Félix Brezo Fernández, Ph. D.

Las Jornadas STIC CCN-CERT son ya un clásico entre los eventos de seguridad de final de año desde hace más de una década. Celebradas entre el 29 de noviembre y el 1 de diciembre de 2022 en el Kinépolis, el Centro Criptológico Nacional ha vuelto a organizar un evento con varias salas en paralelo y multitud de charlas. Entre las temáticas de este año se han identificado desde cuestiones normativas hasta investigaciones de Threat Intelligence con corte geopolítico y con un claro foco defensivo centrado en el modelado de amenazas y en la puesta en valor de las personas como elementos fundamentales en la gestión defensiva. Este año Telefónica Tech Cybersecurity & Cloud ha contado con una representación del equipo de Threat Intelligence Platform & Reports que se ha pasado por el evento como asistente para tomar nota de las tendencias, TTP y amenazas que los diferentes fabricantes y proveedores han ido marcado de cara a 2023. En este sentido, en este artículo recogemos a modo de crónica las charlas de mayor interés para nuestro equipo de analistas. Ciberinteligencia en la Red Nacional de SOC: Telefónica Tech, líder en compartición Uno de los elementos principales de las jornadas giró en torno a la compartición de ciberinteligencia. Las charlas de la segunda jornada giraron precisamente en torno al proyecto de la Red Nacional de SOC (RNS) auspiciado por el propio Centro Criptológico Nacional. La iniciativa tiene el objetivo de ser un punto neurálgico para la compartición de ciberinteligencia a nivel nacional y pone a disposición de la misma la información conocida y reportada en materia de eventos de seguridad identificados en los diferentes SOC nacionales. Cada uno de los eventos reportados a la plataforma es valorado en función de la naturaleza de la información compartida con diferentes criterios, premiándose aquellos eventos que describen tácticas, técnicas y procedimientos específicos vistos en ellos así como reglas de detección (Yara, Snort, STIX, etc.) de comportamientos similares. Telefónica Tech Cyber Security & Cloud lidera el ranking en cuanto a contribuciones desde el inicio del proyecto Telefónica Tech Cyber Security & Cloud se sumó definitivamente a la iniciativa a principios de septiembre y la labor realizada por nuestros compañeros ha sido reconocida explícitamente por el CCN-CERT en las jornadas por motivos claros: Telefónica Tech Cyber Security & Cloud es el organismo que lidera el ranking en cuanto a contribuciones desde el inicio del proyecto. La seguridad de la cadena de suministro y los entornos industriales: una prioridad estratégica La sofisticación requerida para efectuar ataques a la cadena de suministro pone de manifiesto que las estructuras y recursos necesarias distan mucho de ser accesibles por adversarios unipersonales. Aunque en las definiciones propuestas por MITRE acerca de ataques a la cadena de suministro no se había puesto tanto foco en la cadena de suministro o en las soluciones de mitigación, en julio de 2022 ya se ha propuesto la creación del System of Trust (SoT) una propuesta metodológica para hacer seguimiento de los riesgos relacionados con la cadena de suministro de forma objetiva. Paralelamente a la integración de controles de seguridad que tengan desde su diseño asumidos los riesgos de la cadena de suministro, desde Telefónica Tech Cyber Security & Cloud hemos impulsado varias iniciativas con diferentes organismos que también ponen el foco en otro entorno: el de los sistemas de control industrial que también recoge MITRE en su matriz de ICS (Industrial Control Systems). Soluciones propias como Aristeo tienen el objetivo de facilitar la labor de la identificación de patrones de ataque relacionados con estos entornos que, por su naturaleza, tienen unas barreras de entrada mayores que los convencionales. El proyecto Aristeo es una red de señuelos industriales (honeypotting) que emplea dispositivos OT reales para atraer a los atacantes, extraer información y generar inteligencia que fortalezca las defensas de nuestros clientes. La complejidad que entraña emular plantas y centros industriales completos, y la gran variedad