Inteligencia colectiva aplicada a la seguridad

Estimados amigos del Blog del Laboratorio de Ontinet:

Para situarnos en el concepto que vamos a intentar diseccionar nos tenemos que remontar al 3.000 A.C. Se dice que fue el fin de la prehistoria y se dio paso a la historia. ¿Qué acontecimiento desencadeno este cambio? ¡¡La escritura!!

El ser humano sin saberlo, comenzó una nueva época relacionada con el conocimiento. Quizás todo empezó como empiezan las cosas importantes, por casualidad. Algún comerciante comenzó a tener tanto patrimonio que se vio en la necesidad de hacer palitos para contar sus ovejas, o sus cuencos de vino. Sin quererlo, comenzó un camino que permitió a la humanidad acceder al conocimiento de gente de distintas épocas y lugares. Algo parecido a Internet, pero más lento 🙂

Vamos a dar un salto en el espacio tiempo y nos vamos a situar en las películas policiacas de los 60/70 del cine Norteamericano. Recuerdo de pequeño ver esas películas y sorprenderme un hecho que a día de hoy entiendo, pero no comprendo. Recuerdo a esos malvados con pelo afro y cochazos grandes, rodando por autopistas inmensas y policías obesos persiguiéndolos cual noche sin día.

Estos ladrones macarras en muchas ocasiones conseguían burlar la justicia por el simple hecho de que el Sheriff del condado no podía traspasar la frontera del estado. De pequeño soñaba con una “legislación” parecida dentro de mi ámbito. Una línea imaginaria en mi cuarto que me hiciera inmune a los tirones de orejas de mi madre al realizar las trastadas típicas de un niño trasto como yo 🙂

¿Cómo podemos aunar estos dos conceptos, el de la escritura y el conocimiento, y el de las leyes entre estados o países, con la ciberseguridad?

En el mundo en el que vivimos, en lo que a fronteras en internet respecta, tener distintas legislaciones y barreras administrativas, burocráticas, policiales, en la lucha contra el cibercriminal, es un problema que por desgracia, con demasiada frecuencia, las empresas que luchamos por una red más segura nos encontramos día a día.

Las empresas de prevención del fraude, analistas de seguridad, centros de respuestas ante incidentes, etc. se encuentran con el problema de encontrar fuentes de actividad maliciosa como botones, malware, ataques DDOS, ATP y demás maldades, y tienen problemas en la parte de mitigación al encontrarse con países en los que no está extendida ya no la ley, sino la cultura de seguridad en Internet.

Puedes encontrar una C&C (Command and Control, Software dedicado a controlar una red de ordenadores) ubicado en un servidor en un país asiático, y por más que notifiques a las autoridades pertinentes del país, el equipo seguirá siendo el “jefe” de la banda de ordenadores realizando sus actividades malechoras.

Nosotros desde Eset cuando encontramos equipos comprometidos en España, solemos acudir al GDT (Grupo de delitos telemáticos de la Guardia Civil) para que ellos actúen contra los equipos que detectamos han sido comprometidos (sabiéndolo el dueño o no) y colaborando con el ISP para detener esa actividad maliciosa. Cuando el caso traspasa las fronteras de España o mejor dicho, de Europa, directamente no podemos hacer nada.

¿Cómo podemos aprovecharnos de la inteligencia generada por la comunidad?

¿Qué hace un antivirus? Detecta fragmentos de software, de código, que ejecutado en un equipo puede resultar dañino para este. Aunque se emplean reglas heurísticas para detección de nuevos elementos, el trabajo de base consiste en una serie de reglas, de firmas, de patrones de software que realizan actividad maliciosa. Con un buen antivirus ya estamos usando la inteligencia generada por analistas y simples usuarios a través de todo el mundo, y nos protegemos gracias a sus hallazgos.

Lamentable en Internet los virus y malware en general ya no es la fuente principal de las actividades maliciosas. Un ataque de denegación de servicio que no permita a nuestro E-commerce vender nuestros productos es un daño más que considerable. Un ataque de Phishing que pretenda robar alguna de nuestras preciadas contraseñas… Los lectores del blog están más que acostumbrados a que hablemos de todo tipo de amenazas que nos rodean.

Cuando usamos un servicio de correo como Hotmail, Gmail y cualquier otro en la nube, estos servicios incorporan protección contra el SPAM. Posiblemente en tu correo de empresa también uses una solución antispam. Una base de datos de dominios y direcciones de correo que se han catalogado como maliciosas en alguna parte del mundo. Si a tu dirección de correo llega un mensaje que proviene de una fuente de spam conocida, tu sistema lo bloquea por ti. ¡¡¡Esto es inteligencia colectiva!!!

Imagina la cantidad de ataques que una empresa como Eset recibe al día. Mejor dicho, vamos a ampliar este concepto a la cantidad de ataques que una empresa como Eset DETECTA, ya que posiblemente el 60% de los ataques que sufrimos a diario los sufres ¡¡TÚ!! En tu móvil, en la línea de internet de casa, de la empresa.

Con suerte, estos ataques no fructifican, porque tenemos los sistemas bien actualizados, porque tenemos medidas de seguridad adicionales al antivirus como una versión de firewall. ¿Sería interesante recopilar todas las direcciones IP´s que están atacando a diario, y usarlas en nuestros firewalls para proteger nuestros sistemas? Si una dirección IP me ha atacado a mí, ¿por qué no la bloqueas para evitar que te ataque a ti?. Este el concepto de usar la inteligencia colectiva. En muchos ámbitos se le denomina Threat Intelligence. Es más complejo que detectar una dirección IP, ya que el elemento malicioso puede ser un dominio, ip, un fichero (por lo que se usa un HASH) una url concreta, etc.

Creo que hasta aquí va bien para analizar el concepto de inteligencia colectiva o Threat Intelligence.

En los siguientes artículos voy a enseñaros las distintas fuentes de información gratuitas que existen en el mercado para protegernos de esta manera, usando la inteligencia de otras entidades. Veremos software para implementarlo en nuestras organizaciones.

Espero que os guste, ¡¡gracias por leerme!!