Table of Contents Table of Contents
Previous Page  30 / 76 Next Page
Information
Show Menu
Previous Page 30 / 76 Next Page
Page Background

organizaciones y se sea capaz de

actuar adecuadamente ante la activi-

dad sospechosa.

También puede darse el caso de que

la respuesta a incidentes requiera el uso

de herramientas que pueden no estar

disponibles para una sola organización,

sobre todo si se trata de un organismo

pequeño o mediano. En estos casos,

el organismo en cuestión puede apro-

vechar su red de intercambio de infor-

mación de confianza para externalizar

de manera eficaz el análisis del ciberin-

cidente a los recursos de terceros que

sí tienen estas capacidades. Un inter-

cambio de información realizado, eso sí,

de forma segura (utilizando dispositivos

de protección de perímetro en la inter-

conexión, como pasarelas diseñadas

para garantizar este intercambio seguro

entre distintos dominios).

Así, el Centro Criptológico Nacional

está volcando sus esfuerzos en favo-

recer esta colaboración, con el desa-

rrollo y despliegue de herramientas y

sistemas que permitan el intercambio

automático de reglas de detección

e indicadores de compromiso (IOC)

para su integración en los sistemas de

defensa de cualquier organización. De

ahí, han surgido dos grandes proyec-

tos: LUCIA y REYES

.

Lucía

La gestión adecuada de ciberinciden-

tes constituye una actividad compleja,

que contempla la adopción de méto-

dos para recopilar y analizar datos y

eventos, metodologías de seguimiento,

procedimientos de tipificación de su

peligrosidad y priorización, así como

la determinación de canales de comu-

nicación con otras unidades o entida-

des, propias o ajenas a la organización

que, llegado el caso, ayude a su reso-

lución. Precisamente, para ayudar en

esta gestión y coordinación, el CERT

Gubernamental Nacional ha desarro-

llado la herramienta

LUCÍA

, un siste-

ma federado de

ticketing

que ofrece

un lenguaje común de peligrosidad y

clasificación de incidentes, de acuerdo

al

Esquema Nacional de Seguridad

(ENS

) y a la

Guía CCN-STIC 817 de

Gestión de Ciberincidentes

2

.

La herramienta, cuya prueba piloto

se inició en 2015 y que este año espera

estar a pleno rendimiento, mejora el

intercambio de información de inciden-

tes; mantiene la trazabilidad y el segui-

miento del incidente; mejora en los

procesos de gestión y automatización

de tareas y permitir su integración con

otros sistemas, como Remedy u OTRS.

Reyes

Iniciada su andadura en 2015, con una

prueba piloto, el proyecto REYES de

intercambio de información y cono-

cimiento sobre ciberamenazas del

CCN-CERT busca dar un giro com-

pleto al modo de colaboración entre

las organizaciones. Con él, se preten-

de intercambiar la información de una

forma ágil, con confianza y reciproci-

dad entre todos los entes implicados,

y en donde primen los modelos pro-

activos, que vayan mucho más allá del

correo electrónico.

REYES está basada en la Plataforma

de Intercambio de Información de

Código Dañino (MISP)

3

, un sistema

ya funcional que fue desarrollado por

las fuerzas armadas belgas pero que,

en el año 2012, se facilitó abiertamente

a la comunidad con una licencia de

código abierto y en el que participan

diversos equipos de respuesta a inci-

dentes como NATO NCIRC (OTAN),

CIRCL (Luxemburgo) o CERT-EU

(Unión Europea).

Lo que hace a este sistema algo único

es que está federado con organismos

internacionales, recoge información de

multitud de fuentes especialistas en

malware

y contiene atributos y eventos

de código dañino contextualizados.

Además, REYES permite la interacción

con otras herramientas de análisis y

realiza automáticamente la correlación

entre los distintos elementos de ciberin-

teligencia que contiene.

Un intercambio de información realizado,

sitivos de protección de perímetro en la

para garantizar este intercambio seguro

volcando sus esfuerzos en favorecer esta

liegue de herramientas y sistemas que

reglas de detección e indicadores de

en los sistemas de defensa de cualquier

des proyectos:

LUCIA

y

REYES

.

constituye una actividad compleja, que

ecopilar y

ogías de

ión de su

como

la

ación con

jenas a la

ude a su

en esta

rnamental

LUCÍA

, un sistema federado de

ticketing

rosidad y clasificación de incidentes, de

idad (ENS)

y a la

Guía CCN-STIC 817

de

reciprocidad entre todos los entes

implicados, y en donde primen los

modelos proactivos, que vayan mucho

más allá del correo electrónico.

REYES está basada en la Plataforma de

Intercambio de Información de Código

Dañino (MISP)

3

, un sistema ya funcional

que fue desarrollado por las fuerzas

armadas belgas pero que, en el año 2012, se facilitó abiertamente a la comunidad

con una licencia de código abierto y en el que participan diversos equipos de

respuesta a incidentes como NATO

NCIRC (OTAN), CIRCL (Luxemburgo) o

30 red seguridad primer trimestre 2016

especial

A

rtículo

PIC

monográfico

1

Códigodañinoparaelsecuestrodeunordenadorycifradodesusarchi-

vos con la promesa de liberarlo tras el pago de un rescate

2

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacio-

nal-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html

3

Malware Information Sharing Platform

1 25 26 27 28 29 30 31 32 33 34 35 36 76  FlippingBook