LA CIBER-INTELIGENCIA, QUE ES…

CIBER-INTELIGENCIA, QUE ES…

LA INTELIGENCIA EN MATERIA DE CIBERSEGURIDAD.

La inteligencia es el producto obtenido de la recolección, evaluación, análisis, integración e interpretación de toda la información disponible, potencialmente significativa y que permita su transformación en conocimiento, de forma que resulte útil al decisor a la hora de tomar sus decisiones con el menor nivel de incertidumbre posible, siguiendo el ciclo de Inteligencia.

Los ciberiesgos y las ciberamenazas avanzan muy rápido, y se crean acciones maliciosas en la misma medida. Para ello es imprescindible que todo profesional de Ciberinteligencia esté obligado a aprender nuevas y actualizadas prácticas.

La Ciberinteligencia (Cyberintelligence en inglés o CYBINT).

 Esta disciplina de la inteligencia es la que se refiere a las actividades de inteligencia en los procesos de la Ciberseguridad que se ocupan de analizar (Intenciones-oportunidades de los ciberactores) y prevenir, identificar, localizar y atribuir ataques o amenazas a través del ciberespacio.

Es un aspecto imprescindible hoy en día, ya que debido a la presencia en el ciberespacio que tienen las organizaciones, existe un riesgo considerable para el negocio o incluso las personas involucradas en él, ya sean trabajadores o clientes.

Los servicios relacionados con la Ciberinteligencia son muy complejos y variados, pero todos comparten el mismo objetivo final: asegurar el bienestar de los negocios y la gente relacionada con ellos, así como evitar cualquier inconveniente que les pueda perjudicar, ya sea en menor o mayor medida.

 A continuación, voy a tratar algunos aspectos que se deben tener en cuenta al aplicar medidas de ciberinteligencia.

CARACTERÍSTICAS PRINCIPALES DE LOS SERVICIOS DE CIBERINTELIGENCIA

Con el fin de proporcionar un modelo preventivo y la mayor seguridad posible para una organización o una persona, es crucial que los proveedores de servicios o células propias de Ciberinteligencia reúnan los siguientes requisitos:

·     Detallar con un enfoque personalizado las necesidades de información (NI´s) del Cliente.

·     Capacidad de explotación de las fuentes de información del ciberespacio por los órganos de obtención y la entrega de esa información para la producción de inteligencia.

·     La transformación de la información en inteligencia mediante un equipo multidisciplinar con formación y habilidad en técnicas de análisis de inteligencia y ciencia de datos (Data Science) para ejecutar análisis complejos de datos estructurados y no estructurados en plataformas y grandes volúmenes de información (Big Data).

·     Identificación detallada sobre posibles violaciones a la propiedad intelectual, como puede ser el robo o falsificación de la documentación de uso interno, nombres de personal, datos de identificación, el número de ganancias de algún empleado, protección de diseños, material y fórmulas patentadas, planes de empresa o cualquier otro tipo de información confidencial.

·     Conocimiento para evadir ataques a través de datos sospechosos y/o escondidos.

·     Respuesta efectiva y rápida a situaciones de Crisis. Esto puede incluir la desconexión de un servicio específico para prevenir males mayores o solucionar cualquier otro tipo de inconveniente bajo presión.

·     Comunicación en diferentes idiomas, ya que al tratarse del ciberespacio, los ataques pueden suceder desde cualquier parte del mundo y en cualquier lengua.

·     Servicio ininterrumpido durante las 24 horas del día y 7 días de la semana, ya que los ataques suelen aprovechar los horarios de inactividad para realizar sus operaciones.

·     Capacidad de Ciberinvestigación (Detectives Digitales) para la obtención y aportación de información, con metodología forense para pruebas y evidencias.

·     Elaboración de Alertas tempranas e informes detallados para comunicar debidamente, con el objeto de reducir la incertidumbre en el proceso de toma de decisiones.

