Exploración e identificación de las dimensiones de la inteligencia de ciberseguridad denominadas inteligencia de ciber-amenazas e inteligencia de vulnerabilidades
Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas
18/09/2019La inteligencia de ciber-amenazas y la inteligencia de vulnerabilidades junto con la inteligencia de impactos genera la inteligencia de ciber-riesgos, tema crucial y de elevado interés para las empresas que se ocupan de los ciber-seguros en todo tipo de entornos y ecosistemas IT/OT/IoT.
Dimensiones de la inteligencia de ciberseguridad: inteligencia de ciber-amenazas e inteligencia de vulnerabilidades
La inteligencia de ciberseguridad engloba tanto la información relevante para poder defender y proteger las entidades/ecosistemas/organizaciones IT/OT de cualquier ciber-amenaza interna y externa, así como de los procesos, políticas y herramientas diseñadas para recoger y analizar dicha información. Al igual que en inteligencia militar (que integra a la inteligencia naval, inteligencia aérea, inteligencia terrestre, inteligencia espacial e inteligencia en el ciberespacio), en inteligencia de negocios, en la inteligencia de ciberseguridad es la información la que proporciona la toma de decisiones, el soporte y una clara ventaja estratégica y competitiva. La inteligencia (capacidad de entender, comprender, de resolver problemas que proporciona conocimiento, compresión y entendimiento) se basa en explorar, extraer y analizar la mayor cantidad de información y datos fiables posible para generar nueva información, reconocer patrones o tendencias ocultas y posibilitar una mejor toma de decisiones. La inteligencia de ciberseguridad permite contrarrestar ciber-amenazas procedentes de un amplio grupo de ciber-atacantes/ciber-adversarios.
La inteligencia de ciberseguridad se aplica para disuadir, detectar anticipadamente, prevenir, mitigar, engañar, derrotar, contener, etc. a los agentes de ciber-amenazas maliciosos que se dirigen contra todo tipo de recursos (equipos, personas, redes, datos, medio ambiente, etc.). La inteligencia de ciberseguridad permite definir y priorizar las necesidades de ciber-protección y conseguir mejores remedios. La inteligencia de ciber-amenazas es una dimensión o componente de la inteligencia de ciberseguridad. Los servicios de inteligencia en ciber-amenazas proporcionan la información actual relativa a las fuentes de ciber-ataque potenciales relevantes contra posibles objetivos: negocios, infraestructuras críticas, organizaciones, CPDs, industrias, nubes, sistema distribuido DNS, etc. Existen organizaciones de ciberseguridad que ofrecen servicios de consultoría, así como servicios de inteligencia y dispositivos capaces de “cazar ciber-amenazas” (con honeypots, honeynets, honeyfarms, sandboxing, DDPs, etc.). Con el crecimiento del número de ciber-incidentes y el aumento de la sofisticación de los ciber-ataques en entornos IT/OT la inteligencia de ciber-amenazas se ha convertido en algo esencial para detectar, prevenir, predecir, engañar/desinformar, prever, disuadir, defender, contener, remediar, erradicar, mitigar, etc. ciber-ataques cooperando con los métodos tradicionales.
Hoy en día se pueden identificar diferentes tipos de actores y agentes implicados en los ciber-incidentes, por ejemplo: intencionados (hackers maliciosos, estados nación extranjeras o partes apoyadas por estados, crimen organizado, activistas, organizaciones de activistas, hacktivistas, competidores maliciosos, antiguos empleados descontentos, antiguos proveedores de equipos, empleados actuales y desconocidos corruptos, etc.), no intencionados (proveedores de servicios actuales, consultoras, contratistas, agentes no maliciosos (internos), proveedores de equipos actuales, suministradores o socios, etc.). La calidad de la inteligencia de ciber-amenazas influye directamente en la calidad de la respuesta a ciber-incidentes, por tanto, es clave verificar si los datos son ciertos o falsos, completos o incompletos, actuales o caducados, maliciosos o no, etc.
La inteligencia de ciberseguridad desarrolla los medios técnicos para proteger y defender infraestructuras críticas, propiedad intelectual de organizaciones, etc. La inteligencia de ciber-amenazas se basa en la recogida de inteligencia utilizando: OSINT (Open-Source INTelligence), SOCMINT (SOCial Media INTelligence), HUMINT (HUMan INTelligence), inteligencia de las Webs profundas, honeypots/honeynets/honeyfarms, etc.
