Ciberinteligencia2
•
1 recomendación•1,619 vistas
Definiciones y Conceptos de Ciberinteligencia Cyberintelligence
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a Ciberinteligencia2
Similar a Ciberinteligencia2 (20)
Más de Secpro - Security Professionals
Más de Secpro - Security Professionals (8)
Último
Último (20)
Ciberinteligencia2
- 2. David Pereira CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC. • 18+ Años de experiencia en Seguridad Informática y DFIR • Hacker Ético – Pentester en diversas Entidades en el mundo, de ámbitos como el Financiero, Energético, Militar, Inteligencia, Diplomático, Minero, entre otros. • Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países. • CEO de SecPro
- 3. • Introducción • Importancia de la ciberinteligencia • Categorías / Disciplinas • Estrategias de Ciberinteligencia •Niveles operacionales de ciberinteligencia •Orígenes de datos / Fuentes • Recomendaciones de Ciberinteligencia orientada a hacia la Ciberseguridad de un país • Casos de Éxito de la Ciberinteligencia • Escenarios • Retos Actuales y Futuro de la Ciberinteligencia • Próximo enemigo mundial Agenda
- 4. Introducción A medida que evolucionaron las telecomunicaciones a nivel mundial surgieron mejoras de conectividad e interacción con el ciberespacio pero surgió una nueva amenaza : los ataques cibernéticos que cada día van en ascenso. (Quinto Dominio) Norse Arbor
- 5. Introducción Surge la necesidad por parte de los gobiernos de: ● Investigar y analizar la actividad realizada en el ciberespacio ● Conocer las amenazas potenciales /activas ● Prepararse para realizar un plan de acción ante esas amenazas ● Saber qué medidas deberían tomarse ante un evento o amenaza
- 7. Ciberinteligencia Ciberinteligencia es una disciplina analítica, la cual incluye la toma y captura de datos y análisis sobre la actividad que ocurre en el ciberespacio, con el fin de presentar información oportuna para toma de decisiones y estrategias a realizar con respecto a las actividades de las amenazas cibernéticas.
- 8. Importancia de la Ciberinteligencia La Ciberinteligencia se volvió un factor vital para la toma de decisiones a nivel gubernamental debido a que permite: ● Identificar Vulnerabilidades Potenciales de la Nación en el Ciberespacio. ● Identificar enemigos potenciales de la Nación en el Ciberespacio ● Identificar e Interceptar canales de comunicación enemigos. ● Rastrear y detectar planes de ataques dirigidos al Ciberespacio de la Nación
- 9. Importancia de la Ciberinteligencia ● Implementar mecanismos de Detección, Monitoreo y Alerta Temprana. ● Identificar Posibles Aliados y compartir datos de Ciberdefensa. ● Mitigación de Amenazas ● Identificar y Contactar posibles informantes ● Infiltrar al Enemigo por medio de mecanismos tecnológicos
- 10. Categorías / Disciplinas Categorías de Ciberinteligencia : SIGINT: (Signal intelligence) es la obtención de inteligencia mediante la interceptación de señales sin importar la forma de transmisión y comprende una combinación de: • Inteligencia de Comunicaciones (COMINT) • Inteligencia Electromagnética (ELINT) • Inteligencia Telemétrica (TELINT)
- 11. Categorías / Disciplinas Categorías de Ciberinteligencia : OSINT: (Open Source Intelligence) inteligencia obtenida del producto de la información a disposición en fuentes públicas “open” tales como : • Reportes de gobierno, debates legislativos, entre otros . • Periódicos • Radio y Televisión • Internet • Deep WEB (Capas Iniciales)
- 13. Estrategias operacionales de ciberinteligencia Generalmente a la hora de buscar vulnerabilidades , falencias o mitigar un posible ataque nos enfocamos en investigar la red de trabajo y los elementos visibles de la misma . La ciberinteligencia nos invita a investigar más allá de las redes; conocer cómo los Ciberataques o acciones realmente ocurren , no solo es detener una posible amenaza; Buscar los factores que pueden generar esa amenaza con base en el análisis y mitigarlos o neutralizarlos. Investigar más allá de las redes
- 14. Estrategias operacionales de ciberinteligencia Siempre existe una cadena de destrucción o ruta discernible la cual es una secuencia de actividades que una amenaza debe cumplir para lograr su objetivo (explotar o vulnerar un Sistema). Esta cadena se asocia con la actividad maliciosa que ocurre en el ciberespacio Cadena de Destrucción
