redseguridad 079

especial red seguridad cuarto trimestre 2017 53 › Identificación de la víctima, determinando su fortaleza para resis- tir cualquier ataque, sus capacidades de detección, las vulnerabilidades que han permitido el despliegue del atacante o las medidas de seguridad implantadas. › Las capacidades técnicas del atacante, intentando conocer los vec- tores de infección utilizados (propios o adquiridos a un tercero), las vul- nerabilidades utilizadas (conocidas o no por el fabricante), la capacidad de despliegue por la red atacada, las herramientas utilizadas en estos movimientos y su capacidad de ocul- tación y persistencia. › Las infraestructuras utilizadas, así como los protocolos empleados para la comunicación con los implan- tes desplegados sobre la red objetivo. Determinar si estas son propias o alquiladas, los avatares utilizados en su adquisición y mantenimiento, así como el objetivo último de utilización de las mismas. › Identificación final del atacan- te, para catalogar el tipo de agente que lo realiza (Estado, crimen orga- nizado, ciberactivistas, actores inter- nos, empresas competidoras…), su capacidad de selección del objetivo (ataque dirigido o de oportunidad), su motivación, su capacidad técnica y, finalmente, sus capacidades técnicas y operativas. En este análisis con el modelo de diamante, la relación vertical (socio- económica) entre víctima y atacante permite alcanzar conclusiones estra- tégicas (y llegar a la identificación del actor); mientras que la relación horizontal (técnica) posibilita la mejora de la capacidad de detección y res- puesta de la parte defensiva. El momento de identificación de un ataque (tiempo entre infección y detección) da una indicación del nivel de madurez de las defensas y de la capacidad de vigilancia de la organización. Es un tiempo determi- nante para que el defensor pueda tener una cierta libertad de acción sobre el atacante o, por el contrario, esté sometido a los acontecimientos y su actividad defensiva sea com- pletamente reactiva. Para alcanzar este nivel de madurez es necesario disponer de capacidad de recolec- ción masiva de información de la Red, automatización de sus procedi- mientos de detección, herramientas de análisis de muestras, fuentes de inteligencia externas y mandato para actuar sobre la red víctima. Recolección y automatización Para disponer de una adecuada capacidad de vigilancia, conviene, por tanto, desplegar herramientas capaces de monitorizar y consoli- dar los registros de actividad de las diferentes tecnologías, del tráfico de red, de los usuarios remotos, de las contraseñas de administración o de los dispositivos de protección de perímetro y automatizar su análisis. Sin embargo, y sobre todo en ata- ques complejos, esta automatización Ciclo de inteligencia tradicional. Fuente: CCN-CERT. La ciberinteligencia permite hacer más eficientes los medios de defensa y determinar la relación entre víctima y atacante opinión ciberinteligencia monográfico