La misión fundamental de la inteligencia de ciber-amenazas es investigar y analizar tendencias y desarrollos técnicos en áreas como: el ciber-espionaje, las APTs, las ARTs, el ciber-crimen, el ciber-hacktivismo, etc. La inteligencia de ciber-amenazas integra, prepara, protege-defiende, detecta-y-responde. OSINT (Open-Source INTelligence) integra inteligencia recogida de fuentes disponibles públicamente. Open se refiere a fuentes abiertas disponibles públicamente (en oposición a fuentes encubiertas, subliminares o clandestinas). OSINT desempeña un papel esencial en proveer a la comunidad de ciberseguridad de una percepción, entendimiento y contexto lo más completo posible, a bajo costo. OSINT recoge y analiza información de un gran número de fuentes abiertas o públicas. El proceso OSINT consta de cinco fases: identificación de fuentes, recogida de los datos, procesar e integrar datos, analizar datos y distribuir-entregar resultados.
Inteligencia de vulnerabilidades
La inteligencia de vulnerabilidades ayuda a la toma de decisiones y a priorizar con eficiencia-efectividad y responder a las ciber-amenazas permitiendo que los equipos de ciberseguridad se enfoquen en las ciber-amenazas importantes y eviten emergencias innecesarias y costosas. Los servicios de inteligencia de vulnerabilidades deben cubrir muchos miles de vendedores y cientos de miles de versiones de productos para entender la complejidad de la priorización de los parches y la gestión de las vulnerabilidades. En la inteligencia de vulnerabilidades se analiza cada vulnerabilidad y se proporcionan los detalles claves que tratan de su gravedad, explotabilidad y pruebas de concepto para ayudar a las organizaciones a priorizar proactivamente las operaciones y decisiones de ciberseguridad IT/OT.
En este contexto se recoge información de agentes de ciber-amenazas, malware, vulnerabilidades, campañas de infección masiva, objetivos, dominios, correos electrónicos de phishing y spam, etc. y como se relacionan unos con otros. Una vulnerabilidad (según el estándar ISO 27002) es una debilidad (bug, deficiencias en diseño, mala implementación, configuración defectuosa, fallos, obsolescencia programada, negligencia, accidente, acción criminal, despistes, etc.) de un activo o grupo de activos que puede ser explotada por una o más ciber-amenazas. La gestión de vulnerabilidades, es el proceso en el que las vulnerabilidades (OT/IT) se identifican (escaneo de vulnerabilidades) y se evalúan los riesgos de dichas vulnerabilidades (consecuentemente la gestión de vulnerabilidades integra el escaneo de vulnerabilidades y la evaluación de los riesgos, su posible aceptación o los posibles remedios, etc.).
Esta evaluación conduce a la corrección de las vulnerabilidades y eliminación del riesgo o a una aceptación del riesgo por parte de la alta dirección de la organización (por ejemplo, en el caso de que el impacto del ataque fuese inferir al costo de la corrección y no genere daños relevantes para la organización). El escaneo de vulnerabilidades se realiza utilizando programas de computador como Nessus (con interfaz GUI) para identificar vulnerabilidades en redes, aplicaciones, infraestructuras de computador, vehículos, aviones, infraestructuras críticas, etc. Algunos fabricantes que ofrecen tecnología de escaners de vulnerabilidades son: Rapid-7, Qualys, McAfee, etc. Existen diferentes opciones de despliegue de escaners de vulnerabilidades: en la propia organización/in-house o autónomas, servicios gestionados o en la nube SasS (Software-as-a-Service). El escaneo de vulnerabilidades normalmente implica enviar un gran numero de paquetes a los sistemas estos pueden a veces producir efectos no deseados, como, por ejemplo, la interrupción del equipo de red. El US-CERT utiliza una valoración de severidad de una vulnerabilidad asignándole un número. Este número se obtiene a partir de varios factores informados por los usuarios, siete de los cuales son: el grado de difusión de información o el conocimiento sobre la vulnerabilidad, si los incidentes informados a US-CERT fueron causados por la explotación de la vulnerabilidad, el riesgo a la infraestructura Internet derivada de la vulnerabilidad, el número de sistemas en Internet en riesgo debido a la vulnerabilidad, el impacto de explotar la vulnerabilidad, si la vulnerabilidad puede ser fácilmente explotada, las precondiciones necesarias para poder explotar la vulnerabilidad, etc.