- 15. Estrategias operacionales de ciberinteligencia Mediante el uso de la ciberinteligencia y las técnicas avanzadas de protección de redes se juntan esfuerzos para reducir la línea de tiempo (cadena de destrucción) entre un adversario o atacante y la red que está siendo defendida. Se aplica el conocimiento de las posibles acciones que realizaría un atacante antes de su ingreso a la red, los prerrequisitos para ingresar a la red y la posible información a ser vulnerada por el atacante. Cadena de Destrucción
- 16. Cadena de Destrucción Estrategias operacionales de ciberinteligencia Existe una guía creada por Erik Hutchins ,Michael Cloppert y Rohan Amin llamada Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains; Esta explica de forma más detallada este proceso y Brinda una serie de métodos para vulnerar la cadena de destrucción . A continuación mostramos unos ejemplos de esta guía . Fuente://www.lockheedmartin.com/content/dam/lo ckheed/data/corporate/documents/LM-White-Paper- Intel-Driven-Defense.pdf
- 17. Proceso de decisión y ejecución ¿Reintentar? Evaluar las Acciones Implementar Acciones Desarrollar Acceso Adquirir capacidad Seleccionar la vía de enfoque Determinar el Objetivo Motivación y decisión para actuar Grafico del proceso de decisión y ejecución de un ataque cibernético • Ganancia Financiera • Políticas • Acosar o avergonzar • Terrorismo • Robar Información • Destruir Datos • Manipular o Alterar Datos • Red de trabajo : WEB o Email • Insider • Supply chain • Construir , compilar • Contratar • Usar Capacidad Existente • Insider • Spear Phishing • Inyección de SQL • Establecer presencia en el objetivo • Desplazarse en la Red • Robar, alterar, manipular Datos • Cubrir Huellas • ¿Las Acciones fueron Exitosas? • ¿Las Acciones son suficientes? • ¿Los Objetivos fueron Cumplidos? • Si • No
- 18. Matriz para detectar esfuerzos de un atacante *Ejemplo de Matriz del curso de acción para considerar el esfuerzo de un atacante haciendo detección de la red a ser perpetrada Fase Detección Denegado Interrumpido Degradado Engaño Destruido Reconocimiento Análisis de la WEB Firewall ACL Alerta Crawl Militarización NIDS NIPS Entrega Usuario Vigía Filtrado Proxy AV en línea Sandbox Explotación HIDS Parchado DEP Instalación HIDS Jaula chroot AV C2 HIDS Firewall ACL NIPS Tarpit Redirección DNS Acciones de Objetivos Auditar Log´s QoS Honeypot
- 19. Matriz del alcance de acciones realizadas *Ejemplo de Matriz de acción ampliando el alcance de las acciones de los defensores para habilitar medidas más proactivas Fase Detección Denegado Interrumpido Degradado Engaño Destruido Motivación Técnicas OSINT Disuasión Desinforma. Ofuscación Objetivos Análisis WEB , OSINT OPSEC Disuasión Vía de Aproximación Web / Análisis de la Red Defensa Dinámica Defensa Dinámica , OPSEC Direccionar hacia una defensa más fuerte Capacidad Técnicas OSINT Programa de amenazas insider Defensa Dinámica Direccionar hacia una defensa más fuerte Acceso OSINT , Web / Análisis de la Red Programa de amenazas insider Defensa Dinámica , OPSEC Acciones Programa de amenazas Insider Acceso basado en Roles QoS Honey Pot Evaluación Análisis WEB , Medios Sociales Honeypot Reintentos OSINT, Análisis de la Red Defensa Dinámica Honeypot
- 20. Niveles de ciberactividades ✓Estratégico ✓Operacional ✓Táctico Niveles operacionales de ciberinteligencia
- 22. Niveles de ciberactividades Operacional : En este nivel se planifican y ejecutan la mayoría de acciones principales para lograr el objetivo estratégico a cumplir por área o red: ✓Revelar las tácticas, técnicas y procedimientos del adversario ✓Comprender el ciclo operacional del adversario ✓Listado de vulnerabilidades de tipo técnico, social, legal y financiero que pueda llegar a tener el adversario Niveles operacionales de ciberinteligencia
- 23. Niveles operacionales de ciberinteligencia Niveles de ciberactividades Táctico: En el nivel táctico se llevan a cabo todas las acciones en la red; Se enfrenta el atacante con la información recabada con el fin de cumplir el objetivo de vulnerar la red y el defensor en Ciberseguridad basado en el análisis que realiza al momento de detectar un evento malicioso emplea las mecanismos para proteger la red y mitigar los posibles efectos del ataque.
- 26. Orígenes de datos / Fuentes ECHELON a su vez contiene una serie de sistemas descritos a continuación: ● PRISM ● Carnivore ● XKeystorm ● Dishfire ● Stoneghost ● Tempora ● Frenchelon ● Fairview ● Mystic ● Boundless Informant ● Bullrun ● Pinwale ● Stingray ECHELON:
- 29. Orígenes de Datos / Fuentes Variantes de PRISM : ● En Italia se creó una ley en el 2013 con una serie de normas para la protección de la ciberseguridad nacional la cual da carta blanca para recolectar información del trafico con el fin de proteger la ciberseguridad nacional ● En India el gobierno local está desarrollando un sistema para “espiar” todas las conexiones entrantes y dará acceso a algunas agencias para verificar todo el monitoreo de tráfico . el sistema estará a cargo de la NCCC (Centro de Ciber Coordinación de la India)
- 37. Orígenes de Datos / Fuentes Fairview: Programa clasificado iniciado en 1985 en el cual la NSA y AT&T realizan una colaboración con el fin de obtener información sobre los usuarios de telefonía foráneos; entre la información recabada se encuentran datos de la línea, uso de internet y correos . La NSA tiene acceso a los siguientes elementos de AT&T: ● 8 puntos de conexión a internet ● 26 instalaciones de routers VoIP ● 1 instalación de router VoIP HUB ● 9 Nodos de fibra óptica submarina ● 16 estaciones de circuitos ECHELON
- 46. Orígenes de Datos / Fuentes Tomado de : http://www.apcert.org/about/structure/tsuba me-wg/
- 48. Recomendaciones de ciberinteligencia orientada hacia la ciberseguridad del país Actualmente las entidades gubernamentales tienen sus servicios de internet dispersos en diferentes servicios de hosting a nivel mundial. Esto dificulta la mitigación de ataques, análisis de seguridad, endurecimiento y protección de la información. ¿En qué podemos mejorar? Datacenters Propios con administración centralizada
- 50. ¿En qué podemos mejorar? ● No hay datos estadísticos o un estudio interno que nos permita responder esta pregunta. ● Muchas entidades gubernamentales no cuentan con una infraestructura de respaldo o de protección para sus portales o servicios en línea. ● Nadie cuantifica el costo de un ataque, aún después de que este ocurre. ¿Qué tan preparado está el país para responder ante potenciales amenazas?
- 52. ¿En qué podemos mejorar? ¿Qué tan preparados estamos para responder ante incidencias de seguridad?
- 53. ¿Qué tan preparado está el país para responder ante potenciales amenazas? La capacidad de respuesta depende de la implementación de diferentes mecanismos para: ● Protección y aseguramiento de las plataformas informáticas. ● Manejo de respaldo tanto para la información como para el servicio que la plataforma presta. ● Detección prevención y monitoreo de intrusiones. ● Capacidad de Mitigación Todas ellas ausentes o incompletas en la mayoría de servicios informáticos estatales.
- 55. ¿En qué podemos mejorar? ¿Y a Nivel Interno? ¿Para qué ser reactivos si podemos ser proactivos? Plantillas de Endurecimiento (“Hardenización”) que sean aplicables a la infraestructura Interna de los Entes gubernamentales; ● Sistemas Operativos de Servidor y Estaciones ● Redes Internas y Perimetrales ● Dispositivos Móviles ● Aplicaciones ● Bases de Datos ● Auditoria de Código Fuente
- 56. ¿En qué podemos mejorar? ● Un ranking de potenciales fuentes de amenaza permite identificar un ataque con un alto nivel de probabilidad. ● A partir de un consolidado del histórico de ataques recibidos a las entidades gubernamentales se puede inferir quienes son nuestros mayores enemigos cibernéticos. ● Colombia no cuenta con estos servicios. Base de datos de reputación propia
- 57. ¿En qué podemos mejorar? Listado de blancos potenciales de ataques Crear un ranking de los portales y servicios informáticos más críticos ante un eventual ataque, en el que se tenga en cuenta: ● Nivel de vulnerabilidad. ● Nivel de criticidad de la información almacenada. ● Impacto de la caída del servicio que proporciona. ● Entre otros A partir de allí identificar los targets con mayor interés para los atacantes, y enfocar esfuerzos para su protección.
- 58. ¿En qué podemos mejorar? Mapeo geográfico de puntos de conexión inalámbrica Existen herramientas que permiten la geolocalización de diferentes puntos de conexión Wireless en el país. Un mapeo de este estilo, además de dar una idea de qué zonas tienen mayor demanda de servicios informáticos, también permite identificar desde qué lugares se podría conectar un potencial atacante.
- 69. Qods freedom *Muestra de un Defacement realizado a una página Israelí Próximo enemigo mundial : Estado Islámico
- 73. Referencias / Enlaces de interés 1.https://es.wikipedia.org/wiki/ECHELON 2.http://qz.com/92648/think-us-snooping-is- bad-try-italy-india-or-canada/ 3.https://en.wikipedia.org/wiki/PRISM_(surve illance_program)#Related_NSA_programs 4.http://resources.infosecinstitute.com/china -vs-us-cyber-superpowers-compared/
- 74. Referencias / Enlaces de interés 5.https://www.youtube.com/watch?v=2bYVjJ jh-PY 6.https://theintercept.com/2015/08/03/17- years-reporter-exposed-echelon-finds- vindication-snowden-archive/ 7.https://www.rt.com/usa/311489-snowden- files-confirm-echelon/
- 75. ¿Preguntas? David F. Pereira Q. david.pereira@secpro.org @d4v1dp3r31r4