Detrás de casi todas las alertas que recibe tu Centro de Operaciones de Seguridad (SOC) hay siempre un adversario que utiliza múltiples y complejas acciones para conseguir comprometer sus datos y conseguir acceder a su infraestructura.
En el anterior artículo veíamos como los profesionales de la ciberseguridad luchan en una batalla asimétrica por tratar de anticiparse a los incidentes de seguridad transformando la información que puede obtenerse en Internet en inteligencia que pueda articularse para tratar de anticiparse a los ataques.
No solo veíamos eso, sino que esta información puede y debe ser compartida con otras empresas y profesionales para poder luchar unidos frente al cibercrimen, y las amenazas más incipientes. Por esta razón comienzan a salir estándares para el intercambio de indicadores de compromiso, que serán usados por plataformas CTI (Cyber Threat Intelligence).
Pero, ¿qué plataformas podemos usar para almacenar, clasificar y gestionar estos indicadores de compromiso? Vamos a verlo en los siguientes apartados.
Plataformas y herramientas de colaboración
A lo largo de estos artículos dedicados a la inteligencia de amenazas, se ha demostrado que la colaboración entre profesionales del sector es fundamental y que, gracias a la puesta en común del conocimiento de muchos de estos, es posible acceder a una gran cantidad de información estructurada que pueda ayudar a las organizaciones a frenar el impacto de las ciberamenazas.
Muestra de ello, puede ser el documento de Google Docs, donde una decena de profesionales han realizado un arduo trabajo para clasificar información sobre las APT’s más relevantes de los últimos años, clasificadas por países, actores, etc.
Plataformas de Threat Intelligence
Para el despliegue de indicadores de compromiso, existen una gran cantidad de plataformas, tal y como refleja el informe de la Agencia Europea de Seguridad de la Información (ENISA) en su documento “Exploring the opportunities and limitations of current Threat Intelligence Platforms”.
El estudio recoge los esfuerzos de este organismo por identificar aquellas plataformas y soluciones existentes, así como los formatos y herramientas de intercambio de información.
La combinación de herramientas y personal cualificado
Las plataformas de Threat Intelligence pueden convertirse en un componente fundamental para la ciberseguridad de una organización si los datos que proporciona ésta se combinan con los procesos, herramientas y tecnologías que proporcionan los centros de operaciones de seguridad (SOC).
Estos centros, no solo disponen de la información relevante para la organización, sino que, además, disponen de información contextual de lo que sucede en Internet. La combinación de estas tendencias con la información específica de la organización se convierte en información muy valiosa para la organización, ya que pueda mostrar como avanzan las tácticas, técnicas y procedimientos (TTP’s) de los ciberdelicuentes, y esta información puede ser aplicada a proporcionar mejores medidas de detección y defensa a nuestros sistemas.
Análisis de plataformas de Threat Intelligence
Extraído del documento de ENISA, podemos destacar plataformas como:
| Nombre | Tipo | URL del proyecto |
| Collaborative Research into Threats (CRITs) | Open Source | https://crits.github.io |
| Collective Intelligence Framework (CIF) | Open Source | http://csirtgadgets.org |
| GOSINT | Open Source | https://github.com/ciscocsirt/GOSINT |
| MANTIS | Open Source | https://github.com/siemens/django-mantis |
| MISP | Open Source | http://www.misp-project.org/ |
| MineMeld | Open Source | https://github.com/PaloAltoNetworks/minemeld |
| Yeti | Open Source | https://yeti-platform.github.io/ |
Aunque, como se puede ver en la tabla anterior, existen una gran cantidad de plataformas de Threat Intelligence, queremos detenernos y hacer especial hincapié en a analizar un poco más en profundidad MISP, por ser una de las que mayoritariamente se están convirtiendo en la herramienta estándar para el intercambio de información.
