La labor de una unidad de ciberinteligencia en el marco de la respuesta a incidentes

Félix Brezo Fernández, Ph. D.    27 septiembre, 2021
Unidad de ciberinteligencia

Al trabajo que realizan nuestros compañeros de los equipos de análisis forense, de análisis de malware o de Threat Hunting repasado en artículos de esta serie asociada a la respuesta a incidentes faltaría sumar un elemento adicional: el soporte que dan los equipos de ciberinteligencia a los anteriores y cómo gestionamos desde el equipo de Telefónica Tech los productos derivados de este trabajo. En esta última parte de la serie repasaremos qué objetivos tiene este equipo, qué labor realiza y cómo el material generado es utilizado en el marco de un incidente.

¿A qué nos referimos cuando hablamos de ciberinteligencia?

Establecer puntos de consenso sobre el significado de los conceptos que vamos a utilizar es siempre una buena base para cualquier ejercicio de comunicación y el término ciberinteligencia es un ejemplo de cómo el uso (y quizás también el abuso) del mismo pueden terminar por distorsionar los mensajes y confundir objetivos. Para entender a qué nos referimos cuando hablamos del equipo de ciberinteligencia dentro del área de respuesta a incidentes, qué mejor que empezar por dar respuesta a qué entendemos por inteligencia primero y por ciberinteligencia después.

Aunque definiciones de inteligencia hay muchas, una referencia bastante consolidada es la recogida en el Glosario de inteligencia editado en el año 2007 por el Ministerio de Defensa español y coordinado por Miguel Ángel Esteban. En la página 82 se define inteligencia como el «producto que resulta de la evaluación, la integración, el análisis y la interpretación de la información reunida por un servicio de inteligencia». Por tanto, por aplicación del prefijo ciber- podemos aventurarnos a decir que es ciberinteligencia aquella inteligencia relacionada con las redes informáticas.

En cualquier caso, el elemento fundamental es que inteligencia como tal va más allá de los datos o los feeds de información, aunque estos se utilicen para generar el producto final. Ni tan siquiera es solamente un contexto o una lista de enlaces sin procesar que revisar cuando llegue el momento. Se trata de un producto concreto destinado a dar soporte específico a la toma de decisión que, en el caso de los incidentes de seguridad que experimentan nuestros clientes en el marco de un incidente de ransomware, pueden acabar siendo dramáticos.

Material para técnicos y tomadores de decisión

Sobre todo, en las primeras horas de un incidente, la información tiende a ser confusa e inexacta hasta que se empieza a contener el incidente tras entrar en juego el plan de respuesta previsto que, si ha habido suerte, solamente se habrá puesto en práctica conceptualmente o en simulacros dirigidos.  Es precisamente en el marco de esa labor de coordinación y de planificación en donde se pueden identificar algunos de los destinatarios de los productos que proporciona el equipo de ciberinteligencia en el ámbito de la respuesta a incidentes.

  • Los interlocutores del propio cliente. Necesitan tener visibilidad en cuanto sea posible del tipo de amenaza al que se enfrenta y conocer si hay riesgo de que se haya producido una posible exfiltración al margen del impacto visible en forma de cifrado por ejemplo o saber cómo actuar ante determinadas acciones del atacante que se pudieran presentar. Es importante la información esté sobre la mesa para poder gestionar tanto las expectativas de recuperación de información como ayudar a los equipos directivos a actuar con celeridad.
  • El equipo de coordinación de las acciones de respuesta: los gestores del incidente. Como parte organizadora de un incidente, necesitan tener visibilidad de las tácticas, técnicas y procedimientos conocidos del atacante y de los posibles vectores de entrada y explotación. El objetivo desde el punto de vista técnico es tener el conocimiento suficiente para coordinar operativamente los esfuerzos necesarios y poder organizar las actividades a nivel de contención e investigación, pero también a la hora de coordinar los análisis forenses, logs o malware que se puedan requerir en función de lo que se sabe de la amenaza y del estado del perímetro del cliente. Al mismo tiempo, como parte de esa labor puede ser necesario identificar otros puntos de acción que no son necesariamente técnicos (legales, de comunicación, etc.) pero que requieren de una atención inmediata más allá de lo puramente tecnológico.
  • El equipo encargado de realizar la investigación. Tanto forenses como analistas de malware y analistas de logs verán su trabajo facilitado si cuentan con una buena base ya realizada sobre las tácticas, técnicas y procedimientos del atacante. Sin perjuicio del análisis más exhaustivo que se va realizando durante la propia respuesta, los informes de inteligencia sobre la amenaza les permitirá acotar el marco inicial de la investigación y seleccionar objetivos preliminares con agilidad, especialmente, al comienzo de la misma.
  • El equipo de Threat Hunting. Con un peso específico muy relevante en la contención del incidente como ya se ha visto en artículos anteriores, este equipo es el encargado de contener amenazas en curso tan pronto como se identifiquen e identificar nuevos sujetos de investigación sobre los que realizar triajes y acciones de mitigación inmediatas para lo que normalmente contexto adicional como las técnicas que se cree que el atacante ha podido aplicar o el software que este emplea más allá de los indicadores de compromiso concretos.

