Breaking

3/2/17

CYBERCONTRAINTELIGENCIA @uliman73 Equipo rojo, Defensa y Engaños

By Lic. Ulises León Kandiko *
Continuando con esta pequeña saga, que solo pretende dar unas pinceladas de luz sobre lo que es la Cyberinteligencia y sus campos de acción, vimos en la última entrega algunos aspectos que hacen a la Subdisciplina de las Cyberoperaciones en cuanto a la “Recolección de Información”, ahí vimos los tipos de colección y de datos que se podrían obtener. Uno de los aspectos dables a resaltar es que los analistas deben ser muy críticos con los datos que trabajan y evalúa, ya que en cualquier momento podrían verse comprometidos.

Casi todos tenemos latiguillos o frases a las que recurrimos constantemente, uno de lesas frases preferidas mías es un principio Tomista Aristotélico que dice que el hombre por naturaleza es bueno, pero con tendencia a hacer el mal, dicho esto retomo el tema de los analistas, pues deben estar atentos y ser críticos, específicamente, los oponentes o adversarios podrían (y lo hacen) usar técnicas de contrainteligencia o de engaño para empujar a los analistas a sacar conclusiones equivocadas, a descartar datos o llevar acciones no deseadas. Tal así que la idea de este artículo es cubrir este tema de la Cybercontrainteligencia  y discutir sus 2 ramas principales: Ofensivas y Defensivas.


El mundo como tal existía mucho antes que apareciera lo Cyber o las computadoras en si, lo mismo sucede con la Inteligencia y claro esta con la Contrainteligencia, ambas vienen de la mano. Tratar de comprender que es Contrainteligencia es simple: “brindar protección contra las operaciones de inteligencia del oponente”. El objetivo con la Contrainteligencia es prevenir, disuadir, derrotar, manipular, negar información al oponente y proteger la propia información, personal, material e instalaciones contra las actividades mencionadas anteriormente.

Ahora bien, con el advenimiento de la tecnología y en especial con el cyberespacio, se hace necesario esbozar algunas pinceladas que hacen a los contrastes que se produce entre la Contrainteligencia tradicional y con la Cybercontrainteligencia. Como se sabe, muchos de los comprometimientos y escenarios donde se da la pérdida de datos son intrusiones e intentos de espionaje con la finalidad de alguna ganancia económica ó política, incluso si no están orquestados por un gobierno extranjero.

Si solo nos limitáramos a concentrarnos en las intrusiones de gobiernos extranjeros adversos ó servicios de inteligencia, muchos de los escenarios serían pasados por algo. Sin embargo, no podemos simplemente aplicar todas las acciones defensivas destinadas a prevenir intrusiones en el campo de la Cybercontrainteligencia. Si etiquetáramos a la Cybercontrainteligencia como todos los esfuerzos relacionados con la detección de intrusiones, entonces se convertiría en un término usado en exceso y el conjunto de habilidades no se restringiría de una manera útil.

Un punto significativo a tener muy presente es que no solo hay un enfoque solamente en la intrusión en si, sino en la intención de la intrusión y su posterior consecuencia.

Cybercontrainteligencia: Defensiva

Las acciones de defensa pueden ser tomadas o pensadas como acciones para identificar y contrarrestar intrusiones de oponentes antes que ocurran como así también los esfuerzos para identificar y minimizar el espectro de la amenaza. En muchos sentidos esto parecería ser el papel de acciones propias de cyberseguridad: reforzar las defensas y prevenir la intrusión.

Pues bien, lo cierto es que la intención es la de entender al adversario y minimizar el panorama de las amenazas que podrían explotar. El producto de ese esfuerzo suelen ser los informes y análisis que luego pueden utilizarse para complementar la seguridad de la información, de la red y del propio personal.

Una de las acciones mas llevadas a cabo es la denominada “evaluación de equipo rojo”. Si bien el término es muy anglo sajón y su raigambre es el de las operaciones militares, no deja de ser aplicable y valido. Es pensar en un equipo (equipo rojo) que tiene como tarea realizar una evaluación de la red para determinar dónde hay puntos débiles, donde hay acceso a los sistemas de información, permanente tratando de vulnerar nuestro sistema, plataforma, red y al mismo personal.

Si bien parece ser razonable y simple, la verdad es que no lo es, el equipo rojo deber tener un comprensión y claridad de las tácticas adversarias, de las técnicas y procedimientos para actuar con una precisión quirúrgica como si fuera el adversario. El equipo rojo observa la red y los sistemas de información, evalúa los sistemas de seguridad en su lugar y evita las defensas para infiltrarse en el objetivo.

En esencia, el equipo rojo nos ayuda a identificar el panorama de amenazas para la organización e informar a la organización sobre cómo podría reducirlo.

Realizar evaluaciones regulares de la vulnerabilidad interna o externamente es otra de las formas de ayudar a lograr esto. La evaluación de la vulnerabilidad no soluciona los problemas, sino que identifica dónde y cómo los adversarios pueden intentar una intrusión. El verdadero poder en estas acciones viene de la mano de los análisis de los analistas de Cybercontrainteligencia y no simplemente de los informes automatizados.

Otro de los ejemplos que podemos encontrar como medida defensiva es la realización de análisis de amenazas. Éste debe realizarse con toda la información disponible, ya sea proveniente de OSINT, HUMINT ó análisis técnico realizado a través de acciones como la ingeniería inversa de un malware.