MISP (Malware Information Sharing Platform)
MISP (Malware Information Sharing Platform) es, quizás, la herramienta más utilizada para la compartición de IOCs (Indicadores de compromiso), desarrollada por CIRCL, el equipo de defensa de Bélgica y la OTAN (NIRC). Esta herramienta, ha conseguido a su alrededor una inmensa comunidad de empresas y organismos que colaboran con un objetivo común: compartir indicadores (IOC) para permitir ampliar las capacidades de protección, así como, mejorar y establecer mejores acciones preventivas y de detección frente a ciberataques.
El objetivo de MISP es incentivar el intercambio de información de forma estructurada entre empresas y profesionales de 
ciberseguridad. La plataforma MISP no solo dispone de los elementos necesarios para facilitar el intercambio de información, sino que también dispone de mecanismos para el consumo de información proveniente de otras fuentes, así como conectores con plataformas SIEM e IRP (Incident Response Platforms).
Otra de las ventajas de usar esta plataforma reside en la capacidad de establecer una arquitectura de federación. Esto permite organizar mediante una estructura cómo se comparte la información de forma específica para sectores de interés como pueda ser el sector eléctrico, bancario, etc.
El uso de herramientas como MISP para el intercambio de información, se traduce en una mejora de las capacidades de detección y, por tanto, una detección más rápida de los ataques y de aquellos indicadores que ayuden a los equipos de respuesta a prevenir, reduciendo al mismo tiempo los falsos positivos.
Más adelante, en otros artículos hablaremos en detalle de esta plataforma, de cómo se instala y del ecosistema existente alrededor del análisis y compartición de información.
Conclusión
Llegados a este punto, todos tenemos claro que la inteligencia es una línea de trabajo clave para intentar conseguir cierta anticipación frente a las ciberamenazas. Muchas organizaciones tratan de acaparar datos que, desgraciadamente, luego no tienen medios o tiempo para procesar. Eso, junto a que, como hemos visto a lo largo de estos artículos, no siempre es sencillo compartir información, carecemos de un léxico común y de un estándar claramente definido y aceptado por la comunidad, hacen que esta disciplina sea complicada de llevar a cabo.
El uso de herramientas, de listas de reputación, blacklist, o similares, por si solas no proporcionan inteligencia. Los datos en bruto no dan la información necesaria para anticiparse frente a las amenazas, no hay fuentes de datos “inteligentes”. Como en cualquier campo de la inteligencia, la información requiere de un tratamiento por seres humanos. Aunque hoy en día, vivimos en un mundo donde la automatización está presente en casi todos los procesos y, a pesar de que disponemos de gran cantidad de herramientas que nos ayudan a procesar, visualizar, ordenar y comparar datos, siempre deben ser los analistas de seguridad los quienes, en base a su conocimiento y experiencia, doten a esa información de inteligencia.
Pero no queremos finalizar el artículo con un mensaje negativo: si bien hay muchas dificultades, como se ha demostrado, creemos que los próximos años nos depararán grandes alegrías, porque como se ha demostrado en los grandes incidentes de seguridad, la comunidad de expertos de ciberseguridad está muy unida y con muchas ganas de colaborar-
Bibliografía y referencias:
- https://ciberseguridad.blog/los-mejores-recursos-en-threat-intelligence/
- https://cybercamp.es/sites/default/files/contenidos/videos/adjuntos/cybercamp2017-threat_intelligence_desde_que_es_hasta_como_lo_hago_wiktor_nykiel._.pdf
- https://www.blueliv.com/downloads/SIC_Socializacion_lucha_contra_ciberamenazas_Blueliv.pdf
- https://www.fwhibbit.es/misp-introduccion-e-instalacion
- https://www.gurudelainformatica.es/2016/06/plataforma-para-crear-un-soc-enfocado.html
- https://www.certsi.es/blog/indicadores-de-compromiso
- https://ciberseguridad.blog/los-mejores-recursos-en-threat-intelligence/
