Ejercicio práctico de ciberinteligencia

Ejercicio práctico de ciberinteligencia

Tiempo de lectura estimado: 12 minutos


Esta conferencia magistral pertenece al Módulo 5 “Inteligencia. Fuentes para la investigación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es dar un enfoque práctico y aplicado a la definición de ciberinteligencia.

Ciberinteligencia” hace referencia al proceso de recopilación, análisis e interpretación de cierta información recogida a través de diferentes técnicas que permite mitigar y prevenir ciberataques. No hay que confundirlo con la ciberseguridad, que es una disciplina que nos permite proteger los datos en todas sus fases.

La ciberinteligencia, por tanto, es una herramienta más para proteger la ciberseguridad. Para poder llegar a esto, hay que definir un plan de ciberinteligencia:

  1. Planificación y dirección: es esencial definir los objetivos del plan de ciberinteligencia. Debemos decidir la estrategia que vamos a seguir para obtener la información, así como el tipo de información y el equipo de destino.
  2. Recogida de información: recopilación de datos brutos que cumplan los requisitos establecidos en la primera etapa de cuantas más fuentes mejor: las internas, como los registros de eventos de red y los registros de respuestas a incidentes anteriores, y las externas, procedentes de la web abierta, la web oscura y las fuentes técnicas.
  3. Procesamiento de la información: procesamiento y explotación de los datos. Se usan diversas técnicas como el muestreo, la validación, la clasificación, el formato y la agregación. A continuación, se almacenan en un formato que permite a los analistas obtener información valiosa y generar inteligencia procesable. 
  4. Análisis riesgos y ciberamenazas: después debemos dar sentido a los datos procesados. El objetivo del análisis es buscar posibles problemas de seguridad y notificar a los equipos pertinentes en un formato que cumpla los requisitos de inteligencia esbozados en la etapa de planificación y dirección.
  5. Elaboración informes y difusión: se crea un documento con el plan de acción para determinar cómo vamos a adelantarnos a ellas. Es el momento de que el encargado de la toma de decisiones ejecute las acciones.

Se recomienda ver la masterclass en vídeo, ya que se muestran gran cantidad de ejemplos en dicho formato. Planteamos un caso de prueba sobre el que se realizará el plan de ciberinteligencia y que permitirá definir los objetivos de manera precisa. Se trata de una empresa que provee servicios a través de internet. Estos servicios son variados pero se trabaja con información personal y de carácter económico. La empresa cuenta con un equipo de desarrollo propio y con equipo de ciberseguridad. Una vez presentado el caso de prueba se comienzan a concretar las fases.

Fase de planificación y dirección

Se deben determinar los objetivos:

  • Documentarse sobre futuras amenazas en el contexto de la organización.
  • Comprobar la exposición de la organización a posibles actores de la amenaza (credenciales filtradas, datos, vulnerabilidades…).
  • Reforzar la ciberseguridad de la organización a nivel general.

Cada uno de estos objetivos obligará a seleccionar fuentes y procesos diferentes por lo que habrá que distinguirlos en el resto de fases.

Recogida de información

Para la investigación sobre futuras amenazas en el contexto de la organización se plantean:

  • Fuentes de datos (Información proveniente de los sistemas de detección de la organización, informes de terceras partes e información de sistemas honeypot)
  • Técnicas (Flujo de datos desde los honeypot hasta un sistema de ingesta existente o personalizado y lectura de papers de investigación de ciberseguridad).

Para comprobar la exposición de la organización a posibles actores de la amenaza se plantean:

  • Fuentes de datos (Repositorios de la organización, sitios para compartir texto o archivos de manera pública o privada y bases de datos filtradas).
  • Técnicas (Herramientas automáticas que permiten localizar filtraciones en repositorios de código, Scrapping de Pastebin en búsqueda de filtraciones y búsqueda de credenciales filtradas de miembros de la organización).

Para reforzar la ciberseguridad de la organización a nivel general se plantean:

  • Fuentes de datos (Información proveniente de los sistemas de detección y honeypots de la organización, reportes de análisis de ciberseguridad de la organización, fuentes públicas y privadas de IOCs, reglas de IDS y datos de análisis de malware)
  • Técnicas (Flujo de datos desde los sistemas de detección hasta un sistema de ingesta existente o personalizado, Scrapping de repositorios de IOCs, reglas IDS y ejecución de muestras de malware en Sandbox.

Procesamiento de la información

La información disponible de las fuentes de datos de la fase de recogida se procesan y se insertan en una plataforma que permita el manejo de grandes volúmenes de datos.

Debido a las características de los datos que maneja la organización se decide utilizar Elasticsearch. Se trata de un motor de analítica y análisis distribuido, gratuito y abierto para todos los tipos de datos, incluidos textuales, numéricos, geoespaciales, estructurados y no estructurados. Cuenta con algunas ventajas respecto a una base de datos relacional, como mayor rendimiento en búsquedas, soporte de datos no estructurados o que es distribuido y altamente escalable.

Análisis de riesgos y ciberamenazas

Los analistas utilizarán Elasticsearch para estudiar los datos y sacar conclusiones. Los métodos de acceso que podrían utilizar son:

  •     API de Elasticsearch para alguna automatización
  •     Plataforma de visualización Kibana
  •     Plataforma de visualización personalizada

En esta prueba de concepto se opta por Kibana por su fácil despliegue y completa integración con Elasticsearch. Además, se muestra un ejemplo de uso de Kibana con los datos de MITTRE.

Elaboración de informes y difusión

Es el producto final del plan de ciberinteligencia. Para cada objetivo marcado se podrán proporcionar unos resultados diferentes:

  • Documentarse sobre futuras amenazas en el contexto de la organización. Es un objetivo orientado a tareas organizativas pero el resultado es un informe ejecutivo orientado a la toma de decisiones en el medio-largo plazo.
  • Comprobar la exposición de la organización a posibles actores de la amenaza. Orientado tanto a gestores como al equipo técnico para que se pueda mitigar la amenaza. El resultado será un informe técnico y ejecutivo aunque también se generarán diferentes reportes al equipo de ciberseguridad de la organización. Las filtraciones y fallos encontrados durante la fase de análisis serán reportados inmediatamente. La información orientada a los gestores apunta más al medio-largo plazo.
  • Reforzar la ciberseguridad de la organización a nivel general. Orientado a la retroalimentación de los sistemas de la empresa. El resultado serán informes y flujos hacia otras soluciones de prevención y detección de la organización enfocado al corto plazo.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Pablo Martínez Plaza

Analista de ciberseguridad en BISITE, miembro de la Selección Española de 

Ciberseguridad, profesor del Máster en Ciberseguridad de la USAL y participante en CTFs a nivel nacional e internacional.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/