Los analistas de amenazas  deben rastrear y comprender amenazas como surge del equipo de Mandiant en su reporte APT1. Con la comprensión de la amenaza, sus capacidades y tácticas, y sus operaciones de recolección de inteligencia, es posible activar proactivamente las defensas, frustrando así los intentos de intrusión.


Cybercontrainteligencia: Ofensiva

Las acciones ofensivas pueden ser pensadas como interacciones con el adversario para recopilar en forma directa información sobre sus operaciones de recolección de inteligencia o para engañar. La Cybercontrainteligencia Ofensiva puede aprovecharse de varias maneras, incluyendo el uso marionetas (personajes falsos) en foros online para recopilar información sobre las operaciones de recolección de inteligencia del adversario (capacidades, víctimas, tácticas, etc.), conseguir o convertir agentes en doble agentes (con conciencia del hecho o sin ella) para infiltrar la organización, ó en publicar falsos informes ó información para engañar al adversario en sus intentos de intrusión.

Estos esfuerzos pueden realizarse tanto dentro como fuera de sus redes. Un equipo de acciones ofensivas podría ayudar a crear un  honeypot dentro de una red adversaria para identificar actores maliciosos.

Además, este tipo de acciones llevadas a cabo por el equipo de defensa podría colocar archivos en el honeypot en las que el adversario podría estar interesado, pero que contuviese datos falsos o incorrectos; en este caso el adversario recuperaría los archivos con la información falsa, posiblemente propiedad intelectual corporativa, como una receta secreta, obvio creyendo que era real.

El engaño perpetrado compra a los equipos de defensa tiempo valioso, indicó la presencia del adversario, engañó al adversario posiblemente haciéndoles usar esa receta falsa en su producción, y en un escenario ideal el adversario produciría la falsa receta contribuyendo así en forma pública a establecer su responsabilidad en un acto de cybercrimen.

Es posible incorporar el pensamiento y entendimiento ofensivo de la Cybercontrainteligencia en operaciones que de otro modo no estarían relacionadas. El engaño y los falsos indicadores para engañar y retrasar  a los adversarios durante una operación sobre la red informática son invaluables, un claro ejemplo de ello es el examen llevado a cabo por Kaspersky Lab en la campaña de malware “La Máscara”.

En este ejemplo, los analistas de Kaspersky Lab determinaron que dado el gran número de víctimas en Sudamérica, asó como el uso del idioma nativo en español en el código del malware, indicaban que el adversario era probablemente español. La naturaleza avanzada de la operación de la red informática “La Máscara” y el costo que estaría asociado con ella contribuyeron a la idea que una organización de gobierno fue la responsable de ejecutar esa operación.

El desarrollo de Malware y las campañas de operadores podrían ser alentados para que introdujeran información destinada a engañar a sus oponentes (en este caso, el equipo de Kaspersky Lab). Con una comprensión del análisis de intrusos y la inteligencia de amenazas, el equipo ofensiva de Cybercontrainteligencia podría asesorar para que se incluyera la lengua española en el código y en las posibles víctimas de Sudamérica o habla hispana.

Claro esta que estos esfuerzos no incluirían la interacción directa con el adversario, el equipo de Kaspersky, pero en su lugar se sembraría información falsa la que podría impactar en los oponentes indirectamente en un tiempo posterior. En este escenario, la atribución aplicada en el informe sería incorrecta y se perdería tiempo de análisis valioso, contrarrestando así los esfuerzos de inteligencia del equipo de Kaspersky mientras se protege la operación del gobierno.

Algunas ideas finales

En la serie artículos que originó la temática de la Cyberinteligencia, hay un tema que siempre aparece y por ello es dable resaltar el papel del análisis sobre las acciones en su conjunto. El campo de la Cybercontrainteligencia es amplio y relativamente nuevo, por lo que resulta algo complicado dirigir y establecer eficientemente un equipo de Cybercontrainteligencia que produzca efectos efectivos y una inteligencia que brinde frutos para la organización.

Hay un lucha permanente, tanto en organismos de gobierno como en el sector privado, para llevar a cabo en forma eficaz una arquitectura y un mantenimiento adecuado de los sistemas, así como también la adquisición y empleo correcto de los sistemas tradicionales de defensa y algo menos en el establecimiento de equipos avanzados. La mitigación de estos fracasos comunes proporciona un mejor retorno de la inversión que el uso de equipos más avanzados y procesos de pensamientos por sí solos.

Sin perjuicio de ellos, las formas innovadoras de abordar la defensa, la visión de los problemas de una manera diferente a la tradicional y el uso de habilidades de análisis crítico como la Ccybercontrainteligencia es muy importante, incluso cuando se la emplea fuera de un equipo dedicado a la Cybercontrainteligencia. Puede que no sea práctico o rentable para pequeñas organizaciones tener un equipo de Cybercontrainteligencia, pero es increíblemente práctico tener discusiones sobre los procesos de pensamiento de un equipo semejante.


La defensa de nuestra red cobra fuerza, vitalidad y claridad a partir del conocimiento del equipo rojo y las operaciones del equipo azul, la comprensión de los beneficios en la reducción del panorama de amenazas y el engaño que se pueda perpetrar en el oponente. Capacitar a los analistas para que tengan un pensamiento crítico en lugar de solamente aplicar herramientas estandarizadas a un escenario dinámico dará resultados sorprendentes.

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar