redseguridad 079

especial ciberinteligencia monográfico opinión 56 red seguridad cuarto trimestre 2017 Es precisa una actuación recíproca, en la que la información aportada sea paralela a la obtenida y, de este modo, optimizar las defensas reci- biendo de los CERT de referencia información agregada y sanitizada que complemente los datos remitidos en los ciberincidentes. En este sentido, el CCN-CERT está impulsando la comunidad de CSIRT nacionales 6 , tanto públicos como privados, como un foro donde se genere la suficiente confianza para optimizar nuestras defensas y nuestra capacidad de respuesta. Al fin y al cabo, ante un ataque complejo o generalizado no es posi- ble una respuesta individual. Los organismos públicos y la industria de la ciberseguridad nacional (que, en numerosas ocasiones, da servicios al sector público y a las empre- sas estratégicas para el país) deben actuar como catalizadores de esta compartición de información. Es el momento de dejar a un lado nuestras diferencias y aparcar la rivalidad del mercado. Un ciberespacio seguro, donde se intercambia información y se actúa de forma rápida y coordi- nada ante cualquier ataque, es una garantía para todos. Referencias 1 . Manuel Torres Soriano: "Conceptos y Niveles de Ciberinteligencia". http://www.seguridadinternacional . es/?q=en/node/993 2 . The Diamond Model of Intrusion Analysis (www.activeresponse.org) , detallado en la CCN-STIC 425. Ciclo de Inteligencia y análisis de intru- siones: https://www.ccn-cert.cni. es/guias/guias-series-ccn-stic/400- guias-generales.html 3 . Herramienta de análisis desarrolla- da por el CCN-CERT: https://www. ccn-cert.cni.es/herramientas-de- ciberseguridad/marta.html 4 . REYES es una herramienta desa- rrollada por el CCN-CERT para inves- tigar incidentes y compartir infor- mación https://www.ccn-cert.cni. es/herramientas-de-ciberseguridad/ reyes.html 5 . MISP, Malware Information Service Platform: http://www.misp -project. org 6 . https://www.csirt.es Intercambio de ciberamenazas y ciberincidentes, bajo el modelo de diamante. Fuente: CCN-CERT. seguridad ha fallado y en qué debe- mos modificar nuestras políticas y procedimientos para evitar ataques futuros son aspectos clave en cual- quier incidente. Compartición de información Pero todas las medidas anterior- mente señaladas no son suficientes, sobre todo porque nuestras organi- zaciones no son, ni mucho menos, compartimentos estancos. La mayor eficacia en la detección y respues- ta pasa por la necesidad de com- partir información. Compartir sobre dos grandes áreas: ciberamenazas y ciberincidentes , los vértices del anteriormente citado modelo de dia- mante que determina las tácticas, técnicas y procedimientos (TTP) del atacante. Con respecto a las ciberamenazas, encontramos una mayor conciencia- ción y voluntad de intercambiar por parte de las organizaciones y provee- dores de servicio. Respecto a compartir ciberinciden- tes, la disposición entre organismos se ve reducida por el posible impacto que estos causan en las víctimas (compromiso de información, pérdida de propiedad intelectual, daños en la imagen o pérdida de contratos/ negocio) y todavía falta un mayor nivel de confianza. La diferente normati- va que está desarrollándose obliga a la notificación de ciberincidentes. En estos momentos ya lo es en el ámbito de protección de datos, ser- vicios esenciales en el ámbito de la Directiva NIS, Esquema Nacional de Seguridad, infraestructuras críticas, sector bancario, sector de navega- ción aérea. Con toda probabilidad, se desarrollarán nuevas legislaciones que fuercen esta notificación. No obstante, el intercambio de información, tanto de ciberamenazas como de ciberincidentes, siempre es más efectivo a través de la confianza entre las partes que por imposición normativa. Es decir, informar de los ciberincidentes por convicción (com- partir), no por obligación (notificar). Las organizaciones deben ver un beneficio en invertir tiempo y dinero en foros y sistemas de intercambio.