IntelGraph es una plataforma de inteligencia de ciberseguridad propietaria y API que permite a los usuarios buscar, manipular, visualizar y contextualizar la relación entre componentes. Actualmente se observan diferentes tipos de riesgos que impactan desfavorablemente debidos al compromiso de las capacidades observadas en los sistemas de control OT/ICS/CPS, son por ejemplo: conexiones a las redes de control de campo (SCADA), controladores o componentes embebidos (por ejemplo, PLCs/Programmable Logic Controllers, IEDs/Intelligent Electronic Devices), activos tipo servidor ejecutando sistemas operativos comerciales antiguos (como Windows NT, Windows Vista/XP, Unix, Linux, etc.), conexiones a otros sistemas internos (redes de empresa IT, sistema a sistema), dispositivos de red (firewalls, routers, switches, bridges, gateways, etc.), estaciones de trabajo de ingeniería, estaciones de trabajo de operador, protocolos de comunicación del sistema de control, aplicaciones de control de proceso, dispositivos de campo (sensores y actuadores digitales), security appliances de acceso remoto (con cliente VPN), sistemas de acceso físico, dispositivos y protocolos de comunicaciones inalámbricos, histórico de la planta, dispositivos móviles (PCs, tablets, smartphones, smart-watches, etc.), módems analógicos (que permiten saltarse protecciones perimétricas), HSM (Hardware Security Module) que protegen y gestionan claves criptográficas, etc.
Patrones de ataque y árboles de ataque
Los patrones de ataque son mecanismos para capturar y comunicar las tácticas de los ciber-atacantes. Describen métodos utilizados para explotar software que puede ocurrir en una variedad de diferentes contextos y aplicar el paradigma de solución del problema de patrones de diseño. Un patrón de ataque se basa en el análisis de explotaciones de ataque observados y normalmente contienen información como: nombre y clasificación del patrón, pre-requisitos del ataque, descripción del ataque, vulnerabilidades o debilidades del objetivo del ciberataque, métodos para el ciber-ataque, objetivos del ciber-atacante, nivel de habilidad requerido del atacante, recursos requeridos, soluciones de bloqueo, descripción del contexto, etc. Los patrones de ataque son enumerados y clasificados por CAPEC (Common Attack Pattern Enumeration and Classification) iniciativa debida a DHS (Department of Homeland Security). Los árboles de ataque representan los caminos posibles seguidos por un ciber-ataque en forma de árboles. El nodo raíz de dicho árbol es el objetivo global de un ataque. Los hijos de un nodo son los refinamientos de este objetivo y las hojas del árbol representan los objetivos que no pueden ser más refinadas. Los árboles de ataque proporcionan una metodología formal para analizar la ciberseguridad de sistemas y subsistemas para capturar y reutilizar las habilidades en ciberseguridad y responder a posibles cambios en los requerimientos de ciber-seguridad. Los árboles de ataque pueden llegar a ser complejos, especialmente cuando hacen referencia a ataques específicos. Un árbol de ataque completo puede contener cientos o miles de diferentes caminos, todos conduciendo a la finalización del ataque.
Aunque la creación de un árbol de ataque puede requerir habilidades y prácticas importantes en ciberseguridad, los árboles de ataque una vez organizados en una biblioteca pueden proporcionar una base de conocimiento, inteligente reutilizable y de este modo pueden contribuir a un enfoque de reingeniería para ciberseguridad. Un ejemplo de árbol de ataque donde figura en el nodo raíz “intrusión en una cuenta” tendrá como sus dos nodos hijos con sus dos ramas conectados con el operador OR con la denominación de nodos “ataque de repetición” y “obtener los detalles de identidad de la cuenta”. El nodo “obtener los detalles de identidad de la cuenta” tendrá dos nodos hijos conectados con el operador AND denominados “obtener identificador/username/login de la cuenta” y “obtener contraseña de la cuenta”. Como hojas del árbol el nodo “obtener contraseña de la cuenta” tendrá cinco ramas conectados por el operador OR a los nodos hojas “obtener contraseña con sniffer”, “obtener contraseña con keylogger/spyware”, “averiguar la contraseña” (en base por ejemplo a información fugada en redes sociales, Internet en general), “utilización de ingeniería social” (sonsacarle sin que se de cuenta, atemorizarle, enamorarle, engañarle, etc.) y “ataque por fuerza bruta” (siempre que no haya un mecanismo de límite de reintentos; en los móviles el número máximo de reintentos es tres reintentos de teclear el PIN de cuatro caracteres numéricos).