Así, en el marco de la respuesta a incidentes, los entregables de los equipos de ciberinteligencia van mucho más allá de la mera identificación de observables concretos aunque, por supuesto, estos también se proporcionen. Hablamos de contar con herramientas concretas a los equipos de analistas técnicos que les permitan señalar comportamientos maliciosos concretos en las máquinas que están analizando y dar el soporte necesario sobre el comportamiento de las amenazas en tiempo y forma.

La inteligencia que no se comparte pierde efectividad

La oportunidad de los productos de inteligencia generados tiene mucho que ver con qué entregamos y con cómo lo entregamos, pero, sobre todo, con cuándo lo hacemos y con la confianza que tenemos en lo que adjuntamos en nuestros informes y entregables. Se trata de asegurarnos de que el destinatario va a interpretar lo que decimos en el sentido en que se escribe y sin ambigüedades: es una cuestión de hablar el mismo idioma para que la compartición se produzca de forma estructurada, sin margen para la duda sobre lo que se afirma con contundencia y con absoluta transparencia para señalar aquellos aspectos que han de ser tomados con reservas.

Por ello, la labor de los equipos de analistas no es ya tanto una labor de acción/reacción puntual, sino el resultado de los esfuerzos de continuidad mantenidos por un equipo que tiene que estar al tanto de las amenazas y que tiene que ser capaz de transmitir esta información de una forma ordenada, clara y consistente. Y parte de ese trabajo, por su puesto, se ha de realizar tras los incidentes, cerrando el ciclo. Porque las labores de análisis no terminan con la salida del equipo de respuesta del mismo, sino con el repaso de las lecciones aprendidas de este para integrar lo aprendido en el mismo para el futuro.

En cualquier caso, si entendemos la comunicación como la transmisión de señales mediante un código común al emisor y al receptor, establecer un marco común sobre el nivel de confianza es fundamental. Así lo hace el estándar para la compartición de inteligencia STIX (actualmente, en su versión 2.1) en la definición del atributo confidence con el que se puede catalogar cada uno de sus objetos de entre 0 y 100 usando diferentes escalas de credibilidad como la conocida como escala de almirante propuesta en el Field Manual 2-22.3 del ejército norteamericano.

El objetivo de estas escalas es dar al analista la posibilidad de manifestar diferentes grados de certeza sobre cada objeto y evitar que se deje de documentar comportamientos por miedo a tenerse que posicionar con una valoración binaria (confirmado/no confirmado). Así, el hecho de que existan evidencias con credibilidad cuestionable en un momento dado es relevante porque solamente si están documentadas y registradas se van a poder correlacionar en el futuro, algo que nos recuerda la importancia del factor tiempo a la hora de realizar las valoraciones que incluimos en los informes.

El factor tiempo

Está claro que una unidad de inteligencia irá acumulando conocimiento con el paso de los años que podrá ir acumulando e integrando para el futuro. Almacenarla de forma consistente y reutilizable es fundamental como hemos visto, sobre todo si se quiere conseguir que esta esté disponible justo cuando más se la necesita en la forma en que se necesite. Pero en respuesta a incidentes la presión y los plazos en la toma de decisiones son decisivos.

De hecho, uno de los aspectos que más diferencia al profesional del análisis en el ámbito de la respuesta a incidentes de un perfil puramente académico o investigador es que trabaja precisamente contrarreloj y sobre la incertidumbre. Quienes se enfrentan a la realidad de un incidente tienen que convivir con la llegada de información gradual, la falta de disponibilidad de parte de ella cuando más se la necesita y la presión que está experimentando un cliente al que se le acumulan las llamadas de clientes y proveedores preocupados y que tiene que hacer frente a las obligaciones de notificación establecidas por ley. Todo ello, tratando de contener una amenaza cuyo impacto solo se intuye a la vista del cifrado masivo de equipos y mientras trata de asegurar que las copias de seguridad y los sistemas se ven lo menos impactados posibles.

En el ámbito de la investigación académica la urgencia no es tan inmediata y con días o semanas de margen tendremos más opciones para revisar los detalles de todos los supuestos, mirarlo en profundidad y aprender en consecuencia. La realidad de un incidente en el que nuestros clientes tienen factorías o áreas completas paradas es mucho más dramática por desgracia. Incluye a compañeros de Hunting con necesidades operativas concretas improrrogables en forma de indicadores y comportamientos a bloquear y la de compañeros de forense que necesitan contexto y pistas sobre qué máquinas empezar la búsqueda del paciente 0 y entender cómo, por qué y hasta dónde se produjo la amenaza.

Es ahí donde el tiempo ―entendido tanto en términos de esfuerzo como de plazo― es clave para conseguir que las tácticas, técnicas y procedimientos conocidos de amenazas similares lleguen a sus destinatarios: tanto a nivel operativo para la contención y la mitigación, como a nivel estratégico para dar soporte a quien tomará las decisiones sobre los escenarios posibles que quedan por delante. Es justo ahí, cuando parece que no funcionan las cosas, donde desde las distintas áreas del equipo de respuesta podemos ayudar: trabajando codo con codo por recuperar esa ansiada normalidad. Contrarreloj, pero a tiempo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *