La Pirámide del Dolor en Ciberseguridad y Blockchain

0
80
La Pirámide del Dolor en Ciberseguridad y Blockchain

Por Dino EtcheverryCEO – Analista de datos y Arquitectura Blockchain en Fidestamp.

La Pirámide del Dolor fue creada por David J. Bianco en 2013, como un modelo para describir la dificultad que enfrenta un atacante cuando ciertos indicadores de compromiso (IoCs) se eliminan o se bloquean. La pirámide clasifica los tipos de indicadores, desde los más fáciles de evadir para los atacantes (como hashes de malware) hasta los más difíciles (como tácticas, técnicas y procedimientos o TTPs). A medida que las organizaciones eliminan indicadores más elevados en la pirámide, generan más “dolor” para el atacante, forzándolo a realizar esfuerzos adicionales.

¿Qué es la Pirámide del Dolor?

La pirámide clasifica seis niveles de indicadores de compromiso, desde los más fáciles de evadir hasta los más difíciles:

1. Hashes (Fácil de evadir): Son identificadores únicos de archivos maliciosos. Cambiar el hash de un archivo es trivial para un atacante.

2. Direcciones IP: Las IP maliciosas se pueden bloquear, pero los atacantes pueden cambiarlas fácilmente usando proxies o VPN.

3. Dominios y URLs: Son algo más difíciles de cambiar, pero aún manejables para los atacantes.

4. Host Artifacts: Son huellas que deja el atacante en los sistemas comprometidos.

5. Red Artifacts: Pistas de tráfico de red que pueden revelar actividad maliciosa.

6. TTPs (Difícil de evadir): Tácticas, Técnicas y Procedimientos utilizados por los atacantes. Son patrones más profundos y costosos de cambiar, por lo que atacarlos genera el mayor “dolor”.

Cómo Usar la Pirámide del Dolor en una Startup de Ciberseguridad

Para que una startup maximice la seguridad y optimice sus procesos de respuesta ante amenazas, la Pirámide del Dolor puede guiar sus decisiones. A continuación, explico cómo aplicar cada nivel de la pirámide junto con blockchain, mediante casos de uso prácticos.

1. Hashes: Agilizando la Detección con Blockchain

Los hashes de archivos son útiles para identificar malware conocido. Sin embargo, son fácilmente cambiables por los atacantes. Una startup puede utilizar blockchain para registrar y compartir hashes conocidos en una red pública, como Ethereum, para que los equipos de seguridad verifiquen la integridad de archivos.

Caso de uso:

•Una startup desarrolla un servicio que registra hashes de archivos maliciosos en IPFS y blockchain. Cuando se detecta un archivo sospechoso, su hash se compara contra esta lista descentralizada, permitiendo una detección rápida y sin depender de un único servidor.

2. Direcciones IP: Validación en Tiempo Real

El bloqueo de direcciones IP es común, pero los atacantes las cambian fácilmente. Para reducir este problema, puedes usar smart contracts en Polygon que almacenen direcciones IP maliciosas. Cada nodo en la red verifica y reporta nuevas direcciones detectadas, lo que facilita compartir rápidamente las IP de los atacantes.

Caso de uso:

•Una startup integra una API que envía direcciones IP sospechosas a un contrato inteligente en Polygon. Las transacciones son baratas y rápidas, lo que permite actualizar la lista global de direcciones maliciosas en tiempo real sin incurrir en altos costos.

3. Dominios y URLs: Identificación Descentralizada

Aunque cambiar dominios es más complicado que las IPs, los atacantes siguen empleando dominios maliciosos. Para mejorar la identificación de dominios maliciosos, una solución sería crear una red blockchain donde las empresas compartan listas negras de dominios. Esto permite actualizaciones rápidas y seguras.

Caso de uso:

•La startup usa EOSIO para registrar en blockchain listas de dominios maliciosos. Estos registros son públicos, y cualquier empresa puede acceder para bloquear estos dominios en su infraestructura.

4. Host Artifacts: Identificación Eficiente

Los artefactos en los sistemas comprometidos (como archivos maliciosos o registros de configuración alterados) son útiles para detectar infecciones. La blockchain puede almacenar estos artefactos como huellas, y las startups pueden verificar la integridad de sus sistemas comparando los artefactos con los registros de blockchain.

Caso de uso:

•Un script automático basado en Hyperledger Fabric recopila artefactos de hosts y los registra en una red privada blockchain. Cuando se detecta un artefacto malicioso, la startup puede compararlo rápidamente con la blockchain para verificar su autenticidad.

5. Red Artifacts: Protección en Tiempo Real

Los artefactos de red incluyen patrones de tráfico sospechoso, como intentos de escaneo o conexiones a servidores de comando y control. Al usar blockchain, puedes registrar patrones de tráfico malicioso para mejorar la identificación.

Caso de uso:

•Una startup integra Suricata (una herramienta de monitoreo de red) con IPFS y blockchain. Cuando se detecta un patrón sospechoso, se sube a IPFS y se registra el hash en blockchain. Otras empresas pueden acceder y verificar estos patrones para fortalecer sus propias defensas.

6. TTPs (Tácticas, Técnicas y Procedimientos): Dificultad para el Atacante

Las TTPs son los comportamientos específicos de los atacantes que son más difíciles de cambiar. Si una startup detecta TTPs, puede registrarlos en blockchain como evidencia y compartirlos de forma descentralizada con otras empresas de ciberseguridad, evitando que el atacante reutilice esas técnicas sin ser detectado.

Caso de uso:

•La startup utiliza Optimism, una solución de capa 2 en Ethereum, para registrar TTPs conocidos. Al ser información compleja, la startup usa un sistema de votos descentralizado, donde los expertos validan la autenticidad de las TTPs antes de su registro final.

Cómo Blockchain Acelera la Pirámide del Dolor

La incorporación de blockchain en cada nivel de la Pirámide del Dolor permite a las startups de ciberseguridad optimizar la velocidad, transparencia y seguridad de sus procesos. Mediante el uso de contratos inteligentes, redes descentralizadas y el almacenamiento de datos distribuidos como IPFS, estas empresas pueden compartir, validar y actuar sobre información crítica de amenazas de manera eficiente y sin depender de un único servidor o base de datos centralizada.

Ventajas para Startups:

Reducción de costos: Usar soluciones de capa 2 (Polygon, Optimism) permite registrar eventos de seguridad en la blockchain a un costo muy bajo.

Seguridad mejorada: Los datos de amenazas registrados en blockchain son inmutables y están siempre disponibles.

Colaboración descentralizada: Permite la creación de una comunidad colaborativa donde las startups pueden compartir información crítica sin depender de un tercero.

Conclusión

Para las startups de ciberseguridad, la combinación de la Pirámide del Dolor con blockchain ofrece un enfoque eficaz para mitigar y prevenir ataques. Al integrar blockchain en los procesos de identificación de amenazas, puedes compartir información crucial, verificar datos de manera rápida y mejorar la resistencia ante los ataques de manera más eficiente y segura.

Fuente: pyramidofpain.com

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"