Inteligencia de ciber-amenazas
El principal propósito de la inteligencia de ciber-amenazas (o de los servicios de inteligencia basados en indicadores de compromiso) es ayudar y facilitar el entendimiento de los riesgos de las ciber-amenazas tanto comunes como avanzadas (APTs, ARTs, AITs, etc.), tanto internas como externas, tanto leves, severas como muy graves. Algunos tipos de ciber-amenazas son las ciber-amenazas 0-day, las APTs (algunas de las técnicas utilizadas por las APT son: ingeniería social basada en personas, computadores o dispositivos móviles; intrusiones y accesos no autorizados por efecto del software, inyección de código, expoits, troyanos, botnets, etc.; 0-days aprovechando vulnerabilidades conocidas y comunes, bases de datos de vulnerabilidades y 0-days) y los exploits. Aunque los agentes o actores de ciber-amenazas también pueden ser internos (o de dentro) y las ciber-amenazas pueden proceder de socios corporativos, el énfasis se debe poner en los tipos que sean más probables que afecten al entorno concreto de la organización. El propósito de la inteligencia de ciber-amenazas es un mejor entendimiento de los enemigos y ayudar a anticiparse a las futuras acciones y planear una respuesta a tiempo y efectiva; posibilita mejorar tanto la interpretación-entendimiento como los datos. La inteligencia de ciber-amenazas opera con dos tipos de indicadores:
a) Indicadores-cibermarcadores de compromiso. Permiten detectar agentes maliciosos internos en base a las actividades de red sospechosas.
b) Indicadores de exposición. Permiten estimar la probabilidad de ingeniería social o de ciberataques inteligentes.
La inteligencia de ciber-amenazas utiliza datos muy diversos:
- Datos de ciberataques conocidos (analizados con Big-data/Analytics utilizando honepots, honeynets, honeyfarm, eventos y logs de SIEM, etc.). Se utilizan direcciones IPv4/IPv6, URLs, agentes de usuario, etc.
- Datos sospechosos. Intervienen direcciones IP, URLs, etc.
- Datos asociados con malware. Intervienen direcciones IP, URLs, agentes de usuario, procesos, file-paths, nombres de ficheros, etc.
- Datos asociados con fraudes. Intervienen direcciones IP, URLs, etc.
- Datos utilizados para phishing. Intervienen direcciones IP, URLs, direcciones de correo electrónico, subjects de correo electrónico, etc.
- Datos asociados a Botnets. Intervienen direcciones IP, URLs de botfarms, etc.
Forester define inteligencia de ciber-amenazas como los detalles de las motivaciones, intentos y capacidades de los agentes de ciber-amenazas externos e internos. La inteligencia de ciber-amenazas incluye especificaciones sobre las tácticas, técnicas y procedimientos de estos ciber-atacantes/ciber-adversarios. El propósito primario de la inteligencia de ciber-amenazas es la mejora en la toma de decisiones a la hora abordar los riesgos e implicaciones asociadas a estas ciber-amenazas. La inteligencia de ciber-amenazas va encaminada en esencia a la reducción del riesgo. Rob McMilan de Gartner define inteligencia de ciber-amenazas como la evidencia basada en el conocimiento donde se incluye el contexto, los mecanismos, los indicadores, las implicaciones y los consejos prácticos sobre las ciber-amenazas existentes o emergentes para valorar que puede utilizar para informar a los que toman decisiones relacionadas con la respuesta de la víctima a ciber-amenazas y ciber-incidentes. Algunos ejemplos de fuentes de inteligencia de ciber-amenazas son:
1) Fuentes OSINT (Open Source INTelligence).
2) Fuentes de honeypots/honeynet.
3) Fuentes de ataques sinkhole.
4) Fuentes de spam trap.
5) Fuentes de fabricantes de anti-malware.
6) Reglas YARA. Es una herramienta para identificar y clasificar muestras de malware (su URL es: https://github.com/Yara-Rules/rules). Permite diferentes tipos de string, como strings hexadecimales (que son útiles para definir bytes en bruto), strings de texto, expresiones regulares, etc.
7) Un motor de búsqueda de ciber-amenazas es ThreatCrowd cuya URL es (https://www.threatcrowd.org).
