Operaciones en el ciberpesacio. Modelado de amenazas y ciclo de inteligencia
Tiempo de lectura estimado: 10 minutos
Esta conferencia magistral pertenece al Módulo 5 "Inteligencia. Fuentes para la investigación" de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer de cerca las operaciones en el ciberespacio, amenazas, inteligencia y modelado de ciberamenazas, así como los requisitos de inteligencia y la difusión de información que se realiza.
¿Qué es el Mando Conjunto del Ciberpesacio?
Creado en 2012, se dedica a planear, dirigir, coordinar y ejecutar operaciones en el ciberespacio. Su principal cometido es garantizar la libertad de acción de las fuerzas propias. Además, ejerce la representación del Ministerio de Defensa en materia de ciberdefensa ante organismos nacionales e internacionales. Es uno de los tres CERT de referencia, por lo que contribuye a la consecución de los objetivos de la Estrategia de Ciberseguridad Nacional.
El ciberespacio como dominio
Se trata de un dominio de reciente creación artificial y tiene una serie de particularidades:
El mando del ciberespacio ejerce como mando componente. La diferencia es que, en el ciberespacio, las operaciones son constantes. Las amenazas son permanentes y no es tan clara la diferencia entre tiempos de paz y de crisis.
Operaciones en el ciberespacio
Descripción de amenazas
A los agentes de amenazas se les describe a través de tres características fundamentales:
- Capacidad.
- Motivación.
- Oportunidad.
Escenarios de amenazas
La Agencia de la Unión Europea para la Ciberseguridad (ENISA), en un informe de 2020, describió las 15 ciberamenazas más peligrosas, que incluyen malware, phishing, spam, violación de datos, ransomware y cryptojacking, entre otras.
Agentes de amenaza
Cuando hablamos de ellos se puede hacer una clasificación en dos ejes: prevalencia y sofisticación:
Categorización de ciberamenazas
Las ciberamenazas se pueden clasificar de la siguiente forma:
No estructuradas:
- Individuos o grupos pequeños.
- Poca o ninguna organización.
- Sin financiación.
- Fácilmente detectables.
- Explotación de sistemas empleando vulnerabilidades documentadas.
- Realizan ataques de oportunidad.
Estructuradas:
- Bien organizadas.
- Planeamiento (selección de objetivos + recopilación de información sobre los objetivos).
- Ataques dirigidos.
- Cuentan con financiación.
- Pueden recurrir al empleo de insiders.
- Empleo de vulnerabilidades de día cero y cadenas de ataque complejas o elaboradas.
Altamente estructuradas:
- Organización extensa, financiación y planeamiento sostenidos.
- Objetivos más allá de los datos o sistemas atacados.
- Explotación avanzada empleando múltiples vectores de ataque.
- Empleo de insiders.
- Coordinación con otros grupos.
- Cyberwarfare.
Tipos de ciberamenazas
Amenazas patrocinadas por estados:
- Actividades relacionadas con inteligencia.
- Capacidades técnicas y operativas avanzadas.
- Amplios recursos.
- Objetivos a largo plazo.
- Ingeniería social.
- El objetivo es el robo y modificación de información.
Cibercriminales:
- Grupos organizados movidos por el interés económico.
- Mercado negro.
- Ingeniería social.
- Malware.
- Botnets.
- Ransomware.
- Objetivo de robar o secuestrar información para su venta o extorsión.
Ciberterroristas:
- Actividad maliciosa de carácter perturbador.
- Individuos o grupos organizados.
- Defacements.
- Filtraciones de información.
- Exploit kits.
- Los objetivos pasan por la propaganda, obtención de recursos económicos, reclutamiento, actos violentos y espionaje.
Hacktivistas:
- Individuos no ligados a gobiernos.
- Empleo de herramientas públicas.
- Defacements.
- Doxing.
- DDoS.
- Objetivos de propaganda, publicidad, desprestigio y desinformación.
Oportunistas / Script kiddies:
- Poco dominio técnico.
- Sin capacidad financiera.
- Scripts.
- Programas.
- Objetivos relacionados con la experimentación e iniciación.
Insiders:
- Empleados o exempleados descontentos.
- Socios con acceso a los sistemas.
- Agentes infiltrados.
- Abuso de privilegios.
- Objetivos en torno a la venganza y el espionaje.
Inteligencia de ciberamenazas
Los objetivos de la inteligencia de amenazas (CTI) pasan por la detección de ataques dirigidos, campañas de fraude y conciencia situacional. Se emplean técnicas de cibervigilancia, análisis de intrusiones, análisis de información compartida y análisis de malware.
Modelado de amenazas
Existen frameworks para el modelado de amenazas desde la perspectiva del Desarrollo de Software y de la Gestión de Riesgos, por ejemplo: Stride, Octave, Linddun, Pasta. El proceso de modelado de amenazas sirve como ayuda a la priorización de recursos y actividades de inteligencia. Hay que entender qué recursos propios son de interés para las propias amenazas y que este entendimiento sirva para una mejor toma de decisiones para su defensa.
Se recomienda, en caso de interés, el visionado de esta parte de la ponencia para la adecuada comprensión del apartado de frameworks y herramientas para el modelado de ciberamenazas.
Desarrollo de requisitos de inteligencia
Se trata de necesidades informativas que nuestro cliente o nuestra organización necesita resolver que se plantean en forma de pregunta. Hay que tener en cuenta, fundamentalmente, dos fuentes de inteligencia: internas y externas. Las internas se relacionan con el análisis de intrusiones, mientras que las externas están relacionadas con el análisis de actores.
Más allá de esto, cada requisito puede estructurarse en dos categorías diferentes:
- Requisitos de producción: lo que se debe entregar al cliente o solicitante de información.
- Requisitos de obtención: lo que necesita obtener el analista para elaborar la respuesta.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Enrique Castañeda
Enrique es Ingeniero Técnico en Informática, máster en Sistemas de Información para la Defensa y máster en Ciberseguridad. Actualmente, es jefe de Analistas de Ciberamenazas del Mando Conjunto del Ciberespacio desde 2018. Además, es analista de ciberamenazas desde 2015, teniente coronel del ET y profesor en el CCD CoE (NATO Cooperative Cyber Defence Centre of Excellence).
¿Cuál es tu reacción?