How I Learned to Stop Worrying about CVEs and Love Threat Intelligence (ES)

<p>In my previous job, one of my main responsibilities was related to consulting services. Most of my customers’ needs were in the field of compliance and security assessment, and one of the most frequent requests was a vulnerability assessment of their IT infrastructure. I frequently had to explain to their management what a CVE was and that ignoring them was dangerous. Their security team and I would also explain how a risk to one service was a risk for the entire business. This kind of consulting, or as one CEO called it, “translation from tech talk to business talk,” was priceless.</p><p>The business needed IT to secure the perimeter of the LAN and know where vulnerabilities were. Management felt safe knowing that there was a layer of security at the firewall level, a layer of security at the router level. They had IPS, IDS and, if the company was lucky, a SIEM and extra endpoint protection. What more could the security team ask for? This was enough to feel safe.</p><p>And then EternaBlue happened…</p><p>And Uber's data data leak happened…</p><p>And what personally affected me - and helped to understand the power of a <a href="https://www.anomali.com/resources/what-is-a-tip" target="_blank">TIP (Threat Intelligence Platform)</a> - was <a href="https://www.anomali.com/blog/analyzing-wannacry-a-year-after-the-ransomware-attack" target="_blank">WannaCry</a>.</p><p>How was it possible that these huge companies, with huge investments in infrastructure, security, compliance and personnel, could suffer this? I understand bad configurations or errors - updating is always a difficult job no matter if we are doing it for computers or network devices. But did they not recognize all these patterns in their network? I could not believe that all this could have happened at the same time.</p><p>After containing the outbreak of WannaCry at a major company in Mexico City for more than 50 hours, the next week their board requested a meeting with all of the IT staff and service providers. After hours and hours of discussion a question from the back of the room summarized everything I feared for the IT and security team: Why we could not identify this? The CEO's question to his team echoed what I thought. Despite all their precautions they were infected and affected. Why and since when?</p><p>After hours of damage from the attack, how did no one in IT security check the news sites, forums and communities? The IT community knew about this but nobody in this company reviewed this public information. And why was there a lack of attention? I knew it was because, for them, the operation took precedence over awareness and news.</p><p>It was from this moment where I personally met the power and the concept of a TIP. It was the place where I could know and see the if the IP that was scanning was risky or not, if it was associated with a known attacker, or if this IP was used as part of a TTP. I could get the context to make a decision. This was something so simple, like a CMDB of threats. It was a place where anyone could search and find what could affect them. And not only could I do all of the above, I could <a href="https://www.anomali.com/resources/sharing-threat-intelligence" target="_blank">share information</a> too. Brilliant, simple and efficient.</p><p>Surely most of my customers would like to have this technology as soon as possible, but the answer when I asked and explain the benefits of a TIP was a resounding: NO. “It’s not something I'm interested in,” they’d respond. “Why pay for another technology?”. Even a CISO told me, “I prefer to insure my position, that’s why I’m purchasing a ‘protection’ on the value of the company IP and information.” His estimated guess was that the value of the company’s assets exceeded millions of dollars, and yet the insurance for a leak of information or damage to his infrastructure by an attack was quoted and covered by a policy that did not exceed $150,000 thousand dollars.</p><p>I knew a TIP was more than a short-term solution - it was knowing what could affect you today and tomorrow, as well as how the past could affect your present. But in the end, almost all of my clients preferred to know that CVE could affect them, and which ones were high, medium or low. They also wanted to know how this could affect their regulatory compliance report.