·     Medidas de Ciberdefensa para la protección absoluta contra las amenazas a dirigentes o equipo directivo, responsables de empresas y organizaciones públicas o privadas. Existen casos en los que se ha invadido la privacidad de los altos cargos hasta el punto de obtener información de miembros de su familia y acosar o incluso secuestrar a los hijos de algún jefe para obtener algún beneficio a cambio.

El éxito de una actuación que asegure la prevención, la protección y la seguridad de un cliente (interno o externo) no sólo depende de los conocimientos técnicos, si no del factor humano y su control mental, actitud y capacidad de reacción del experto o equipo de profesionales que la lleven a cabo.

¿QUÉ ES LA CIBER-INTELIGENCIA?

Ciberinteligencia es la adquisición y análisis de información para identificar, rastrear, predecir y contrarrestar las capacidades, intenciones y actividades de los ciberactores (atacantes), y ofrecer cursos de acción con base en el contexto particular de la organización, que mejoren la toma de decisiones.

En el siguiente diagrama podemos observar de manera general

 el concepto de ciberinteligencia.

El proceso que se sigue para la generación de ciberinteligencia consta de cinco pasos:

1. Identificación del objetivo o misión. Determinar qué es lo que queremos encontrar o qué respuesta/hipótesis es la que queremos responder.
2. Colección de información. Definir las fuentes de información que utilizaremos; pueden ser internas o externas, abiertas o privadas, manuales o automáticas.
3. Análisis. Preparación y análisis de la información, utilizando diversas técnicas y herramientas visuales.
4. Identificación de hallazgos. Encontrar aquellos elementos que son relevantes y que ayuden a confirmar o rechazar las hipótesis planteadas, o que ayuden a responder las preguntas establecidas en el primer paso.
5. Difusión. Hacer llegar a las partes interesadas los hallazgos y cursos de acción propuestos.

Disciplinas de recolección de inteligencia y su aplicación en el contexto de ciberseguridad:

OSINT (Open Source Intelligence).

 Inteligencia a partir de la información que es pública y abierta, la principal fuente es Internet.

SIGINT (Signals Intelligence).

 Inteligencia a partir de la intercepción de señales. En este contexto se traduce normalmente como la inteligencia adquirida por redes señuelo, conocidas técnicamente como honeynets o honeygrids.

GEOINT (Geospatial Intelligence). 

Inteligencia obtenida por medio de la geolocalización; en este caso las fuentes más importantes son los dispositivos móviles y aplicaciones.

HUMINT (Human Intelligence).

 Inteligencia adquirida por individuos, en el contexto de la ciberseguridad se utiliza como vHUMINT, es decir, entidades virtuales que obtienen información en su interacción con otras personas por medio de redes sociales y canales de comunicación electrónica.

Ciber Inteligencia es un servicio que contempla todo el ciclo de vida de cualquier acción fraudulenta on-line en las organizaciones, desde su detección temprana hasta su cierre; haciendo un seguimiento constante en 24x7 para que las medidas reactivas sean realmente eficaces.

Ciber Inteligencia es un servicio profesional que está diseñado para identificar en tiempo real información sensible, ciber ataques y actividades fraudulentas sobre las entidades del Estado, contra el Estado, contra las personas y empresas en Internet, debiendo de ejecutar el plan de acción más adecuado para cada una de las ciber amenaza y minimizar o neutralizar, de esta manera el ataque.

RIESGOS

La seguridad de la información tiene que ver con la administración de riesgos, y que riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad, ocasionando un impacto a la organización.

 Si no hay amenaza no hay riesgo, si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo, y aun si hay amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo.

