CyberGazteiz
Los días 28 de Febrero y 1 de Marzo, parte del equipo de Ciberseguridad de Versia estuvo en las I Jornadas de Ciberinteligencia y Ciberseguridad, conocido como CyberGasteiz, organizado por CV2 y en el que participaron organizaciones como el Basque CyberSecurity Centre, Incibe, Elevan Paths, etc.
En estas jornadas el punto central no giraba en torno a nuevas técnicas de ataque o soluciones de monitorización de seguridad, como nos suelen contar en otros eventos. En realidad, todo giraba sobre la aplicación de metodologías y sistemas de inteligencia para potenciar y mejorar el trabajo de los analistas de seguridad. Y dentro de este ámbito, poner de manifiesto los problemas existentes y posibles soluciones o herramientas que usan distintas organizaciones.
Por este motivo, lo más importante es aclarar el gran error que existe en el mundo de ciberseguridad, que es el de confundir la inteligencia con la información. Se suelen nombrar con mucha ligereza los sistemas de inteligencia (Intel) de ciberseguridad. Es importante aclarar que estos sistemas lo que ofrecen son datos, los conocidos en muchas ocasiones como IOCs (Indicator of Compromise). Estos datos son muy útiles, pero es información en crudo que posteriormente debe ser analizada y contextualizada. Es en este análisis y en esta contextualización donde entran en juego las habilidades y las herramientas de los analistas de ciberseguridad, para dar inteligencia a la información.
Aclarado este aspecto, podemos diferenciar dos partes muy importantes en este proceso:
- Los orígenes de los datos.
- Las metodologías y las herramientas de análisis.
De todo ello, desde Versia, nos gustaría daros nuestra visión, resumiendo los puntos que dijeron en las jornadas e incluso complementándolos con lo que usamos dentro de nuestro Security Operation Center.
Los orígenes de los datos
Obviamente, para poder analizar hay que tener datos fiables. Por lo tanto, tan importante es poder acceder a la información que necesitamos, como saber que esta información es fiable.
Uno de los pilares de los sistemas de información de ciberseguridad es lo que se ha denominado OSINT (Open Source INTelligence), aunque también existen fuentes comerciales y que no están disponibles de forma abierta. Dentro de las fuentes OSINT, las más conocidas son las siguientes:
- Virustotal. A partir de una IP, un fichero, un Md5, una URL, etc., nos dice si hay alguna incidencia de Malware relacionada, o si la ha habido antes y como la categoriza.
- Spamhaus. Nos dice si una IP, un dominio, etc., está metido en alguna lista negra.
- Talos. Nos da la reputación de una IP o un dominio, ente otros.
- Haveibeenpwned. A partir de un nombre de usuario o un correo electrónico, nos dice si ese usuario ha sido visto en alguna filtración conocida.
- Cymon. A partir de una IP, dominio, o un Hash nos dice si está relacionado con algún malware, una botnet, campaña de spam, etc.
En este enlace de GitHub se pueden encontrar muchos otros orígenes, formatos y herramientas.
Como se puede ver, existen multitud de fuentes, todas ellas complementarias entre si. Esta información se suele utilizar, por ejemplo, al analizar eventos o logs en tiempo real y poder comprobar la reputación de una dirección IP a la que se conectan nuestros sistemas, si un dominio al que se conecta un usuario es malicioso, si un fichero que nos estamos descargados está catalogado como peligroso, etc.
Metodologías y herramientas de análisis
Como se puede ver, una premisa primordial en este proceso es disponer de esta información para poder utilizarla en nuestros sistemas. Además de todas las fuentes comerciales existentes, dentro de entornos OSINT es imprescindible la colaboración para compartir información. Si en nuestra organización registramos incidentes de seguridad y estos los descomponemos en múltiples IOCs (usuarios, correos electrónicos, Ips participantes, puertos, URLs o dominios, nombres de ficheros o hashes, etc.), ¿por qué no compartir esta información con otras organizaciones para que puedan beneficiarse de esta experiencia y ver si han sido afectadas?