</p><p>The attack on the interbank payment system (SPEI) of the Central Bank of México (Banxico) opened the eyes of the people to the need of a platform that could indicate risk and provide indicators. If an authority with the means, money and capacity of the bank could not avoid the vulnerability, what could be expected from a smaller business? Fortunately, little by little some companies are changing their way of thinking and realizing the need to think outside the perimeter.</p><p>When I saw my first demo of <a href="https://www.anomali.com/products" target="_blank">Threatstream</a> in 2018 and later experienced it as a customer I realized it was a much more advanced solution than I had ever imagined. I could qualify the risk of an indicator, learn the type and the classification of the indicator, the source and the evaluation of the source, etc. I held a lot of power in my hands. I could transform data into information and from there to intelligence all with a few clicks. The platform connected links and references between actors and their methods, their indicators, compromised information, <a href="https://www.anomali.com/blog/shedding-some-light-on-the-dark-web" target="_blank">deep or dark web</a> searches. It integrated indicators with solutions and security technologies and information sources. The platform was also easy to use, which helped organizations to better know what information they should protect. Everything was there. I understood the flow process and the GUI was easy on the eye. It was a world class solution.</p><p>My experiences in my career lead me to believe that no matter how good we are or how many layers of security we have, no matter how many regulations exist, or how many courses and trainings we have, we will not always be safe. At some point someone will find some way to compromise us. But an indicator will be there to help us to check if we are compromised or are about to be, so why not share and receive indicators from a single platform? A risk indicator can be as useful or alarming as a CVE. I do not suggest that we leave the CVEs model behind but rather visualize them from a platform. Then we can know who and how they are using them and how they can be associated with actors, bulletins, incidents or TTPs, all within a single portal. For someone in this field, it’s an immensely satisfying experience that’s worth trying. You could live without a TIP but it costs nothing to try one, and ThreatStream is always available for a test drive.</p><p><em>In the end, the only thing that is at risk is your information.</em></p><p> </p><p style="text-align: center;"><a class="button button-xlarge button-rounded button-blue-grad" href="https://www.anomali.com/request-a-demo" target="_blank">Request a ThreatStream Demo</a></p><p> </p><h2 style="text-align: center;"><br/> Cómo aprendí a dejar de preocuparme por CVE y ame la inteligencia de amenazas</h2><p>Cuando me dedicaba en mi anterior vida a servicios de consultoría en la mayoría de los casos me enfoca a que los clientes siempre tuvieran un análisis de vulnerabilidades como mínimo, es más en algo como PCI era obligatorio, después tener que explicar lo que era un CVE y enseñar a los altos mandos porque un CVE era peligroso, se sentían más seguros de contar con esta información. En otras palabras, el conocer y asegurar que el perímetro de la LAN estuviera protegido era suficiente, una capa a nivel firewall, una capa de seguridad a nivel router, mi ips e ids y si la compañía tenía suerte un SIEM, además los endpoints tendrían protección, ¿qué más podría pedir? Esto era suficiente para que alguien se sintiera seguro.</p><p>Y EternalBlue sucedió…</p><p>Y la fuga de datos de datos de Uber sucedió….</p><p>Y lo que personalmente me afectó -y ayudó a comprender el poder de un <a href="https://www.anomali.com/resources/what-is-a-tip" target="_blank">TIP (Threat intelligence plataform)</a>- fue <a href="https://www.anomali.com/blog/analyzing-wannacry-a-year-after-the-ransomware-attack" target="_blank">WannaCry.</a></p><p>¿cómo era posible que estas compañías enormes, con inversiones millonarias en infraestructura, seguridad, personal y con cumplimientos de los estándares reconocidos por la industria sufrieran esto?</p><p>Entiendo malas configuraciones, entiendo errores de configuración, entiendo que actualizar estaciones de trabajo es complicado, ¿pero no reconocer todos estos patrones en tu red?