redseguridad 072

organizaciones y se sea capaz de actuar adecuadamente ante la activi- dad sospechosa. También puede darse el caso de que la respuesta a incidentes requiera el uso de herramientas que pueden no estar disponibles para una sola organización, sobre todo si se trata de un organismo pequeño o mediano. En estos casos, el organismo en cuestión puede apro- vechar su red de intercambio de infor- mación de confianza para externalizar de manera eficaz el análisis del ciberin- cidente a los recursos de terceros que sí tienen estas capacidades. Un inter- cambio de información realizado, eso sí, de forma segura (utilizando dispositivos de protección de perímetro en la inter- conexión, como pasarelas diseñadas para garantizar este intercambio seguro entre distintos dominios). Así, el Centro Criptológico Nacional está volcando sus esfuerzos en favo- recer esta colaboración, con el desa- rrollo y despliegue de herramientas y sistemas que permitan el intercambio automático de reglas de detección e indicadores de compromiso (IOC) para su integración en los sistemas de defensa de cualquier organización. De ahí, han surgido dos grandes proyec- tos: LUCIA y REYES . Lucía La gestión adecuada de ciberinciden- tes constituye una actividad compleja, que contempla la adopción de méto- dos para recopilar y analizar datos y eventos, metodologías de seguimiento, procedimientos de tipificación de su peligrosidad y priorización, así como la determinación de canales de comu- nicación con otras unidades o entida- des, propias o ajenas a la organización que, llegado el caso, ayude a su reso- lución. Precisamente, para ayudar en esta gestión y coordinación, el CERT Gubernamental Nacional ha desarro- llado la herramienta LUCÍA , un siste- ma federado de ticketing que ofrece un lenguaje común de peligrosidad y clasificación de incidentes, de acuerdo al Esquema Nacional de Seguridad (ENS ) y a la Guía CCN-STIC 817 de Gestión de Ciberincidentes 2 . La herramienta, cuya prueba piloto se inició en 2015 y que este año espera estar a pleno rendimiento, mejora el intercambio de información de inciden- tes; mantiene la trazabilidad y el segui- miento del incidente; mejora en los procesos de gestión y automatización de tareas y permitir su integración con otros sistemas, como Remedy u OTRS. Reyes Iniciada su andadura en 2015, con una prueba piloto, el proyecto REYES de intercambio de información y cono- cimiento sobre ciberamenazas del CCN-CERT busca dar un giro com- pleto al modo de colaboración entre las organizaciones. Con él, se preten- de intercambiar la información de una forma ágil, con confianza y reciproci- dad entre todos los entes implicados, y en donde primen los modelos pro- activos, que vayan mucho más allá del correo electrónico. REYES está basada en la Plataforma de Intercambio de Información de Código Dañino (MISP) 3 , un sistema ya funcional que fue desarrollado por las fuerzas armadas belgas pero que, en el año 2012, se facilitó abiertamente a la comunidad con una licencia de código abierto y en el que participan diversos equipos de respuesta a inci- dentes como NATO NCIRC (OTAN), CIRCL (Luxemburgo) o CERT-EU (Unión Europea). Lo que hace a este sistema algo único es que está federado con organismos internacionales, recoge información de multitud de fuentes especialistas en malware y contiene atributos y eventos de código dañino contextualizados. Además, REYES permite la interacción con otras herramientas de análisis y realiza automáticamente la correlación entre los distintos elementos de ciberin- teligencia que contiene. Un intercambio de información realizado, sitivos de protección de perímetro en la para garantizar este intercambio seguro volcando sus esfuerzos en favorecer esta liegue de herramientas y sistemas que reglas de detección e indicadores de en los sistemas de defensa de cualquier des proyectos: LUCIA y REYES . constituye una actividad compleja, que ecopilar y ogías de ión de su como la ación con jenas a la ude a su en esta rnamental LUCÍA , un sistema federado de ticketing rosidad y clasificación de incidentes, de idad (ENS) y a la Guía CCN-STIC 817 de reciprocidad entre todos los entes implicados, y en donde primen los modelos proactivos, que vayan mucho más allá del correo electrónico. REYES está basada en la Plataforma de Intercambio de Información de Código Dañino (MISP) 3 , un sistema ya funcional que fue desarrollado por las fuerzas armadas belgas pero que, en el año 2012, se facilitó abiertamente a la comunidad con una licencia de código abierto y en el que participan diversos equipos de respuesta a incidentes como NATO NCIRC (OTAN), CIRCL (Luxemburgo) o 30 red seguridad primer trimestre 2016 especial A rtículo PIC monográfico 1 Códigodañinoparaelsecuestrodeunordenadorycifradodesusarchi- vos con la promesa de liberarlo tras el pago de un rescate 2 https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacio- nal-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html 3 Malware Information Sharing Platform