El pasado 10 de diciembre, parte del equipo del SOC de Sothis estuvo en la sede del banco británico HSBC en Luxemburgo, donde está ubicada la sede de CIRCL (CERT luxemburgués). Allí tuvo lugar un workshop de Incident Response con las herramientas The Hive, Cortex y MISP, con un total de 50 asistentes, impartido por Saâd Kadhi, uno de los creadores del proyecto The Hive Project y participante como ponente en uno de los congresos más importantes del mundo, la Botconf.

El proyecto The Hive tiene como fin facilitar a los analistas al tratado de las alertas de seguridad siendo una herramienta creada exclusivamente para el sector de la ciberseguridad y apoyada principalmente por la comunidad, debido de que se trata de un proyecto totalmente Open Source, lo que le ha permitido crecer enormemente gracias a las distintas colaboraciones y, a su vez, recibir apoyos de empresas de sectores tanto privados como públicos.

Conectado a The Hive se encuentra la pieza fundamental que necesita todo analista de ciberseguridad, Cortex . Se trata de una herramienta que posee 101 analizadores de IOC (Indicadores de Compromiso) distintos, con los cuales la probabilidad de que se escape un detalle es casi nula.

Como punto de encuentro entre Cortex y The Hive se encuentra el proyecto de MISP, herramienta desarrollada íntegramente por CIRCL, que tiene como principal acometido la compartición, almacenaje y correlación de IOC de ataques dirigidos, siendo la comunidad de usuarios la que aporta inteligencia en las investigaciones, mediante las cuales se pueden generar contramedidas con el fin de evitar futuros ataques mediante movimientos similares a los que ha sufrido el usuario que lo ha aportado en el sistema.

En el inicio de la jornada, se presentaron las tres herramientas y cómo cada una de ellas encaja dentro de la operativa de un CERT o un SOC basándose en los 6 procesos estándares de Incident Response, que son:

  • Detección e Identificación
  • Contención
  • Erradicación
  • Recuperación
  • Lecciones Aprendidas o Post-Incidente
  • Preparación del incidente, como uno de los pasos más importantes.

Dos representantes de CIRCL dieron a conocer la herramienta MISP y el valor de la plena integración que tiene con The Hive y Cortex, así como la importancia de la compartición de inteligencia entre los distintos CERTS Europeos, ya que con dichas investigaciones se optimiza y prioriza la defensa de ataques que ya han ocurrido en otros centros.

Durante la comida pudimos intercambiar impresiones de las herramientas con los compañeros del sector ubicados en los distintos SOC y CERT de toda Europa, siendo el denominador común la importancia de las posibles integraciones con fuentes de entrada como un correlador y de las facilidades que dota Cortex con sus analizadores y los reports generados de forma automática a los analistas. Así también, tuvimos la oportunidad de felicitar a Saâd y a su equipo por el gran proyecto desarrollado, así como la continuidad de este.

Por la tarde, nos presentaron el RoadMap de las herramientas y las novedades que incorporarán en la próxima Release para dar paso al taller donde el ponente nos facilitó 4 ejercicios distintos.

El primero trataba en integrar las tres herramientas completamente añadiendo el MISP de prueba de CIRCL y los analizadores creados íntegramente por esta entidad. Una vez realizada dicha integración, se nos propuso la forma de compartir investigaciones, así como el filtrado por IOC dentro de las alertas generadas por el propio MISP.

En los tres últimos ejercicios se trataban escenarios reales: una alerta de una Botnet, un phishing con un zip adjunto y en él código malicioso y un Falso Positivo genérico de conexiones legítimas a un servidor ubicado en la organización. De esta forma, se nos presentó, de forma práctica, cómo debe ser utilizada correctamente la herramienta The Hive en la preparación de las investigaciones y la ejecución de los analizadores con los indicadores de confidencialidad TLP y PAP para utilizar todo su potencial.

Como resumen, fue una jornada muy enriquecedora puesto que aprendimos muchas ideas nuevas para la mejora continua del centro de operaciones de ciberseguridad (SOC) así como la concienciación de la importancia de la compartición de investigaciones, con el fin de aportar a la comunidad esa cooperación que nos puede para anticiparnos mejor ante las posibles tendencias de los atacantes.

Compartir
Artículo anteriorAnálisis de malware para Linux: WireNet
Artículo siguienteInteligencia de amenazas II
mm
Teleco de estudios pero Informático desde que nací. En contínuo aprendizaje y siempre dispuesto a escuhar a los demás para aprender. Un auténtico apasionado de las redes, la seguridad y todo lo que lleve algo de tecnología. En mis investigaciones pierdo la noción del tiempo. Auténtico fan de las charlas TED y las CON de seguridad.