redseguridad 079

Ciberinteligencia, complemento perfecto para la ciberseguridad 52 red seguridad cuarto trimestre 2017 especial Javier Candau Jefe de Ciberseguridad del Centro Criptológico Nacional opinión ciberinteligencia monográfico P ara una defensa eficiente frente a un ciberataque, la facultad de analizar y obtener información relevante para la toma de decisiones resulta funda- mental. Y este es, precisamente, el papel de la ciberinteligencia: mejo- rar las capacidades de detección y respuesta, a través de la vigilancia y la investigación, utilizando las herra- mientas y, sobre todo, las personas adecuadas. Pero todas estas medi- das no serían suficientes sin la posi- bilidad de compartir información entre las distintas organizaciones, gene- rando confianza mutua y utilizando herramientas comunes que mejoren el conocimiento de las amenazas y de los ataques. La sofisticación creciente de los ataques registrados es un hecho pal- pable que, sin lugar a dudas, nos obliga a replantearnos el quién y el cómo de la ciberseguridad en nues- tras organizaciones. La complejidad de las técnicas usadas y el nivel de conocimientos técnicos de ciertos atacantes, la disponibilidad de nuevas o renovadas herramientas (incluyendo la prestación de servicios delictivos on demand ) y la pulcritud en la perpe- tración de tales acciones constituyen una preocupación creciente. La voz "ciberinteligencia" apare- ce de forma recurrente en todos los debates de seguridad y es una oferta constante en relación con los servicios de ciberseguridad ofrecidos por las principales empresas. Sin embargo, su significado no está con- sensuado y en numerosas ocasiones es demasiado ambiguo. A veces, el término sirve para denominar las conclusiones extraídas de un análi- sis forense complementado con el correspondiente análisis de ingeniería inversa; en otras, la generación de información con el objetivo de mejorar la detección o las medidas de segu- ridad implantadas en la organización; o también para confundirla con una actividad de exploración y análisis de fuentes abiertas. Desde el Centro Criptológico Nacional (CCN) creemos que esta actividad es más compleja y coinci- dimos con la definición del profesor Manuel Torres Soriano 1 que con- sidera la ciberinteligencia como la actividad analítica cuyo propósito es proporcionar información relevante para apoyar el proceso de toma de decisiones en cuestiones relativas al ciberespacio. Destacando, además, una doble vertiente: › Táctica. Que permite a los res- ponsables de seguridad mejorar sus capacidades de detección y respuesta. › Estratégica. Que facilite la toma de decisiones a los responsables de una organización, con un vocabulario menos especializado y más asequible para aquellos que no son técnicos. Por ello, el ciclo de inteligencia tra- dicional (dirección-obtención-elabora- ción-difusión), cuya figura se adjunta en la siguiente página, mantiene su validez respetando las características propias del ciberespacio: rapidez en la elaboración (por el corto espacio de tiempo en el que esta información es válida) y un mayor peso de las fuen- tes técnicas (aunque la obtención de fuentes humanas sigue teniendo un valor trascendental). Así pues, para la generación de esta ciberinteligencia son necesarias herramientas que permitan la reco- lección y almacenamiento de grandes volúmenes de datos de los diferentes dispositivos de la Red y su correlación avanzada, basadas en reglas o en anomalías para la detección de ame- nazas. Después de este primer filtro, y detectadas las primeras evidencias de una amenaza, son necesarias otras herramientas que permitan la identi- ficación de estructuras de mando y control y puedan facilitar la detección de nuevas víctimas, las capacidades del atacante o sus procedimientos. Este proceso iterativo sobre muchas víctimas permitirá determinar las Tácticas, Técnicas y Procedimientos (TTP) del atacante y, lo que es más importante, su motivación. Así el ciclo de inteligencia adapta- do a la ciberseguridad mediante el modelo de diamante 2 permite resolver los cuatro aspectos básicos de la ciberinteligencia: