Breaking

23/1/17

Operaciones de Cyberinteligencia @uliman73 "Recolección de Información"

By Lic. Ulises León Kandiko
En el artículo anterior comencé a tratar con cierto grado de profundidad el tema de la Cyberinteligencia y los Cyberanalistas, di alguna definición o conceptualización de lo que es la Cyberinteligencia, vimos el apego que lleva al propio proceso o ciclo de la inteligencia y luego comencé esbozar una suerte de perfil del analista en Cyberinteligencia o como prefiero denominar Cyberanalista.

Luego de todo ello vimos que esta actividad puede orientarse o subdividirse en 3 subdisciplinas: 1) Operaciones de recolección de Cyberinteligencia; 2) Cyber-Contrainteligencia; y 3) Inteligencia de amenazas. Hoy comenzaré a sobrevolar el concepto y acciones propias de las Operaciones de Recolección de Información.

Cuando se trata esta subdisciplina, parece llevarnos al campo de lo militar o cuanto menos a acciones de gobierno, especialmente por el uso de la palabra “operaciones”. Sin embargo en este caso no es tan así, la idea de usar este término refiere mas a tratar el concepto de un proceso sostenido en el tiempo y no a una única acción.


En referencia al Ciclo de la Inteligencia hablamos sobre un proceso que implica un plan o directriz, es así que el analista busca recolectar información o datos (proceso de reunión), esto sin lugar a dudas debe responder a un esfuerzo mayor en pos de un objetivo ó al menos responder a alguna de los interrogantes en lugar de simplemente ser un evento independiente ó único.

En el ámbito  Gubernamental, Militar o de Fuerzas de Seguridad, existe la tendencia a dar una excesiva valoración de la información que se obtuvo, con el consiguiente resultado en su análisis posterior. Para evitar esto, hay que recordar que dicho material o información clasificado fue conducido o escrito por otros operadores (personal de reunión), aunque no siempre es el caso, suele suceder que se equivoque o exageren sus propios productos, de ello la importancia que quien recolecta no sea quien analiza.

Para poder llevar adelante cualquier tipo análisis de datos se debe tener acceso a los datos. Aunque esto parezca un Perogrullo, es importante poder identificar las fuentes correctas de datos, esto puede ser uno de los trabajos más difíciles a los que hacer frente. Generalmente sucede que los datos que se refieren en los informes de reunión de información ya fueron trabajados, masticados y pseudo analizados, se carece así de los datos originales, crudos que previamente se vieron o tuvieron en cuenta.


Si bien es cierto que parece beneficioso ver el análisis de otro analista o de compañías colaboradoras, es aún más cierto que el acceso a datos en bruto tiene un alto grado de criticidad, especialmente cuando se trata de validar información. Además cuando un analista validad el trabajo de otro analista, no es solo una cuestión de determinar calidad de trabajo, sino que es muy relevante tener presente que dos analistas pueden poseer los mismos datos crudos y llegar a conclusiones diferentes e incluso hasta antagónicas.

Cuando nos ponemos a pensar entonces cual es el estándar correcto para realizar una recolección de datos nos encontramos con variedades de formas programáticas, por lo que ante esta gran variedad de formas, tomé tres categorías o tipos de recolección para entender de donde vienen los datos y luego ver así tres  tipos  de  datos;  los  tres  tipos  de  recopilación  de  datos  son  1) Pasiva,  2) Híbrido; y 3) Activo.

1.      Pasiva.
Son los datos recopilados en redes o sistemas de información sobre los cuales se tiene responsabilidad.  Un claro ejemplo sería la captura de tráfico interno de la red, recopilando los registros del sistema, monitoreando los foros internos y toda otra actividad interna que lleve adelante el organismo o empresa; es como realizar evaluaciones de equipos rojos u oponentes. Lo relevante en este tipo es resaltar que el término Pasivo se refiere a que quien recolecta data no se involucra directamente con un adversario, oponente o su infraestructura.

2.      Híbrido.
Son los datos compartidos de otras redes o sistemas de información o recopilados en redes diseñadas para atraer a los adversarios u oponentes. Un ejemplo de ello puede ser una entidad financiera compartiendo su información con otra entidad financiera, la primera entidad puede haber sido víctima de un ataque y con esta info la otra entidad financiera podrá prepararse para repeler ese tipo de ataque. Otro claro ejemplo son los Honeypots dispuestos para atraer a los adversarios y así interactuar con ellos. La recolección de datos híbridos es un aspecto clave para el Subsistema de Inteligencia de de Amenazas.

