1. Título del taller.

Monta la NSA en tu casa: Inteligencia aplicada al mundo cyber

2. Resumen del taller

Este taller comenzó con una introducción sobre que es la Inteligencia y como se relaciona con la Ciberinteligencia. Se expuso un caso para investigar, con el fin de mostrar la problemática a los asistentes del proceso de recolectar información para generar inteligencia de diferentes fuentes y herramientas. Se mostró al finalizar el taller una posible solución a estos problemas de tratamiento de datos de diferentes fuentes mediante la creación de herramientas propias que permitían la orquestación de todo el ecosistema, permitiendo relacionar todos los datos entre sí a través de grafos, generando inteligencia accionable a partir de los datos de origen.

3. Objetivo

Explicar conceptos básicos de Inteligencia, como se relaciona con la ciberseguridad y plantear un caso práctico que nos permita investigar y conocer las limitaciones de los procesos manuales para finalmente hacer llegar a los asistentes una posible solución a través de la automatización de la recolección de grandes volúmenes de datos.

4. Desarrollo del taller

Iván Portillo y Gonzalo González, miembros de esta comunidad (GINSEG), han impartido un taller sobre Ciberinteligencia cuyo título ha sido Monta la NSA en tu casa: Inteligencia aplicada al mundo cyber.

El taller se planteó con una parte teórica y otra práctica.

  • Dentro de la teoría, se comenzó con una breve introducción de que es la Inteligencia, ofreciendo varios conceptos como los tipos de inteligencia existentes dependiendo de su fuente, el Ciclo de Inteligencia mencionando los modelos de la CIA y CNI actuales, como se genera la propia inteligencia procesándose desde un dato mínimo de valor y la diferencia entre riesgo/amenaza, que son conceptos relacionados pero distintos. En la última parte de esta sección teórica, se explicó por qué se necesita la ciberinteligencia, mencionándose varios conceptos relacionados, además de un ciclo de inteligencia adaptado y los interlocutores que consumirán la inteligencia dentro de una empresa.

 

Foto obtenida del perfil de Twitter de Paula

 

  • En la parte práctica, se realizó un ejercicio emulando un ataque real a una empresa, poniendo rostros con el fin de que se viera como se actuaría ante una amenaza concreta y cómo interactúan los diferentes interlocutores desde el máximo responsable de la empresa hasta los analistas más técnicos. Una vez que se expuso la amenaza, se mostraron diferentes repositorios de datos desde donde se podía obtener diferentes tipos de información, mencionándose posteriormente algunas herramientas con las que comenzar a realizar una investigación sobre un objetivo de manera manual. La idea del taller era realizar una investigación guiada sobre la empresa que se había visto afectada por la amenaza e intentar descubrir toda la información que estuviera expuesta en internet. Una vez que se comenzara la investigación, los asistentes tenían que llegar a la conclusión de que realizar investigaciones manuales sobre una mediana o gran empresa no era viable. Por ello se mostró como crear y/o reutilizar herramientas automáticas con el fin de que vieran su utilidad y las ventajas asociadas a la disminución del tiempo dedicado a la recolección y análisis de información.

 

Foto obtenida del perfil de Twitter de Derecho de la Red

 

Sobre la investigación de la empresa objetivo, se obtuvieron un gran número de ficheros generados por cada una de las herramientas utilizadas, además de cantidades elevadas de información.

Se intentó que los asistentes llegaran a la conclusión de que el método usado no era eficiente, por ello, se mostró una manera de integrar diferentes herramientas entre si y generar las propias relaciones entre los datos por medio de la orquestación de estas herramientas. Esto se consiguió utilizando un gestor de colas (RabbitMQ) para comunicar la información entre las diferentes herramientas y una base de datos de grafos (NEO4J) donde almacenar en un único lugar, toda la información recolectada.

 

Ejemplo de las relaciones entre los nodos de datos hecho a partir de la orquestración de varias herramientas y fuentes OSINT.

 

Para finalizar el ejercicio planteado, se explicó cómo se comunicarían los diferentes interlocutores, ofreciendo al responsable táctico todo el inventario de activos detectados por la parte técnica, además de un informe ejecutivo que enviar al máximo responsable de la compañía, perteneciendo a la parte estratégica.

 

Foto obtenida del perfil de Twitter de Dormidera

La presentación puede consultarse en el siguiente enlace:

HoneyCon2018_Ciberinteligencia-IvanPortillo-GonzaloGonzalez

5. Conclusión

Como conclusión final, se trató de que los asistentes vieran el potencial de integrar diferentes herramientas en un desarrollo personal, relacionando los datos extraídos de cada uno de los resultados. En la investigación se demostró que partiendo de un único nombre de empresa, se pudo obtener una infraestructura alrededor de esta, pudiendo recolectar Direcciones IP, Rangos IP, Dominios, Organizaciones asociadas, Personas, Credenciales, ASNs, Puertos, Productos Tecnológicos utilizados – CPE, Subdominios, Hashes, referencias a amenazas en redes sociales, menciones en foros y comunidades criminales y URLs con malware relacionados entre otros datos de interés.

Para los que no pudieron asistir a nuestro taller, dejaremos los contenidos y scripts preparados dentro de un curso gratuito dentro de la sección de formación de nuestra comunidad para que podáis aprender y practicar los conceptos preparados referentes a esta temática.

1 comments

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>