de sistemas y plataformas que tener bajo control, hacen que comprender su funcionamiento y la forma en que interactúan un primer paso necesario para segurizar estos sistemas. Cyber Security Dime qué malware tienes y te diré a qué botnet perteneces 14 de septiembre de 2022 El ciberespacio como campo de batalla Durante las jornadas ha permanecido en el aire la importancia del ciberespacio como escenario que no puede obviarse a la hora de planificar las estrategias de defensa nacional. Si en torno a 2015 eran los países asiáticos quienes reorganizaban su estructura militar con el objetivo de dotarse de capacidades cibernéticas ofensivas, la realidad geopolítica actual está poniendo de manifiesto que la tendencia no solo no se revertirá sino que, al contrario, reforzará las tesis de quienes defienden la consideración del entorno cíber como un espacio en el que estar presente dada la gran cantidad de infraestructuras críticas conectadas. El ciberespacio se ha ganado el apelativo de «quinto dominio», de igual importancia estratégica que la tierra, el mar, el aire y el espacio. La existencia de unidades que en el caso de muchos países operan cada vez como soldados regulares, con sus bases físicas en las que entrenar y operar, motivan el incremento de unas cibercapacidades que han de tener respuesta desde un punto de vista puramente defensivo entendiendo que la sofisticación de estos adversarios puede escalar tanto más cuanto mayor sea el interés de sus patrocinadores. CYBER SECURITY La importancia del factor humano en ciberseguridad 28 de septiembre de 2022 El comportamiento como indicador: Tácticas, Técnicas y Procedimientos Los incidentes de seguridad que analizan nuestros compañeros de las unidades de Threat Hunting y Digital Forensics and Incident Response comparten una característica común: los atacantes son cada vez más ágiles para desplegar nueva infraestructura y emplear herramientas específicas en cada incidente. Estas capacidades ponen de manifiesto una realidad que obliga a los equipos defensivos a actuar: tratar los observables (direcciones IP, dominios, ficheros, etc.) como elementos con un ciclo de vida cada vez más acotado y con menos capacidad de detección de acciones ofensivas, precisamente, por su alta vinculación a incidentes concretos en un marco temporal muy concreto. La tendencia ya observada por nuestros propios equipos está motivando el modelado de amenazas teniendo cada vez en más en cuenta indicadores a nivel de comportamiento en forma de patrones de ataque y herramientas empleadas para describir el comportamiento de actores maliciosos tanto vinculados a la cibercriminalidad común como a amenazas persistentes avanzadas. Así, el uso de términos como TTP, patrones de ataque o esquemas de modelado de amenazas usando estándares como STIX 2.1 serán cada vez más tendencia y la generación de inteligencia que permita a los equipos anticiparse en la defensa de infraestructuras. CYBER SECURITY Desinformación y noticias falsas: ¿qué iniciativas existen para combatirlas? 7 de noviembre de 2022 El ecosistema de las criptomonedas: el cibercrimen no pierde el foco Durante las jornadas se expusieron casos reales de fraude con la inversión en criptomonedas de fondo. En este sentido, entre los talleres impartidos durante la primera jornada, se ha dedicado una sesión al rastreo de operaciones de criptomonedas y NFT. En este sentido, se ha puesto de manifiesto la capacidad de las empresas especializadas para rastrear las transacciones de criptomonedas en general y los tokens no fungibles (NFT) en particular. Específicamente, se han visto señalados aquellos proyectos que no implementan conceptos de privacidad y anonimato desde el diseño lo que ocurre todavía en la gran mayoría de proyectos relacionados con criptomonedas. Entre las tendencias más relevantes observadas destaca el gran volumen de operaciones que tienen identificadas ya en 2022 asociadas a entornos DeFi (finanzas descentralizadas), frente a los convencionales exchangers centralizados. Los vehículos principales para materializar estafas y extorsiones en el ecosistema NFT no son necesariamente novedosos (la ingeniería social sigue