Preámbulo
Imagine que es un desarrollador de artefactos de punto final. Luego de trabajar para garantizar la protección contra las inyecciones de shellcode convencionales o las innovaciones de ransomware, ¿cómo sabe que realmente funciona antes de enviarlo al mundo?
En primer lugar, se configura el sistema de extremo a extremo, lo que implica la configuración de varios servicios, la infraestructura, la configuración de la red, etc. Luego, ejecuta algo de malware; Los datos que recopila responden a preguntas sobre el rendimiento y la eficacia, y pueden ser un importante recurso de investigación en el futuro. Luego de pasar un día probando y recopilando sus resultados, es posible que desee ejecutar varios cientos de hashes en varios tipos de sistemas operativos y tipos de máquinas, una tarea desalentadora si se realiza de forma completamente manual.
Para automatizar este proceso y probar nuestras protecciones a escala, creamos Detonate, un sistema que emplean los ingenieros de investigación de seguridad para medir la eficacia de nuestra solución Elastic Security de manera automatizada. Nuestro objetivo es que los investigadores de seguridad solo necesiten un par de clics para probar nuestras protecciones contra el malware. (Así: clic, clic... ¡Boom!)
En este serial de publicaciones, haremos lo siguiente: - Presentaremos Detonate y por qué lo creamos - Exploraremos cómo funciona Detonate y los detalles técnicos de implementación - Describimos casos prácticos sobre cómo nuestros equipos lo usan en Elastic - Hablaremos sobre la apertura de nuestras pruebas de eficacia a la comunidad para ayudar al mundo a proteger sus datos de los ataques
¿Te interesan otras publicaciones sobre Detonate? Echa un vistazo a la Parte 2 - Into The Weeds: How We Run Detonate, donde analizamos cómo funciona Detonate y profundizamos en la implementación técnica.
¿Qué es Detonar?
En un nivel alto, Detonate ejecuta malware y otro software potencialmente malicioso en un entorno controlado (es decir, sandboxed) donde el conjunto completo de capacidades de Elastic Security está habilitado. Detonate acepta un hash de archivo (normalmente un SHA256) y realiza las siguientes acciones:
- Prepara todos los archivos necesarios para la detonación, incluido el archivo malicioso
- Aprovisiona una instancia de máquina virtual (VM) en un entorno de espacio aislado, con conectividad limitada al mundo exterior
- Espera hasta que se complete la ejecución del archivo; esto sucede cuando, por ejemplo, se encuentra un archivo de resultados de ejecución o la instancia de VM se detiene o es anterior a un tiempo de espera de tarea
- Detiene la instancia de VM en ejecución (si es necesario) y limpia el entorno de espacio aislado
- Genera un resumen de eventos basado en la telemetría y las alertas producidas durante la detonación
Los resultados de estas detonaciones se ponen a disposición del equipo con fines de investigación y desarrollo. Al posprocesar los registros, eventos y alertas recopilados durante la detonación, podemos enriquecerlos con inteligencia de terceros y otras fuentes para evaluar la eficacia de las características de protección de Elastic Security nuevas y existentes.
¿En qué nos ayuda?
Medición de la eficacia
Para construir el mejor EPP del mercado, tenemos que medir continuamente la eficacia de nuestro producto frente a las últimas amenazas. Detonate se emplea para ejecutar muchas decenas de miles de muestras cada mes a partir de nuestras fuentes de datos. Las brechas en la cobertura se identifican automáticamente y se emplean para priorizar las mejoras en nuestras protecciones.
Apoyo a las protecciones existentes
Muchas de nuestras protecciones tienen artefactos asociados (como modelos de aprendizaje automático y definiciones de reglas) que reciben actualizaciones periódicas. Estas actualizaciones deben probar para cerciorarnos de que identificamos y corregimos las regresiones antes de que terminen en el entorno de un usuario.
Detonate proporciona un marco y un conjunto de herramientas para automatizar el análisis involucrado en este proceso de prueba. Al aprovechar un corpus de hashes con software bueno y malo conocido, podemos validar nuestras protecciones antes de que se implementen para los usuarios.
Investigación de amenazas
Algunos de nuestros investigadores de seguridad rastrean Internet a diario en busca de amenazas nuevas y emergentes. Al brindarles una plataforma fácil de usar para probar el software malicioso que encuentran en la naturaleza, comprendemos mejor cómo Elastic Security se defiende contra esas amenazas o si necesitamos actualizar nuestras protecciones.
Evaluación de nuevas protecciones
Además de probar las protecciones existentes, las nuevas protecciones corren el riesgo de interacciones adversas con nuestro conjunto existente de capacidades en capas. Una nueva protección puede probar fácilmente por sí sola, pero las pruebas pueden ocultar interacciones no deseadas o conflictos con las protecciones existentes. Detonate nos proporciona una forma de personalizar la configuración del Elastic Stack y las protecciones individuales para encontrar e identificar más fácilmente dichos conflictos en una etapa más temprana del desarrollo.
¿Qué sigue?
En esta publicación, presentamos Detonate y para qué lo usamos en Elastic. Analizamos los beneficios que proporciona a nuestro equipo al evaluar el rendimiento de nuestros artefactos de seguridad.
Ahora que ya sabes qué es, vamos a desglosar cómo funciona Detonate. En nuestra próxima publicación, profundizaremos en la implementación técnica de Detonate y cómo podemos crear este entorno sandbox en la práctica.