Download - Herramientas+de+ciberinteligencia s21 sec
Construyendo la Ciberdefensa en España
Técnicas OSINT de análisis de datos para Ciberdefensa
2 de abril de 2014
Coordinadora Unidad de Análisis de Inteligencia S21sec, Eva Moya
2
El Quinto Espacio
3
La habilidad de un país de poder continuar creciendo depende de varios factores y la seguridad es clave en todos
Atraer inversores del extranjero Atraer turistas Fomentar el crecimiento de negocios locales
Mejorar el sistema de educación Mejorar el sistema de salud Mejorar las infraestructuras criticas
Mantener buenas relaciones con otros países
Invertir en tecnologías que aumenten la eficiencia y productividad del país
Entender, controlar y solventar desafíos sociales
Seguridad es un cimiento o requisito básico
La población El capital Las empresas El ambiente Las
estructuras
4
La necesidad para la ciberseguridad nunca ha sido más fuerte de lo que es ahora porque las amenazas son cada vez más complicadas de combatir .Las tendencias globales
El cibercrimen se ha
profesionalizado
El hacktivismo
La dependencia del canal digital en
casi todos los ámbitos
La conexión entre el crimen del
mundo físico y el virtual
La globalización de los actores
Poca colaboración entre gobiernos y otras instituciones
Falta de madurez por parte de
consumidores y empresas
5
Existen numerosas cuestiones compartidas que requieren vigilancia...
Ciber Terrorismo
Gobiernos “activos”
Terrorismo
Hacktivismo
Ataques a redes y ordenadores
Ataques de denegación de servicio (DDoS)
Modificación website Actividades perjudiciales
destrucción
Software malicioso
Antiterrorismo
Radicalización
virus
Sabotaje virtual
Espionaje
Robo de información
Filtración de datos
Software de seguridad falso
Intrusos
Phishing
Violación de la privacidad
6
Es imprescindible poder tomar decisiones ágiles y en tiempo real para combatir estas amenazas.
¿Supone esta amenaza un
riesgo real para mis operaciones?
¿Cuál podría ser el impacto real
de esta amenaza?
¿A quién debo informar sobre esta amenaza?
¿Cuánto tiempo tengo para planificar una estrategia que me
sirva?
¿Qué recursos necesito para
actuar eficazmente?
¿Debo estar en contacto con mis
aliados?
¿Necesito un plan de
contingencia con las medidas
a aplicar? ¿Afectará esto a mi
estrategia global?
¿Afectará esto a
nuestras tropas?
¿Como puede afectar lo que decida a otras
áreas de mi organización?
7
… porque los escenarios de ciberdefensa están aumentando día a día
US UK Australia Germany Japan
Ejemplos del promedio de coste del cibercrimen por ataque a una compañía in 2012; en millones
de dólares 8.9
3.2 3.4
5.9 5.2
102
72
50
Promedio de ataques de éxito en los países en desarrollo
2012 2011 2010
0 5 10 15 20 25
DefenceUtilities & energyFinancial servicesCommunication
TransportationTechnology
ServicesPublic sector
HealthcareIndustrial
Consumer productsRetail
Promedio de coste anual por sector
Viruses,worms, trojans
Malware
Botnets
Wed-based attacks
Stolen devices
Malicious code
Malicious insiders
Phishing & social
engeenering
Denial of services
Tipos de ciberataques sufridos por compañias
Sou
rce:
Pon
emon
Inst
itute
8
El Análisis de Intelligencia es básico para la toma de decisiones, pero tiene que ser personalizada, oportuna y procesable
En nuestra experiencia, muchos enfoques para la generación y explotación de inteligencia no cumplen con los requisitos más importantes para facilitar la buena toma de decisiones:
Debilidades Ejemplos Buenas prácticas
Información obsoleta
Los metadatos no muestran información real
Filtrado cuidadoso de los datos
Impactos
Los analistas de Inteligencia pierden tiempo buscando información inútil
Demasiados datos irrelevantes
Difícil procesar la información de modo integrado
Configuraciones adecuadas de listas blancas y listas negras
Fallos al reconocer el escenario real.
Gran cantidad de datos para procesar
No se detectan ataques de hacktivistas
Búsqueda proactiva para ese propósito
La organización es atacada en su conjunto
Insuficientes parámetros de seguridad
Ataque organizado utilizando los Social Media
Medidas de seguridad dinámicas
La red de la organización es atacada y bloqueada
Demasiada información nueva para decidir cuál es útil
Se reciben alertas inútiles que no contemplan todas las perspectivas
Seguimiento y conocimiento de eventos específicos
Desbordamiento de alertas de seguridad
9
o Volumen y dinamismo de la información desestructurada
o Encontrar ciertos contenidos resulta complejo
o Ciertos protocolos: http, ftp, irc, p2p,…
o Múltiples formatos: txt, pdf, doc, xls, avi, mp3, wav…
o Un análisis de Inteligencia manual es muy costoso: websites, blogs, foros, news, redes sociales…
• Capacidad de acceder y procesar documentos digitales
• Filtrar, categorizar e indexar • Explotar, reconocer y visualizar los datos • Gestionar información relevante • Especialistas en NLP • Unidades de Inteligencia • Analistas especializados R
eque
rimie
ntos
Entonces... ¿Cuál es el verdadero problema?
10
La especialización es la clave del éxito>> >> una plataforma parametrizada y configurada según las necesidades
>> la parte relevante está definida por el consumidor de la información.
