Cada vez se habla más de las soluciones EDR, como una de las herramienta «clave» para la detención eficaz de incidentes de seguridad.

Habitualmente, tendemos a recopilar logs en nuestras herramientas SIEM, de los firewall perimetrales, de los directorios activos, herramientas antispam, proxys, etc…

Pero… Y de los endpoint, tradicionalmente la respuesta sería el antivirus o incluso cualquier solución de protección del endpoint, es decir la actividad maliciosa o ficheros maliciosos que ha detectado el antivirus en una maquina. Pero… Y las amenazas que no detecta, ¿que pasa con ellas?

Habitualmente cada ataque, ya sea por malware o cualquier otro vector de ataque, suele dejar un rastro en alguno de los dispositivos comentados anteriormente(accesos al puerto 445, conexiones hacia IPs sospechosas, etc…), no obstante y teniendo la gran suerte(cosa que no suele ser así) de que se tiene una trazabilidad completa, llegaríamos a determinar que el ataque se ha producido o se esta produciendo en un endpoint(algún pc, portatil o servidor).

Resultado de imagen de malware image

Ahora bien,  no sabemos que es lo que esta sucediendo en ese endpoint, por lo que tendríamos que realizar un analisis forense sobre el para poder determinar que es lo que ha pasado.

Más importante aun es conocer si ha afectado a mas equipos, a pesar de tener una trazabilidad completa con los sistemas que hemos comentado antes, desconocemos totalmente que es lo que sucede en ese preciso momento en cada endpoint.

Como actuaríamos, pues igual análisis forense a todos los equipos, con el inconveniente que eso lleva, y sobre todo teniendo que «parar» la actividad de la compañia para asegurar que la amenaza esta controlada.

Imaginaros este mismo escenario, en el más habitual de los casos que es no tener una trazabilidad completa… Un desastre y un gran esfuerzo para determinar que puede estar sucediendo.

¿Como solventar de una forma más dinámica esta problemática?

Voala aparecen los EDR, con este tipo de sistemas podremos saber que es lo que esta pasando en un endpoint, mucho más allá de conocer si ha sido infectado por algún virus, hablamos de trazabilidad todo lo completa que se desee: operaciones sobre los ficheros, procesos en ejecución, acciones de los procesos, y un multitud de checks más.

Con esto en la caustica anterior, además de los rastros típicos sabríamos segundo a segundo que es lo que ha ido sucediendo en la maquina para extraer los indicadores de compromisos necesarios, pero además y mucho mejor, una vez que se sepa que están haciendo «los malos» podremos ver en tiempo real si eso sucede en alguno de los otros entornos. Esto supone revolución completa, siendo mucho más rápida y mucho más limpia(o menos intrusiva)

En definitiva los EDR, son el complemento perfecto a los logs de seguridad a los que tradicionalmente estamos acostumbrados. Dicho esto tampoco son el sustitutivo a los logs de los sistemas.

Existen diferentes EDR comerciales, pero aquí vamos a centrarnos en productos open source, que podamos tocar y cacharrerar con ellos.

Ahora bien y como adelantábamos en el titulo una de las opciones a tener en cuenta es OSquery.

¿Que es osquery? Pues una iniciativa de facebook, en la que básicamente(y de aquí una gran potencia) permite consultar cualquier aspecto del servidor y del sistema operativo, como si de una base de datos se tratase, es decir mediante sentencias SQL

Es multiplataforma, por lo que funciona en diferentes sistemas operativos, aunque es cierto que las tablas disponibles varían de un sistema operativo a otro.

En la siguiente URL tenéis todas las tablas disponibles en el proyecto:

https://osquery.io/

En post posteriores veremos como instalar, las opciones de configuración y algunos ejemplos de uso para esta herramienta.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *