Detrás de casi todas las alertas que recibe un Centro de Operaciones de Seguridad (SOC) hay siempre un adversario que utiliza múltiples y complejas acciones para conseguir comprometer su Información y conseguir acceder a su infraestructura

La batalla entre los profesionales de la ciberseguridad, y los ciberdelincuentes es una lucha constante que, en muchas ocasiones, puede considerarse como una lucha asimétrica, incluso compararse a la caza del ratón y el gato, una batalla en la que ambas partes tratan de demostrar que son más inteligentes que la otra.

Tal y como se refleja en el SANS 2018 Cyber Threat Intelligence Survey, las amenazas cibernéticas son cada vez más complejas y técnicamente más sofisticadas lo cual posiciona a los profesionales encargados de velar por la seguridad de las empresas en clara desventaja frente a los ciberdelincuentes.

Es esta razón, la que empuja a muchas empresas empiezan a considerar la necesidad de incluir entre sus recursos, servicios y tecnologías de inteligencia de amenazas, con el claro objetivo de obtener y compartir información que les permita actuar de forma preventiva y, en algunas ocasiones, mantenerse preparados frente a ataques incipientes, tratando de anticiparse.

Pero quizás, lo primero que deberemos de hacer, será responder a la pregunta. ¿Qué es la inteligencia de Amenazas?

¿Qué es la inteligencia de amenazas?

Según la firma Gartner, la inteligencia de amenazas es el “conocimiento basado en la evidencia, incluyendo información de contexto, las implicaciones, y demás variables que giran en torno a una amenaza, peligro existente o emergente sobre los activos, y que se puede utilizar para la toma de decisiones”

Realmente el término ciberinteligencia es un término que se viene utilizando en los últimos años para hacer referencia a las labores de recolección, y análisis de datos para generar información de valor que ayude a responder de manera más ágil frente a amenazas incipientes.

En resumidas cuentas, la ciberinteligencia es utilizada actualmente para identificar información de interés para la organización, datos sensibles que puedan haber sido exfiltrados, localizar y/o identificar a posibles atacantes, detractores de marcas (haters) o alertar para prevenir un posible incidente cibernético.

Transformando información en inteligencia

Llegado a este punto, no comenzaremos por identificar herramientas o servicios. Quizás es más importante distinguir que la inteligencia de amenazas no consiste en recopilar ingentes cantidades de información, sino que, la información recopilada, sea mucha o poca, debe ser transformada en datos útiles que ayuden a nuestra organización a defenderse frente a las amenazas. Por tanto, hablaremos de cómo se convierten esos datos o silos de información, en información valiosa; al fin y al cabo, tratamos de obtener petróleo (inteligencia) de aquella información que obtenemos de diversas fuentes (feeds).

Las organizaciones aplicarán diversos procesos de información de la información que terminarán derivándose en distintos productos que pueden ser consumidos por los equipos de seguridad, entre otros podemos conocer:

  • Inteligencia Táctica: se construye en base a, recomendaciones sobre los procedimientos de respuesta a incidentes, es muy importante para la capacidad de una organización, para incrementar su postura de seguridad.
  • Inteligencia Estratégica: se construye sobre la base de conocimientos que la inteligencia táctica ha reunido; el análisis de los datos se puede utilizar para ayudar a la organización a tomar decisiones importantes, dando lugar a cambios en el proceso no técnico y consideraciones que pueden reducir en gran medida el riesgo.
  • Inteligencia Operacional: tiene como objetivo detectar de manera rápida, ágil y oportuna cualquier indicio de actividad sospechosa.

Así pues, entendamos la inteligencia de amenazas como el proceso de obtener, analizar y elaborar un producto final que permita proporcionar datos relevantes, precisos y oportunos que ayuden a los equipos de seguridad a tomar decisiones basándose en esta información.

Este producto final debe tener, entre otras, las siguientes características principales:

  • La información debe ser precisa.
  • La información debe ser relevante: podemos obtener mucha información, pero es importante seleccionar aquella aplicada a la situación y el entorno actual de la organización dejando de lado aquella información que no aporte valor.
  • La información procesada debe ser oportuna, es necesario tener la información antes de que ocurra el incidente
  • Toda la información procesada y convertida en inteligencia debe ser integrada en los sistemas de información de la organización para mejorar la toma de decisiones y acciones que ayuden a protegerse y, siempre que sea posible anticiparse al incidente.