3.      Activo.
Son los datos obtenidos de redes externas o sistemas de información bajo la influencia del adversario. Acá cobra cabal relevancia entender que las redes o sistemas de información bajo la influencia de un adversario podrían no ser propiedad o controlados por dicho adversario. Un ejemplo de esto sería un servidor de Comando y Control (C2) que se emplea con conectarse al malware. El servidor C2 puede pertenecer a una víctima involuntaria mientras esa siendo utilizado por el adversario. La recolección activa de datos requiere generalmente que los analistas responsables de la reunión de información tengan acceso a datos confidenciales, participen de operaciones de desmantelamiento realizadas por el gobierno o lleven a cabo operaciones policiales bajo órdenes judiciales. Este tipo de recopilación de datos deber realizarse cuidadosamente para no caer luego en una nulidad de prueba por vulnerar derechos de privacidad entre otros, acá las buenas prácticas son cruciales.

Una vez que superamos esta etapa de recolección de datos, pasamos a tratar de entender el tipo de datos recopilados. Dijimos que son tres los tipos de clasificaciones de datos que podemos emplear, las que son: 1) Datos brutos; 2) Datos explotados; y 3) Datos de producción.

1)     Datos brutos.
Son los datos no evaluados recopilados de una fuente. Esta clase de datos puede ser el mas fructífero, pero a su vez es el que requiere mas tiempo para procesar y analizar. Debe incluir detalles en bruto como direcciones IP, registros de red, mensajes completos de foros, etc.

2)     Datos explotados.
Son los datos ya procesados y explotados (analizados) por otro analista que contiene sin embargo datos brutos seleccionados. Debe contener datos en bruto y detalles técnicos (si están disponibles), pero puede ser solo datos en bruto que el analista encontró relevantes ó interesantes. Este tipo de datos debe incluir un análisis del significado o qué indican esos datos.

3)     Datos de producción.
Son los datos que conformar ya un informe destinado a la difusión, que puede incluir datos en bruto o limitados. Generalmente los datos de producción solo pueden estar destinados a la concientización de un lector o puede estar destinado para sugerir acciones. Un ejemplo serían las advertencias dadas a los usuarios.

Algunos ejemplos de datos recogidos con el tipo de colección

CRUDO
EXPLOTACION
PRODUCCION
PASIVO
Tráfico de red, archivos de configuración del router, dispositivos digitales, análisis basado en host, publicaciones en el foro de la empresa, etc. desde sistemas internos.
Antivirus / IDS / IPS alertas en sus redes, evaluación del equipo de respuesta a incidentes, evaluaciones de su red con datos en bruto seleccionados, etc.
Consejos gubernamentales, avisos, informes a la gerencia, etc. sobre sus redes con poco o ningún dato técnico.
HIBRIDO
Datos de honeypot, intercambio de datos (captura de red, muestras de malware, archivos, etc.) entre la red externa, observaciones en otros foros.
Informes de malware con muestras, indicadores de compromiso, informes técnicos / evaluaciones de otras redes, etc.
Informes de malware sin muestras, fuentes de amenazas de alto nivel, informes de medios de comunicación que discuten a las víctimas, avisos públicos.
ACTIVO
Información de cuenta o autenticación del adversario, mapas de arquitectura de red, datos de la explotación de redes, interacción en sitios web / foros adversarios.
Operaciones de Cuerpos Poiciales / Agencias de Gobierno con la participación de empresas privadas que publican informes, informes de campañas, informes filtrados o documentos de los adversarios.
Cuerpos/Agencias Policiales ó salida de Gobierno, informes de los medios de comunicación sobre los adversarios, informes de campaña sin muestras, etc.

Muchas herramientas y enfoques están disponibles para analistas como la forensia digital y la respuesta a incidentes, la inteligencia de amenazas, el uso de los adversarios de foros de monitoreo, la suscripción de amenazas, la realización de búsquedas OSINT e incluso unirse a grupos especializados que comparten datos y análisis.

Sin embargo, el aspecto más importante de las Operaciones de Recolección de Cyberinteligencia es identificar correctamente las fuentes de datos y asegurarse que los datos son válidos. Cada vez que intente llevar a cabo operaciones de inteligencia, debe tener en cuenta que los datos o el análisis pueden ser incorrectos y que los datos falsos pueden colocarse con fines de contrainteligencia y engaño.

*Licenciado en Seguridad, Egresado IUPFA, CSO., Analista, Especialista en Inteligencia, Seguridad Pública  y Defensa, Cyberterrorismo y Cyberamenazas. Actualmente es CEO de GS2 y brinda asesoramiento a Gobiernos Estaduales y Fuerzas de Seguridad.

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar