro de la seguridad empresarial, aunque se puede descomponer en dos apartados fundamentales: la detección de las amenazas y la respuesta ante ellas para proteger todos los “assets” conectados de la empresa como dispositivos móviles, puestos de trabajo, servidores y entornos virtuales.

En este esquema podemos ver cómo Cytomic se integra con los sistemas de seguridad corporativa existentes de un modo elegante y funcional. Por un lado, tenemos Orion, el producto de Cytomic orientado a la detección proactiva de amenazas, incluyendo las de tipo malwareless y Living off the Land (LotL), y por otro tenemos EDR y EDPR que entran dentro de los escenarios de protección de endpoints.

La plataforma de Cytomic usa un modelo cloud, donde la conexión con los assets empresariales se lleva a cabo mediante agentes ligeros y sensores EDR (Endpoint Detection and Response). Gracias a la versatilidad de la que dispone la solución Orion, permite integrar una práctica de Threat Hunting respetando los procesos que tenga el cliente ya desplegados dentro de su SOC y maduros, donde Orion entrará a formar parte de una integración por ejemplo con su solución de monitorización de seguridad, de forma que esto permitirá a las organizaciones mejorar en su práctica de monitorización de seguridad y por supuesto mejorarla considerablemente.

De este modo, la telemetría de la corporación se puede llevar al SIEM de la organización de un modo unificado sin necesidad de incluir una pieza más dentro del modelo de seguridad establecido por la organización como una pieza inconexa. Por si fuera poco, la solución de Orion ofrece una potente APIs, la cual permite intercambiar información e integrarse con herramientas SOAR (Security Orchestration, Automation and Response) o el MISP (Malware Information Sharing Platform) además del SIEM, permitiendo realizar actividades de respuesta de playbooks para el caso de soluciones SOAR por ejemplo. El uso de los Jupyter Notebooks también facilita la integración con otros sistemas dentro del stack del SOC, al tiempo que facilita la construcción de una base de conocimiento que crece al tiempo que se detectan, analizan y reportan incidentes de seguridad.

Orion es una de las primeras propuestas dentro de esta unidad de negocio de Cytomic. Es un producto perteneciente a la categoría de Threat Hunting & Incident Response Solution TH&IR, una de las tendencias más sólidas en el mercado de la seguridad empresarial.

Lo que hace (uno de los aspectos) que sea una tendencia tan bien recibida es la proactividad a la hora de detectar brechas de seguridad potenciales o amenazas que ya están sucediendo sin ser detectadas por los métodos tradicionales donde se incluyen firewalls, sistemas de sandboxing o SIEM (System Information and Event Management). En última instancia, todos ellos dependen de que se detecten eventos sospechosos, lo cual depende de que esos eventos sucedan de un modo más o menos evidente, eso sí. Con todo, son sistemas que funcionan “a toro pasado”, usando una expresión coloquial.

Threat Hunting, por el contrario, es un concepto más difícil de definir. Según Gartner (https://blogs.gartner.com/pete-shoard/whats-threat-hunting/) el Threat Hunting no puede considerarse un servicio, sino un proceso que guía a los responsables de los SOCs para que piensen “fuera de la caja” (outside de box). Es decir, es una herramienta que permite detectar situaciones que, sin llegar a generar eventos que comprometan la seguridad de un modo tangible, suponen un riesgo potencial o cinético para la empresa. El Threat Hunting está indicado en escenarios donde las amenazas de seguridad no están relacionadas con malware alguno (malwareless), lo cual supone convivir durante semanas o meses con amenazas invisibles para los métodos de detección tradicionales. Las propuestas que, como Orion, se centran en el uso del Big Data y la IA para detectar amenazas son capaces de identificar ataques de tipo LotL (Living off the Land) donde los atacantes usan recursos como los lenguajes de scripting, para llevar a cabo operaciones como el robo de información. Estos lenguajes de scripting no son maliciosos, por lo que si un atacante gana acceso a un editor, podría crear rutinas aparentemente legales para llevar a cabo operaciones maliciosas sin ser identificado por los sistemas tradicionales de protección corporativa.

Además, los riesgos no solo vienen desde fuera: además de las aplicaciones y recursos “oficiales” de la organización, los propios usuarios dentro de las organizaciones pueden ser una fuente potencial de amenazas, voluntariamente o incluso involuntariamente. Las cifras recopiladas por los analistas no dejan lugar a dudas: según Accenture, en 2019 hubo un incremento del 11% en los incidentes de Seguridad. El coste total global del cibercrimen en 2019 fue de 550.000 millones de euros según datos de CSIS. El gasto global en ciberseguridad se incrementó en 100.000 millones de euros en 2019, según datos de IDC. Según datos de la Universidad de Maryland, hubo una media de 2.244 ataques diarios en 2019.

Tradicionalmente, las prácticas de Threat Hunting han sido desempeñadas por equipos específicos dentro de los departamentos de ciberseguridad. El problema, es que estos equipos no están dedicados 24x7 a la identificación de irregularidades fuera del ámbito de los eventos e incidentes detectados por los sistemas de seguridad tradicionales.