siendo un vehículo ideal en un entorno especialmente complejo técnicamente), pero tienen la particularidad de que la monetización para un adversario es mucho más directa si consigue sustraer directamente los tokens. También se ha puesto de manifiesto la efectividad del uso de balizas digitales e ingeniería social inversa, utilizando como señuelo para rastrear el dinero distintos modelos de interacción con los presuntos estafadores desplegando señuelos con el pretexto de realizar una nueva inversión y obtener información del atacante que pueda facilitar su rastreo, como la dirección IP o el ASN, entre otras. También en esta línea, el componente novedoso de las criptomonedas no escapa a los fallos de seguridad que puedan tener lugar en los smart contracts. Los smart contracts no dejan de ser aplicaciones programadas y, por tanto, sujetas a debilidades y errores de programación. Así, nuestro compañero de Telefónica Digital, Pablo González, impartía por la tarde un taller en el que esbozaba los principios básicos para la identificación de algunas de las debilidades explotables más básicas y cómo plantear un laboratorio de trabajo para realizar auditorías de seguridad sobre smart contracts de Ethereum. Una sesión particularmente práctica en la que se identificaron tecnologías y metodologías de trabajo para quien quiera introducirse en un mundo con mucho margen de mejora que pone de manifiesto que la inercia apunta a que el fraude relacionado con esta tecnología seguirá estando muy presente en 2023.

Al trabajo que realizan nuestros compañeros de los equipos de análisis forense, de análisis de malware o de Threat Hunting repasado en artículos de esta serie asociada a la respuesta a incidentes faltaría sumar un elemento adicional: el soporte que dan los equipos de ciberinteligencia a los anteriores y cómo gestionamos desde el equipo de Telefónica Tech los productos derivados de este trabajo. En esta última parte de la serie repasaremos qué objetivos tiene este equipo, qué labor realiza y cómo el material generado es utilizado en el marco de un incidente. ¿A qué nos referimos cuando hablamos de ciberinteligencia? Establecer puntos de consenso sobre el significado de los conceptos que vamos a utilizar es siempre una buena base para cualquier ejercicio de comunicación y el término ciberinteligencia es un ejemplo de cómo el uso (y quizás también el abuso) del mismo pueden terminar por distorsionar los mensajes y confundir objetivos. Para entender a qué nos referimos cuando hablamos del equipo de ciberinteligencia dentro del área de respuesta a incidentes, qué mejor que empezar por dar respuesta a qué entendemos por inteligencia primero y por ciberinteligencia después. Aunque definiciones de inteligencia hay muchas, una referencia bastante consolidada es la recogida en el Glosario de inteligencia editado en el año 2007 por el Ministerio de Defensa español y coordinado por Miguel Ángel Esteban. En la página 82 se define inteligencia como el «producto que resulta de la evaluación, la integración, el análisis y la interpretación de la información reunida por un servicio de inteligencia». Por tanto, por aplicación del prefijo ciber- podemos aventurarnos a decir que es ciberinteligencia aquella inteligencia relacionada con las redes informáticas. En cualquier caso, el elemento fundamental es que inteligencia como tal va más allá de los datos o los feeds de información, aunque estos se utilicen para generar el producto final. Ni tan siquiera es solamente un contexto o una lista de enlaces sin procesar que revisar cuando llegue el momento. Se trata de un producto concreto destinado a dar soporte específico a la toma de decisión que, en el caso de los incidentes de seguridad que experimentan nuestros clientes en el marco de un incidente de ransomware, pueden acabar siendo dramáticos. Material para técnicos y tomadores de decisión Sobre todo, en las primeras horas de un incidente, la información tiende a ser confusa e inexacta hasta que se empieza a contener el incidente tras entrar en juego el plan de respuesta previsto que, si ha habido suerte, solamente se habrá puesto en práctica conceptualmente o en