En esta última semana se nos presentó un evento que nos puso en movimiento a la mayoría de los responsables de ciberseguridad, sobre todo en los SOC, Security Operations Center, y que felizmente, y puede experimentar la solidaridad y ganas de ayudar de las comunidades hacker de diferentes partes del mundo con las que tengo el gusto de participar. Zerologon es una vulnerabilidad de criticidad muy alta, como no se veía en los últimos tiempos. Afecta a sistemas Windows Server, y como permite escalar privilegios en el servicio de autenticación de Netlogon, se le dio ese nombre como combinación léxica al tratarse de un zero day. Y el motivo de tanto movimiento entre los profesionales es porque su puntuación de severidad es la máxima, 10 por el propio Microsoft.

El punto es que cuando, al menos a mí se me asignó el evento por parte del CERT, de inmediato me puse a realizar mi investigación, a buscar información en los sitios que solemos compartir con los colegas, a leer los primero papers que se conocieron, y a armar los scripts que se podían utilizar para generar tus primeros tests. Todo éste trabajo tuvo resultados en poco tiempo, tomando en cuenta el tipo de amenaza y la prisa por obtener resultados. Bueno, esto fue posible porque hemos podido organizar una comunidad no declarada, no nombrada, los profesionales de la ciberseguridad y los hackers que emanamos de ciertos mundillos dispersos en la internet, pero que la curiosidad y las ganas de compartir con pares de otros puntos del globo lo ha hecho una realidad.

Esto me trajo una especie de confirmación de que, en el momento actual, el realizar trabajo de investigación, de inteligencia, si se sabe dónde buscar y con quién acceder o preguntar, se puede avanzar o al menos, llegar a pistas más rápidamente que en tiempos pasados relativamente no muy lejanos. Y me refiero a una confirmación, porque yo soy una impulsora convencida de que el SOC moderno, debe basar su sentido operativo en trabajos de inteligencia. Técnicas como Ciber intelligence, Threat intelligence, Tactical intelligence, deber ser parte fundamental de las fuentes de información para los diferentes casos de uso de los analistas de seguridad. El tema es que hasta ahora, por criterios puramente comerciales, las técnicas de seguridad que se basan en servicios, y por servicio me refiero a aquellos donde es el especialista quien debe hacer valer su experiencia y habilidad para sacar adelante los problemas, han sido desdeñados por la industria y el propio mercado, en su insistencia por llenarnos de productos, que al final, no dejan de ser más que herramientas.

En estos días que estuvimos trabajando sobre la amenaza de Zerologon, compartí con algunas compañeras mis sentimientos y fatigas en el día a día del SOC, y algunas me preguntaban porque no automaticé con algún tipo de producto comercial el proceso para éste análisis en particular. Yo les explicaba que automatizar viene muy bien para ejecutar algunos procesos, sobre todo de gran volumen y de ciertas características, pero cuando se trata de un tema de zero day, y de ese nivel de riesgo, amerita siempre el cuidado y la atención manual del hacker. Podemos recolectar información para el SOC desde múltiples fuentes, pero la aguja en ese pajar, la perla codiciada, sólo con inteligencia y habilidad la puede extraer la experiencia del auditor.

Publicado originalmente en: https://www.linkedin.com/pulse/la-inteligencia-como-base-del-soc-actual-m4raubunt4-mondrag%25C3%25B3n/