Es un trabajo que consiste en examinar logs de actividad en los equipos de la red, así como irregularidades en el uso de ciertos procesos legales en los equipos, que indicarían que “algo no va bien”, con el consiguiente análisis y evaluación de riesgos. Si solo se hace de forma discrecional, cuando los equipos quedan liberados de otras tareas, el riesgo de no detectar amenazas es elevado. Y las consecuencias pueden ser costosas.

Cytomic Orion lleva esta tarea del Threat Huntig al espacio del Big Data y la IA mediante el uso de tecnologías cloud que recopilan y analizan los datos provenientes de registros de actividad capturados por los agentes instalados en los equipos y dispositivos de la red corporativa. Además, gracias al uso de sistemas de análisis basados en Jupyter Notebooks es posible reutilizar los resultados provenientes de la ingente cantidad de conocimiento adquirido a partir del análisis de más de 70.000 millones de eventos cada semana, o más de 10.000 millones al día, con 3 billones de eventos en el Data Lake de Cytomic, con 2 millones de binarios nuevos clasificados a la semana y 300.000 binarios clasificados al día. Esta ingente cantidad de datos, se traduce en 365 retenciones de eventos al año, lo cual da una idea de la precisión de los sistemas de hunting de Cytomic Orion.

La elección de los Jupyter Notebooks como soportes para las investigaciones a partir de las ingentes cantidades de datos que se manejan en Cytomic Orion permite automatizar el proceso de Threat Hunting con las investigaciones precreadas en estos Notebooks.

Cytomic ofrece diferentes modalidades de comercialización para sus soluciones. Una de ellas contempla el Threat Hunting como servicio para las empresas, donde un equipo de profesionales de la ciberseguridad se encarga de reportar a la organización las posibles amenazas a las que se puede enfrentar a partir del análisis realizado con Orion, así como ofrecer recomendaciones de actuación para el equipo TI de la empresa. Este servicio gestionado es capaz de identificar qué equipos han sido comprometidos así como las técnicas utilizadas, sin olvidar la detección de malas prácticas o configuraciones poco seguras. El Data Lake de eventos cubre 365 días de registros y este equipo de operaciones bajo el paraguas del Threat Hunting gestiona las anomalías de comportamiento (TTPs o Tactics, Techniques and Procedures de los atacantes) así como los Indicadores de Ataque (IoA o Indicators of Attack).

Existen diferentes modalidades de servicios gestionados, pensados para satisfacer diferentes necesidades dependiendo de cómo estén dimensionados los equipos de seguridad dentro de las propias empresas y organizaciones.

Cytomic ofrece soluciones orientadas a amplificar las capacidades de los Centros de Operaciones de Seguridad de las empresas. Los procesos de Threat Hunting se llevan a cabo 24x7 sin interrupción y con acceso a un Data Lake con 365 días de eventos registrados. La base de conocimiento incluye el mapeo de cientos de TTPs del Framework ATTA&CK de MITRE con búsqueda de IoCs en tiempo real y con carácter retroactivo. Además, las investigaciones que se realizan sobre los datos, son de gran alcance y pueden seguirse de un modo claro y guiado a partir de las herramientas de la consola de investigación. Los Jupyter Notebooks permiten automatizar las investigaciones pre-creadas y las APIs de integración facilitan que Cytomic Orion intercambie información y procesos con las herramientas on premise del SOC. Lo mismo para los conectores. Todo ello ofrece a las empresas la oportunidad de mejorar las métricas de ciberseguridad, lo cual se traduce en un ahorro de costes. Cuanto antes se detectan las amenazas, menor impacto tendrá en la organización tanto en la operatividad de los equipos como en el coste económico derivado de una intrusión.

El TCO de la solución se reduce considerablemente gracias a su identidad cloud. No se necesita instalar ninguna infraestructura on premise, más allá de configurar unos agentes muy ligeros en los equipos y dispositivos de la corporación. El despliegue de la solución se lleva a cabo en un tiempo mínimo, y la integración con los sistemas existentes en el SOC se lleva a cabo mediante APIs y conectores bien definidos.

Además, se ofrece la modalidad de servicio gestionado, lo cual permite a las empresas decidir qué solución se adapta mejor a sus requerimientos y necesidades.

Estamos ante una propuesta de valor interesante, fácil de evaluar por parte de quienes estén interesados en la solución. Precisamente esta facilidad de despliegue y puesta a punto es a la vez una oportunidad y un reto para Cytomic, ya que los clientes pueden comprobar en muy poco tiempo si soluciones como Orion mejoran la operativa del SOC existente.

Orion se posiciona como una solución de Threat Hunting completa, potente y eficiente, con múltiples posibilidades de despliegue, tanto con otras soluciones para la gestión de amenazas en los endpoints como independiente e integrada con las soluciones existentes.