Intercambio de información (Threat Sharing)

Observando el mercado podemos ver, un claro aumento en cuanto a proveedores de ciberinteligencia. Esto denota que es un mercado en crecimiento y, aunque existe un número cada vez mayor de proveedores, ninguno podrá garantizar que dispone del 100% de información referente a las amenazas que puedan afectar a un determinado cliente.

Por estos motivos, y tal y como se demostró el pasado año con el ransomware WannCry, la colaboración global de los centros de respuesta a incidentes de seguridad y la compartición de información es la clave para actuar de manera ágil y eficiente en la detección de ataques.  Suele ser muy habitual, que diversas organizaciones del mismo sector puedan ser atacadas por un mismo actor, por esta razón cada vez más, aumentan las redes de compartición de “indicadores de compromiso” (IOCs) para ayudar frente al cibercrimen y evitar, en la medida de lo posible, la duplicidad de esfuerzos.

Indicadores de compromiso (IOC)

Un indicador de compromiso, en adelante IOC, nos ofrece y describe información relevante para poder detectar la amenaza; la información que puede incluir va desde los elementos que participan en la actividad maliciosa, hasta los patrones de comportamiento que identifican dicha actividad, toda esa información puede ir parametrizada y categorizada.

La información contenida en los IOCs, permite compartir entre organizaciones, profesionales, etc. el comportamiento e ir actualizándolo conforme otros analistas identifiquen nuevos comportamientos, patrones, o cualquier otra información que podrá ser incluida en este IOC.

Por tanto, nos encontramos ante un elemento altamente útil para los analistas de seguridad, es un método eficaz de prevención que ayuda en las tareas proactivas de detección y gestión de incidentes. Estas “firmas” pueden implantarse en:

  • Sistemas de detección de intrusiones (NIDS ó HIDS)
  • Sistemas de prevención de intrusiones (IPS)
  • Firewalls

Pero, aunque pueda parecer sencillo, la realidad nos demuestra que el intercambio eficaz de información entre organismos, empresas y profesionales no es todo lo eficiente que debería ser. Es verdad que existen muchas iniciativas y muy buenas, abanderadas por organismos públicos, empresas privadas o incluso por profesionales del sector, aunque en ocasiones nos encontramos ante serios problemas para compartir esta información debido a la falta de un estándar común para el intercambio.

Hoy en día, coexisten varios sistemas estandarizados de intercambio de indicadores de compromiso. Casi, la gran mayoría de ellos, hacen uso del metalenguaje XML en cuyo interior podemos encontrar diversos parámetros que nos ofrecen información relevante. Algunos de los más conocidos son:

  • OpenIOC: estándar publicado bajo licencia Apache 2, que permite describer las características técnicas que identifican una amenaza.
  • Oasis Cyber Threat Intelligence: esta iniciativa está respaldada por algunos de los principales fabricantes de soluciones de seguridad del mercado. Compuesta por tres subcomités:
    • STIX: Structured Threat Information Expression
    • TAXII: Trusted Automated Exchange of indicator Information
    • CybOX: Cyber Observable Expressión
  • Maec (Malware attribute Enumeration and Charecterization): Enumeración y caracterización de atributos de software malintencionado
  • IODEF (Incident Description Exchange Format) RFC 5070
Ilustración 1 - Ejemplo de un objeto STIX
Ilustración 1 – Ejemplo de un objeto STIX

No debemos olvidar también que existen IOCs basados en reglas YARA que nos permiten buscar cadenas dentro de un fichero. Las reglas YARA son muy conocidas y ampliamente utilizadas hoy en día por muchos investigadores de seguridad, por lo que pueden considerarse como IOC en sí mismas. Pero esto daría para escribir un artículo aparte y explicarlo en detalle.

Ilustración 2 - YARA Rules: https://github.com/Yara-Rules
Ilustración 2 – YARA Rules: https://github.com/Yara-Rules

También podemos encontrar repositorios o bases de datos de IOCs como IOC BUCKET, Citizen Lab Malware Indicator, Openioc DB; plataformas alimentadas por la comunidad de usuarios, que nos permiten encontrar indicadores e información sobre amenazas para poder conseguir mejorar la seguridad de nuestras plataformas.

Hasta aquí esta primera entrega, te emplazamos a que sigas en contacto con nosotros y puedas leer la segunda parte de “Inteligencia de amenazas” donde hablaremos de plataformas y herramientas de colaboración para el intercambio de información.

Bibliografía y referencias: