Estimados amigos de Inseguros !!!
Hoy toca el control 10.7 del CIS, y aquí hablamos de lo que de verdad marca la diferencia en antimalware moderno: detección basada en comportamiento. Porque una cosa es el antivirus “de firmas” de toda la vida, y otra cosa es un EDR bien puesto, bien afinado, y con las detecciones de comportamiento ACTIVAS. La idea es simple. Una firma es: “este binario es malo”. Pero un binario se cambia. Se empaqueta distinto. Se ejecuta fileless. Se carga en memoria. Se hookea. Se disfraza. Y de repente la firma ya no sirve. Por eso el control 10.7 insiste en comportamiento.
Y aquí viene el hype que veo en conferencias continuamente. Sale alguien diciendo:
“He hecho bypass del EDR”.
Y te enseña el Mimikatz ejecutándose. Vale. Pero ahora haz un dump de LSASS. O haz un DCSync. Ahí es cuando salta el EDR. ¿Por qué?
Porque ejecutar “la herramienta” no es el objetivo. La herramienta es el medio. Lo que importa es la fechoría. Muchas veces un EDR no te pilla la ejecución inicial, pero te pilla cuando haces algo raro. Te deja arrancar algo… y luego dice:
¿Por qué estás tocando LSASS?
¿Por qué estás accediendo a ring 0?
¿Por qué estás haciendo esto desde una carpeta temporal?
¿Por qué estás haciendo comportamiento de dumping?
¿Por qué estás intentando replicar credenciales?
(aprende todo esto en nuestro curso de Seguridad Microsoft xD)
Ahí está el valor real. Y esto es importante porque hay gente que se compra un EDR “top”… y luego lo desactiva por dentro.
Porque “molesta”.
Porque “da falsos positivos”.
Porque “el empleado se baja algo y lo marca como malo y era bueno”.
Y yo siempre digo lo mismo. Si un usuario se baja algo de internet y te salta el EDR… ALÉGRATE. Que sí, puede ser falso positivo. Pero puede ser que gracias a esa capa te haya parado 20 ataques de verdad. Y aquí el 10.7 te lo dice sin rodeos: usa antimalware moderno, de nueva generación, con comportamiento. Otro ejemplo práctico para entenderlo. Tú puedes irte a VirusTotal, subir un binario, y ver que no lo detecta casi nadie.
Incluso se pueden generar binarios “indetectables”. Vale. ¿Y luego qué? Luego ese binario va a intentar hacer cosas. Y cuando empieza la cadena, el EDR empieza a ver la película. Porque un ataque real no es “un paso”. Un ataque real es una kill chain entera. Entra, se mueve, enumera, se oculta, escala, toca credenciales, pivota, filtra, persiste…
Y esto conecta con otra idea del mundo identidad: si alguien se autentica y a la media hora aparece actividad desde otro sitio imposible, eso es comportamiento. Imposible travel, user risk, señales de token… Si no tienes esas señales, no lo ves. Si las tienes, te canta.
En fin. CIS 10.7, resumido sin humo:
Antimalware basado en comportamiento.
Compra lo mejor que puedas.
Y, sobre todo, NO lo capes por “comodidad”.
Y si estás aplicando Controles CIS con mentalidad de empresa, en www.seguridadsi.com tienes la academia y los cursos para profesionales.
Gracias por leerme !!!