8) Algunas URLs de sitios Web de datos de ciber-amenazas son:
a. RiskIQ Passive DNS https://community.riskiq.com/login
b. URLhaus https://abuse.ch/
c. JoeSandbox https://www.joesandboxcom/
d. Hybrid Analysis https://www.hybrid-analysis.com/
e. Virus Total https://www.virustotal.com/#/home/upload
f. AbuseIPDB https://www.abuseipdb.com/
g. Robtex https://www.robtex.com/
h. Talos Intelligence https://www.talosintelligence.com/.
9) Algunas URLs de grupos de compartición de ciber-amenazas son: ISAC (Industry/Sector Information Sharing and Análisis Centres), NCCIC (National Cybersecurity and Communications Integration Center) e ISAO (Information Sharing and Análisis Organizations);
10) Algunas URLs de frameworks de inteligencia de ciber-amenazas son:
i. MISP (Malware Information Sharing Platform) https://www.misp-project.org/
ii. YETI (Your Everyday Threat Intelligence) https://github.com/yeti-platform/yeti
iii. CIF (Collective Intelligence Framework) https://csirtgadgets.com/collective-intelligence-framework;
11) Algunas URLs de proveedores de inteligencia de ciber-amenazas son:
a. AlienVault OTX (Open Threat eXchange platform) https://otx.alienvault.com/browse/pulses
b. Ransomware Tracker https://ransomwaretracker.abuse.ch/tracker/
c. Phish Tank https://www.phishtank.com/login_required.php
12) Algunas URLs de motores de búsqueda de dispositivos conectados para detectar vulnerabilidades en la IoT son:
i. Shodan: https://www.shodan.io/
ii. Censys: https://censys.io/
iii. Scans: https://scans.io/
13) Proofpoint ET Intelligence es una de las principales fuentes de inteligencia de ciber-amenazas de la industria (combina una base de datos de ciber-amenazas (como exploits-kits) globalmente observadas y análisis de malware con información (con sus metadatos históricos) de reputación de dominios y direcciones IPs, identificadores de firmas de ataque, MD5 de malware actualizadas al minuto en diferentes formatos TXT, CSV, JSON, comprimidos, etc.).
14) MRTI (Machine Readable Threat Intelligence). De acuerdo a Gartner es una capacidad que permite al SIEM y a otros controles de ciberseguridad tomar decisiones de ciberseguridad operacional basadas en información sobre el panorama de ciber-amenazas reinante. Los responsables de ciberseguridad deberían integrar MRTI para mitigar las ciber-amenazas. Incluye información sobre alimentadores de datos de inteligencia de ciber-amenazas, IOC (Indicators Of Compromise), reglas Yara, informes de inteligencia de ciber-amenazas, alertas y notificaciones de warning tempranas, alimentadores de datos de vulnerabilidades, etc.
15) Empresa Webroot. Soporta MED con active-learning, active-feedback y deep-learning. Ofrece inteligencia de ciber-amenazas en las siguientes categorías:
i. Clasificación Web. Proporciona clasificación de contenidos de billones de páginas Web para mantener a los usuarios seguros de las ciber-amenazas online.
ii. Reputación Web. Predicciones de riesgos de ciberseguridad de visitar sitios Web y posibilita a los administradores ajustar de forma fina las configuraciones de seguridad.
iii. Reputación IP. Publica inteligencia dinámica de las direcciones IP de alto riesgo para hacerse una idea de las comunicaciones entrantes y salientes.
16) Ecosistema de inteligencia de ciber-amenazas de LogRhythm. Es una plataforma de integración para alimentadores de ciber-amenazas open source y comerciales.
17) Proveedores y estándares de inteligencia de ciber-amenazas: Anomali, STIX, TAXII, Webroot, Crowdstrike, Abuse.ch, SANS-ICS, SpamHaus, Phish Tank, AutoShun, dominios de malware, redes proxy de anonimato como TOR, Symantec, Recorded Future, Cisco, AMP Threat Grid, HailATaxi, etc.
18) Plataformas de inteligencia de ciber-amenazas:
i. MISP. Comparten indicadores basados en eventos.
ii. FIR. Plataforma de gestión de ciber-incidentes más correlación de indicadores.
iii. CRITS. Plataforma para almacenar información relativa a ciber-amenazas.
iv. Malcom. Correlación de tráfico de red con alimentación maliciosa.
v. CIF. Indicadores de query más una variedad de formatos de salida.
vi. GRR, Osquery. Caza de endpoints.
vii. MITRE. STIX, TAXII, CybOX, MAEC.
viii. IETF. IODEF.
ix. Mandiant. OpenIOC.
x. VERIS.
xi. MANTIS.