Algo parecido a esto es lo que propone Incibe con el programa ICARO. ICARO es un servicio de compartición de amenazas basado en el software MISP (Malware Information Sharing Platform). Este software no sólo permite registrar los posibles incidentes de seguridad de una (o varias) organizaciones, sino indicar todos los IOCs implicados y correlar estos IOCs con otros incidentes anteriores o actuales, lo que permite ver posibles relaciones entre varios incidentes. Pero además, permite compartir los incidentes publicados por otras organizaciones y correlar nuestros IOCs con estos otros, lo que nos permitirá detectar si un, por ejemplo, malware que ha afectado a otra empresa nos afecta también a nosotros.
MISP tiene muchas más funcionalidades, para lo que os invitamos a visitar su página Web o a contactar con el equipo de ciberseguridad de Versia si queréis verlo en acción. Entre todas estas funcionalidades, la más importante es, precisamente, el dar a las empresas la capacidad de hacer comunidad y compartir información de ciberseguridad.
Una ponencia muy interesante sobre análisis de inteligencia fue la ofrecida por Yaiza Rubio y Félix Brezo de Eleven Paths, en la que comentaron los procesos que siguen cuando tienen que realizar una nueva investigación. Aparte de acudir a las fuentes OSINT comentadas anteriormente, es curioso ver el intensivo uso que hacen (y básicamente todos los ponentes) de las redes sociales.
Si se ha de investigar una persona, y tenemos su nombre y apellidos, o un correo, etc., ¿cómo podemos averiguar a qué grupos pertenece, su actividad, en qué redes participa? Si dejamos aparte las actividades de infiltración en foros o redes privados, que pueden ser necesarias en muchas investigaciones, está constatado que las redes sociales públicas son una fuente inestimable de información. Pero buscar en estas redes no es una tarea sencilla. Por ejemplo, ¿cuál es el nombre de usuario o el nick del usuario?
Para esto presentaron la herramienta que usan, llamada OSRFramework y liberada en Github. Este framework es un conjunto de librerías que realiza numerosas funciones diferentes, por ejemplo:
- A partir de unos datos personales (nombre, apellidos, año de nacimiento…) genera un listado de posibles nombres de usuarios o nicks.
- Realiza búsquedas en un montón de redes sociales y foros para encontrar un perfil asociado a un usuario. Soporte unas 290 plataformas diferentes, casi nada.
- Buscar direcciones de correo electrónico asociadas a un usuario.
- Buscar un texto en las plataformas soportadas.
- Verificar la existencia de un dominio.
A esta herramienta se suma TinfoLeak, que usa la red social Twitter como fuente principal de información. Esta herramienta se usa en investigaciones sobre terrorismo yihadista para buscar, en base a una publicación o un perfil dado, aquellas personas que han podido generar la noticia original y así llegar a la fuente. Es una herramienta muy potente, ya que incluso puede diferenciar los textos de las imágenes.
Conclusiones
Si bien es cierto que algunas de las ponencias se separaban un poco del tema de ciberseguridad “clásico” para adentrarse en otros más escabrosos como el terrorismo, es muy curioso ver que las fuentes de datos que utilizan son en su gran mayoría OSINT y ya usadas ampliamente por la comunidad de ciberseguridad. El ver estas herramientas en acción en otras disciplinas siempre ayuda a conocerlas mejor y a optimizar, aún más, su uso.
No obstante, nos ha quedado una honda preocupación. Las herramientas presentadas permiten investigar incidentes de seguridad de una manera muy sencilla. Pero, ¿qué impide a los ciber-delincuentes usar estas mismas herramientas para investigar a sus objetivos? Recordemos que en un ataque dirigido, la recogida de información es la primera de todas las tareas a realizar, y con estas herramientas lo tienen muy sencillo. ¿Cómo podemos protegernos? Como ya explicó el Teniente Coronel de la UCO de la Guardia Civil, Juan Antonio Rodríguez, en su ponencia de las XI Jornadas STIC CCN-CERT, existen casos documentados de espionaje que han usado las redes sociales como vector de acceso a los empleados de una organización y, a partir de ellos, poder acceder a la información que buscaban y robarla.
No obstante, de estas jornadas queda bien claro que las fuentes OSINT son una fuente de información imprescindible, y las organizaciones y los SOCs que gestionan su seguridad deben utilizarlos y usarlos en sus análisis para enriquecer los eventos detectados.