simulacros dirigidos. Es precisamente en el marco de esa labor de coordinación y de planificación en donde se pueden identificar algunos de los destinatarios de los productos que proporciona el equipo de ciberinteligencia en el ámbito de la respuesta a incidentes. Los interlocutores del propio cliente. Necesitan tener visibilidad en cuanto sea posible del tipo de amenaza al que se enfrenta y conocer si hay riesgo de que se haya producido una posible exfiltración al margen del impacto visible en forma de cifrado por ejemplo o saber cómo actuar ante determinadas acciones del atacante que se pudieran presentar. Es importante la información esté sobre la mesa para poder gestionar tanto las expectativas de recuperación de información como ayudar a los equipos directivos a actuar con celeridad. El equipo de coordinación de las acciones de respuesta: los gestores del incidente. Como parte organizadora de un incidente, necesitan tener visibilidad de las tácticas, técnicas y procedimientos conocidos del atacante y de los posibles vectores de entrada y explotación. El objetivo desde el punto de vista técnico es tener el conocimiento suficiente para coordinar operativamente los esfuerzos necesarios y poder organizar las actividades a nivel de contención e investigación, pero también a la hora de coordinar los análisis forenses, logs o malware que se puedan requerir en función de lo que se sabe de la amenaza y del estado del perímetro del cliente. Al mismo tiempo, como parte de esa labor puede ser necesario identificar otros puntos de acción que no son necesariamente técnicos (legales, de comunicación, etc.) pero que requieren de una atención inmediata más allá de lo puramente tecnológico. El equipo encargado de realizar la investigación. Tanto forenses como analistas de malware y analistas de logs verán su trabajo facilitado si cuentan con una buena base ya realizada sobre las tácticas, técnicas y procedimientos del atacante. Sin perjuicio del análisis más exhaustivo que se va realizando durante la propia respuesta, los informes de inteligencia sobre la amenaza les permitirá acotar el marco inicial de la investigación y seleccionar objetivos preliminares con agilidad, especialmente, al comienzo de la misma. El equipo de Threat Hunting. Con un peso específico muy relevante en la contención del incidente como ya se ha visto en artículos anteriores, este equipo es el encargado de contener amenazas en curso tan pronto como se identifiquen e identificar nuevos sujetos de investigación sobre los que realizar triajes y acciones de mitigación inmediatas para lo que normalmente contexto adicional como las técnicas que se cree que el atacante ha podido aplicar o el software que este emplea más allá de los indicadores de compromiso concretos. Así, en el marco de la respuesta a incidentes, los entregables de los equipos de ciberinteligencia van mucho más allá de la mera identificación de observables concretos aunque, por supuesto, estos también se proporcionen. Hablamos de contar con herramientas concretas a los equipos de analistas técnicos que les permitan señalar comportamientos maliciosos concretos en las máquinas que están analizando y dar el soporte necesario sobre el comportamiento de las amenazas en tiempo y forma. La inteligencia que no se comparte pierde efectividad La oportunidad de los productos de inteligencia generados tiene mucho que ver con qué entregamos y con cómo lo entregamos, pero, sobre todo, con cuándo lo hacemos y con la confianza que tenemos en lo que adjuntamos en nuestros informes y entregables. Se trata de asegurarnos de que el destinatario va a interpretar lo que decimos en el sentido en que se escribe y sin ambigüedades: es una cuestión de hablar el mismo idioma para que la compartición se produzca de forma estructurada, sin margen para la duda sobre lo que se afirma con contundencia y con absoluta transparencia para señalar aquellos aspectos que han de ser tomados con reservas. Por ello, la labor de los equipos de analistas no es ya tanto una labor de acción/reacción puntual, sino el resultado de los esfuerzos de continuidad mantenidos por un equipo que tiene que estar al tanto