¿Cuáles son sus objetivos? ¿Qué debemos monitorizar? ¿Qué otros conocimientos podemos automatizar? ¿Quién será el usuario? ¿Cómo necesitan operar la plataforma? ¿Dónde encontraremos los datos? ¿Cuáles son los criterios de filtrado? ¿Como procesar la información? ¿Necesitamos monitorizar una jerga específica? ¿Cómo vamos a recuperar los datos? ¿Quién debe emitir el informe? ¿Qué tipo de informe se necesita? ¿Cuándo debe emitir una alerta la plataforma? ¿Qué idicadores se van a medir? ¿Qué acciones se llevarán acabo después de la alerta?…
Antes de empezar debemos conocer nuestras necesidades
11
Convertir los datos en inteligencia práctica está lejos de ser fácil, pero se puede hacer, se requiere un proceso integral y robusto
Explotación
Informes
Monitorización
Análisis
Gestión
S21sec OSINT
Procesos
12
Localizar información relevante en tiempo real es fundamental
¿Qué es lo más importante en esta fase?
¿Cuáles son los retos para conseguirlo?
Ejecutar una búsqueda exhaustiva de las fuentes externas de información, incluyendo la “deep web”
La localización de ciertos contenidos puede ser compleja
¿Cómo superar estos desafíos?
Usando diferentes soluciones para cada contexto y necesidad
Veracidad de la información Colaboración integral entre unidades multidisciplinares
Información en constante cambio y evolución
Utilizando diferentes soluciones de software para cada recurso de información
Los datos están encapsulados en múltiples formatos
Búsqueda de otros sistemas para almacenaje y gestión de la documentación
Monitorización
13
Al igual que los análisis automáticos son esenciales, el elemento humano también es indispensable
El análisis de Inteligencia suministra información de valor para la toma de decisiones
Como procesar/modelar los datos Diseñando herramientas para unidades específicas
Un mismo riesgo tiene diferentes significados para la toma de decisiones
Escalar la amenaza recibida a la persona adecuada para su valoración
Como extrapolar los resultados a la organización global desde información tan específica
Establecer un proceso de colaboración estrecha con todas las partes
Qué medidas internas tomar después de recibir el análisis (por ejemplo, alertas)
Incorporación de procesos /reacciones internas a las amenazas alineadas con el análisis recibido
Análisis
¿Qué es lo más importante en esta fase?
¿Cuáles son los retos para conseguirlo? ¿Cómo superar estos desafíos?
14
Los datos deben gestionarse adecuadamente para dirigirlos hacia las necesidades requeridas
Filtrar y organizar la información en formatos cómodos para la consulta
Incomprensión de las necesidades de los distintos stakeholders
Trabajando estrechamente para una compresión mutua
Decidir qué es relevante Proporcionar los indicadores adecuados a las personas adecuadas
Información en tiempo Comprensión eficiente de las acciones en fuentes abiertas
Cómo justificar la calidad de la información Comprensión eficiente de la estructura y trabajos en la organización
Filtering
Gestión
¿Qué es lo más importante en esta fase?
¿Cuáles son los retos para conseguirlo? ¿Cómo superar estos desafíos?
15
Sistema de información eficaz y eficiente que suministre información sobre amenazas y oportunidades
Conseguir el mensaje necesario para los que toman las decisiones
Los analistas necesitan tiempo para evaluar toda la información
Diseño de herramientas que ayuden a priorizar
Cómo conseguir que la información sea confiable
Inclusión de analistas de Inteligencia especialistas en todas las partes del proceso
Cómo conseguir que la información sea útil y vaya directa al grano
Desarrollar heramientas de visualización
Informes
¿Qué es lo más importante en esta fase?
¿Cuáles son los retos para conseguirlo? ¿Cómo superar estos desafíos?
16
Para explotar con éxito la inteligencia se requiere de una profunda alineación e integración de los procesos internos
Convertir la información en información de valor
Cómo educar a las unidades de Inteligencia Procesos de comunicación interna adecuados
Cómo gestionar las diferentes necesidades Comprendiendo los “puntos negros”
Cómo involucrar a los que toman las decisiones en todo el proceso
Mostrando resultados tangibles que les afecten
Cómo automatizar ciertas decisiones cuando ser recibe el aviso Diseñando procesos robustos
Explotación
¿Qué es lo más importante en esta fase?
¿Cuáles son los retos para conseguirlo? ¿Cómo superar estos desafíos?
17
Nosotros ayudamos a nuestros clientes a hacer frente a sus desafíos usando nuestra propia plataforma OSINT
Recursos de Información
APLICACIONES (Módulos)
Financial Services Retail Telco Industries
General application
Public Utilities LEAs Prof. serv.
Manufacturing Airlines Defense
Fraud Hacktivism Market
research Cyber crime Brand monitoring
Customer retention
PLATAFORMA OSINT Intelligence Big Data
External Internal
Cyber Defence
Customer segmentation
Efficiency improvement
Risk minimization
Blogs / RSS
Web sites
Mailing lists
Blogs
Subscriptions
Web forums
PRIVATE AREAS
Search engines
Social Networks
18
OSINT
Ope
n So
urce
s Social Networks Inversed index
Media Onion RSS
Uns
truc
ture
d da
ta
Spid
er W
eb Connectors
Faceted and advanced search
Warnings
Men
tions
Multichannel Multimedia Multilanguage
TMA
BIG DATA
Stru
ctur
ed a
nd
unst
ruct
ured
dat
a Open source technologies Volume Variety Velocity Re
latio
ns
Simplify
Coex
ist
Visualization
Empo
wer
Integrate Storage
Knowledge
Natural Evolution
Construyendo la Ciberdefensa en España
MUCHAS GRACIAS
2 de abril de 1014
Coordinadora Unidad de Análisis de Inteligencia S21sec, Eva Moya