Hoy en día, las estrategias de ataque usadas son más complejas y de largo plazo, utilizan múltiples pasos estructurados, a los que se les conoce como ciclo de vida de un ataque, el cual podemos resumir de la siguiente manera:

1. Preparación. Contempla la identificación, selección del objetivo a atacar y recolección de toda la información que sea posible acerca de la víctima, así como la creación o adquisición del arsenal de ciber-armas.
2. Obtención de acceso. Envío de las ciber-armas por diversos medios, siendo el correo electrónico (spearphishing), sitios Web infectados y dispositivos USB los tres más comunes para explotar vulnerabilidades en el sistema de la víctima y evadir los sistemas de seguridad que tenga.
3. Creación de persistencia. Los atacantes buscan afirmar y ampliar su presencia y control en la red de la víctima, realizando el reconocimiento de la red, diversos movimientos laterales y robo de credenciales de administradores.
4. Ejecución de acciones. Considera la selección y recolección de la información buscada hasta lograr la extracción de la misma (exfiltration).
5. Eliminación de rastros. Una vez logrados sus objetivos, el intruso buscará eliminar todos los rastros e indicios que pudieran revelar las acciones tomadas, sus tácticas, técnicas y procedimientos.

¿CÓMO LA CIBER-INTELIGENCIA AYUDA A LA CIBERSEGURIDAD?

La ciberinteligencia puede apoyar a la ciberseguridad en cada una de las etapas del ciclo de vida de los ataques:

·         En la etapa de preparación del ataque, la ciberinteligencia apoya con la investigación en fuentes abiertas, monitoreo de DeepWeb y Darkweb, canales IRC, etc., en búsqueda de posibles campañas que se estén orquestando en contra de la organización, conocimiento de nuevas amenazas, identificación de toda aquella información que permita anticiparse a un posible ataque.

·         En las etapas de obtención de acceso y creación de persistencia entra en juego una de las áreas de la ciberinteligencia conocida como Cyber Threat Intelligence (inteligencia de Ciberamenazas), la cual se define como, el conocimiento acerca de los adversarios y sus motivaciones, intenciones y métodos, que es recolectado, analizado y difundido en formas tales que ayudan al personal de seguridad y de negocio a proteger los activos críticos de la organización.

Lo anterior significa realizar el monitoreo y análisis de malware, la identificación de posibles vectores de ataques, la identificación de TTP (técnicas, tácticas y procedimientos) de los atacantes, el monitoreo de la actividad de las botnets, etc., realizado por medios propios o a través de la recepción de feeds externos de inteligencia.

Otra línea de trabajo es la ejecución de análisis forense de 

artefactos basados en ciberinteligencia y la correlación de 

vectores de ataques previos.

·         En las etapas de ejecución de acciones y eliminación de rastros, la ciberinteligencia complementa a través del monitoreo activo en DeepWeb y DarkWeb para identificar cuándo se pone a la venta o se hace pública, de forma no legítima, la información que es propiedad de la organización.

CUANDO SE DEFINE UNA ESTRATEGIA DE CIBERSEGURIDAD SE 

PUEDEN OBTENER LOS SIGUIENTES BENEFICIOS:

Proveer a los directivos una visión de los ciber-riesgos reales del negocio y mayor visibilidad sobre las amenazas, logrando así tener un mejor contexto y conciencia situacional.

Mejorar las decisiones sobre el uso del presupuesto de seguridad, invirtiendo de manera estratégica para maximizar la relación costo-beneficio.

Mejorar la comunicación del CISO con los altos ejecutivos, ya que permite relacionar los temas técnico-operativos con elementos críticos y estratégicos del negocio.

Poder realizar una respuesta más rápida, ya que el analizar los ataques y tener información permite crear reglas que aumentan la efectividad de las tecnologías de bloqueo, permite investigar (hunting) y remediar posibles brechas.

Complementar la información que reciben las plataformas SIEM (Security Information and Event Management), para una mayor precisión e identificar más ágilmente patrones asociados con ataques y eliminar falsos positivos

Filtrar aquello que es relevante, pues actualmente se reciben muchas alertas, muchos avisos de vulnerabilidades y parches, muchos reportes sobre malware y ataques de DDoS etc., así como priorizar de mejor forma la aplicación de parches.

Enfocarse en los ataques más probables de ocurrir para una organización y determinar cuáles son las alertas más importantes a atender.

Ante el nuevo contexto de ciber-amenazas avanzadas, contar con una estrategia de ciberinteligencia es uno de los elementos más críticos para enfrentarlas.