de las amenazas y que tiene que ser capaz de transmitir esta información de una forma ordenada, clara y consistente. Y parte de ese trabajo, por su puesto, se ha de realizar tras los incidentes, cerrando el ciclo. Porque las labores de análisis no terminan con la salida del equipo de respuesta del mismo, sino con el repaso de las lecciones aprendidas de este para integrar lo aprendido en el mismo para el futuro. En cualquier caso, si entendemos la comunicación como la transmisión de señales mediante un código común al emisor y al receptor, establecer un marco común sobre el nivel de confianza es fundamental. Así lo hace el estándar para la compartición de inteligencia STIX (actualmente, en su versión 2.1) en la definición del atributo confidence con el que se puede catalogar cada uno de sus objetos de entre 0 y 100 usando diferentes escalas de credibilidad como la conocida como escala de almirante propuesta en el Field Manual 2-22.3 del ejército norteamericano. El objetivo de estas escalas es dar al analista la posibilidad de manifestar diferentes grados de certeza sobre cada objeto y evitar que se deje de documentar comportamientos por miedo a tenerse que posicionar con una valoración binaria (confirmado/no confirmado). Así, el hecho de que existan evidencias con credibilidad cuestionable en un momento dado es relevante porque solamente si están documentadas y registradas se van a poder correlacionar en el futuro, algo que nos recuerda la importancia del factor tiempo a la hora de realizar las valoraciones que incluimos en los informes. El factor tiempo Está claro que una unidad de inteligencia irá acumulando conocimiento con el paso de los años que podrá ir acumulando e integrando para el futuro. Almacenarla de forma consistente y reutilizable es fundamental como hemos visto, sobre todo si se quiere conseguir que esta esté disponible justo cuando más se la necesita en la forma en que se necesite. Pero en respuesta a incidentes la presión y los plazos en la toma de decisiones son decisivos. De hecho, uno de los aspectos que más diferencia al profesional del análisis en el ámbito de la respuesta a incidentes de un perfil puramente académico o investigador es que trabaja precisamente contrarreloj y sobre la incertidumbre. Quienes se enfrentan a la realidad de un incidente tienen que convivir con la llegada de información gradual, la falta de disponibilidad de parte de ella cuando más se la necesita y la presión que está experimentando un cliente al que se le acumulan las llamadas de clientes y proveedores preocupados y que tiene que hacer frente a las obligaciones de notificación establecidas por ley. Todo ello, tratando de contener una amenaza cuyo impacto solo se intuye a la vista del cifrado masivo de equipos y mientras trata de asegurar que las copias de seguridad y los sistemas se ven lo menos impactados posibles. En el ámbito de la investigación académica la urgencia no es tan inmediata y con días o semanas de margen tendremos más opciones para revisar los detalles de todos los supuestos, mirarlo en profundidad y aprender en consecuencia. La realidad de un incidente en el que nuestros clientes tienen factorías o áreas completas paradas es mucho más dramática por desgracia. Incluye a compañeros de Hunting con necesidades operativas concretas improrrogables en forma de indicadores y comportamientos a bloquear y la de compañeros de forense que necesitan contexto y pistas sobre qué máquinas empezar la búsqueda del paciente 0 y entender cómo, por qué y hasta dónde se produjo la amenaza. Es ahí donde el tiempo ―entendido tanto en términos de esfuerzo como de plazo― es clave para conseguir que las tácticas, técnicas y procedimientos conocidos de amenazas similares lleguen a sus destinatarios: tanto a nivel operativo para la contención y la mitigación, como a nivel estratégico para dar soporte a quien tomará las decisiones sobre los escenarios posibles que quedan por delante. Es justo ahí, cuando parece que no funcionan las cosas, donde desde las distintas áreas del equipo de respuesta podemos ayudar: trabajando codo con codo por recuperar esa ansiada normalidad. Contrarreloj, pero a tiempo.