redseguridad 079

especial ciberinteligencia monográfico opinión 54 red seguridad cuarto trimestre 2017 es sobrepasada por el atacante, de ahí la importancia, y podríamos decir la criticidad, del equipo de profesio- nales de seguridad con el que cuente la organización. Es el analista el que, tras acceder a toda la información, debe investigar los eventos y las alarmas, detectar falsos positivos, notificar ciberinci- dentes, analizarlos en profundidad y responder al ataque. Al tiempo, tendrá que generar nuevas reglas de detección (indicadores de compromi- so –IoC–) para optimizar las defensas. Toda esta información depurada debe ser almacenada de forma estructura- da para permitir relacionar ataques y alcanzar la inteligencia estratégica. Por ello, el equipo de seguridad de una organización debería ser multidis- ciplinar (disponer de consultoría exter- na) y estar apoyado en el tratamiento de ciberincidentes por organismos especializados en ciberinteligencia, con una mejor perspectiva del con- junto, relacionado con otros equipos o instancias superiores (nacionales e internacionales) y una mayor capaci- dad de actuación. Herramientas de análisis Una vez detectado un posible inci- dente, el análisis del código detec- tado cobra especial relevancia. Por ello es necesario disponer de herra- mientas automatizadas de análisis estático y dinámico de código que permitan diferenciar los ataques complejos de los ataques de opor- tunidad, y que centren las accio- nes de defensa sobre los objetivos más peligrosos. Estas herramientas deben estar integradas de forma nativa con las bases de datos de ciberinteligencia. Tras esta primera clasificación existirán muestras e investigacio- nes que necesiten capacidades de ingeniería inversa y forense adicio- nales. En el caso del sector públi- co y de las empresas de interés estratégico para el país, estas son proporcionadas por el CCN-CERT (mediante, por ejemplo, su herra- mienta MARTA 3 ). Herramientas de investigación En el caso de las herramientas de ciberinteligencia, que en princi- pio deben permitir la investigación y almacenamiento de esta informa- ción, muchas veces se confunden con aquellas que buscan actividades sospechosas en redes sociales. Estas tienen una gran utilidad en actividades de seguimiento de marca y otros tipos de vigilancia, pero no son determinan- tes para la identificación de ataques. Por otro lado, muchos fabricantes (sobre todo aquellos que comercia- lizan tecnologías de protección de perímetro o antivirus) proporcionan fuentes de ciberinteligencia como mejora de su producto en el mer- cado, vinculándola a la adquisición del mismo. Otras empresas están especia- lizadas en vender información de inteligencia sobre ataques. En este caso disponen de una visión de conjunto pero, por lo general, tienen un alto coste, muchas veces inasu- mible por una organización. Por ello es necesario una coordinación entre las diferentes comunidades de inte- rés para poder acceder a la máxima información posible. Finalmente, la fuente de inteligen- cia de mayor valor es el Equipo de Respuesta a Incidentes de referen- cia de cada organización (CERT/ CSIRT). En el caso del sector públi- co y de las empresas de interés estratégico para España, es el CCN-CERT. Este equipo dispone, además, de la plataforma REYES 4 que permite, sobre una plataforma base de intercambio de inteligen- cia (MISP 5 ), agregar un conjunto de herramientas que facilitan enor- memente al analista las labores de investigación y consulta intentando optimizar su trabajo. Actuación en la red víctima Finalmente, las acciones de respues- ta ante un ataque, una vez parametri- zada la amenaza, determinan el ver- dadero compromiso de la Dirección de la organización. Junto con las necesarias acciones de limpieza de la infección, la realización de un juicio crítico sobre qué medida de Principales empresas que ofrecen distintas fuentes de información. Fuente: CCN-CERT.