</p><p>No podía creer que sucediera esto, después de combatir y contener el caso para una importante compañía de la ciudad de México por más de 50 horas, en una reunión de trabajo con directores prácticamente al final la<br/> pregunta desde el fondo de la sala resumía todo lo que temía por el equipo de IT y de seguridad: ¿porque no identificamos esto? La pregunta del CEO a su equipo simplificaba lo que yo mismo pensaba:</p><p>¿Porque a pesar de todo fueron vulnerados? ¿Porque después de horas de publicarse el ataque nadie revisó los sitios de noticias?, la comunidad de IT sabia de esto, pero nadie revisó esta información pública que estuvo ahí por horas. Porque la operación tiene precedencia.</p><p>Fue a partir de aquí donde personalmente conocí el poder y el concepto de TIP como el lugar donde por ejemplo podía saber y ver la ip que me escaneaba era riesgosa o no, si era asociada a un ataque ya conocido, donde te atacaban, si existía un contexto para tomar una decisión. Esto era algo tan sencillo en idea como una CMDB de amenazas un lugar donde podrías buscar y encontrar lo que te podía afectar, (con algo llamado Indicadores de Compromiso “IOC” ), pero no solo se podía hacer todo lo anterior, también podía compartir información. Brillante así de sencillo y eficiente me parecía todo lo que conocí.</p><p>De seguro alguna empresa tendría esta tecnología lo antes posible, y mi respuesta cuando preguntaba por eso en las auditorías era un rotundo: NO.   ¿Porque pagar por otra tecnología? Incluso un CISO me comento: prefiero asegurar mi puesto y el valor de la compañía; su estimado es que sus activos superaban en costo más de un millón de dólares, una fuga de información o daño en su infraestructura por un ataque era cubierto por un seguro que no superaba los 150 mil dólares, Mi respuesta es que sí es un seguro, pero sigues sin solucionar el tema de fondo. Y un TIP es más que una solución a corto plazo, es saber que te puede afectar hoy y mañana, además de cómo el pasado pudo afectar tu presente. Al final casi todos mis clientes preferían saber que CVE podría afectarlos y cuales eran altos, medios y bajos. Y cómo esto podía afectar su cumplimiento regulatorio. Después el ataque al sistema del pago interbancario del banco central de México (SPEI) sucedió, y esto abrió más los ojos a la necesidad de contar con una plataforma que pudiera indicar el riesgo y los indicadores, dado que, si una autoridad con capacidad y dinero como el banco central no pudo evitar la vulnerabilidad de la banca Mexicana, ¿qué capacidad se podría esperar de un negocio de menor tamaño? Afortunadamente poco a poco algunas compañías están cambiando su forma de pensar, la necesidad de pensar fuera del perímetro me ha permitido ver implementaciones de soluciones de código abierta, ideas y soluciones locales y soluciones empresariales de primera línea como Anomali Threatstream.</p><p>Conocer y experimentar Threatstream en mi primer demo en 2018 me permitió ver de primera mano que era una solución mucho más avanzada de lo que yo imaginaba.Saber el riesgo de un indicador, conocer que tipo y que clasificación del indicador, la fuente y la evaluación de la fuente...etc. Mucho poder al alcance de mis manos. Pasar de datos a información y de ahí a inteligencia todo al alcance de unos clics. Poder saber las ligas y referencias entre actores y sus métodos, sus indicadores, información comprometida, búsquedas en <a href="https://www.anomali.com/blog/shedding-some-light-on-the-dark-web" target="_blank">Deep o dark web</a>, ayudar a integrar soluciones, tecnologías, fuentes de información, todo desde la facilidad de una plataforma, que además ayudar a las organizaciones a saber qué información tienen que proteger y que deben de proteger. No importa cuántas capas de seguridad tengamos, cuantas regulaciones existan, cuantos cursos y entrenamientos tengamos en algún momento alguien hará algo o encontrara alguna forma de comprometernos …… pero siempre existirá un indicador que nos dirá si esto nos comprometerá así que ¿por qué no compartir y recibir indicadores desde una sola plataforma? Un indicador de riesgo puede ser igual de útil o alarmante que un CVE, no sugiero que dejemos de lado los CVE pero visualizarlos desde una plataforma y conocer quiénes y cómo los están utilizando, es una satisfacción tan práctica que vale la pena probarlo.  Al final lo único que está en riesgo es su información.</p>