Algunas fuentes de datos de ciber-amenazas open-source son:
1) Fuentes de direcciones IP (Listas Negras):
a. Palevotracker.abuse.ch
b. Emergingthreats.net
c. Zeustracker.abuse.ch
d. Binarydefense.com
e. Feodotracker.abuse.ch
f. Sslbl.abuse.ch (spamhaus)
2) Fuentes de URL de phishing:
a. Openphish.com
3) Fuentes de bases de datos de vulnerabilidades:
a. Exchange.xforce.ibmcloud.com
b. Scip.ch
c. Packetstormsecurity.com
d. Cxsecurity.com
La inteligencia de ciber-amenazas integra numerosos datos recogidos, valorados y aplicados, relacionados con las ciber-amenazas de ciberseguridad, los agentes de ciber-amenazas, los exploits, el malware, las vulnerabilidades y los indicadores de compromiso. La inteligencia de ciber-amenazas ayuda al proceso de ciberseguridad a la hora de reconocer los indicadores de ciberataques, extrayendo información sobre los métodos de ataque y consecuentemente responde a los ciber-ataques con precisión, efectividad y a tiempo. La inteligencia de ciber-amenazas es muy importante por diversas razones:
1) Permite acceder a datos prácticos sobre ciber-amenazas que pueden ser una gran ayuda y ventaja para las herramientas tradicionales como AV, Firewall, NGFW, cifrado, IPS/IDS, DLP, UTM, etc.
2) Nos ayuda a prepararnos para nuevas ciber-amenazas emergentes que incluyan vulnerabilidades 0-day y APTs.
3) Nos proporciona la habilidad para entender la naturaleza y contexto de una ciber-amenaza proporciona al SOC y a los equipos de respuesta a ciber-incidentes mayor percepción y entendimiento para una respuesta mejor a los ciber-incidentes y para mitigar las consecuencias/impactos.
La evolución de la tecnología de defensa en ciberseguridad de red comienza con los firewalls, pasa por herramientas multi-funcionales tipo UTM (Unified Threat Management), luego pasa por las herramientas avanzadas NGFW y llega a la tecnología de ciber-inteligencia. Actualmente se pueden identificar diferentes tecnologías de ciber-inteligencia:
1) Algoritmos. Se incluyen el análisis de datos, la inteligencia artificial, machine learning, comportamiento de anomalías, mecanismos heurísticos, etc.
2) Modelización. Se incluyen el conjunto de características, los modelos personalizados, cloud computing, etc.
3) Productos-herramientas. Presentan falsos positivos y falsos negativos, permiten ciber-forensia, mitigación de ciber-riesgos, etc.
Uno de los principales propósitos de la inteligencia de ciber-amenazas es entender y explicar los riesgos de las ciber-amenazas relevantes. Ejemplos son las ciber-amenazas día cero, APTs y exploits. La inteligencia de ciber-amenazas proporciona una información en profundidad sobre ciber-amenazas específicas para ayudar a las organizaciones a defenderse y protegerse de los tipos de ciber-ataques e intrusiones que pueden causar mayores daños y efectos nocivos y adversos. La ciber-amenaza denominada drive-by download permite descargar automáticamente spyware/malware simplemente por el hecho de visitar/acceder a un sitio Web contaminado/infectado sin que lo sepa el usuario.
Consideraciones finales
Actualmente es de suma importancia el seguimiento sin condiciones a la ciberseguridad en todo tipo de ecosistemas IT/OT, a pesar de todo tipo de tendencias como la digitalización, el nuevo marketing, blockchain, realidad aumentada, Big-Data, inteligencia artificial, realidad virtual, etc. De las necesidades de ciberseguridad-privacidad a los protocolos de buenas prácticas el objetivo es crear capacidades, conocimientos, inteligencia, servicios, tácticas, estrategias, componentes, etc. En ciberseguridad es útil utilizar diversos enfoques uno de ellos se denomina OODA (Observar, Orientar, Decidir y Actuar). En agosto del 2019, Microsoft admitía que escucha clandestinamente las grabaciones del asistente personal Cortana y de la IM Skype. En julio de 2019 leíamos en la prensa multa a British Airways por la sustracción de datos de clientes desde la página Web de la aerolínea; la Oficina del Comisionado de Información del Reino Unido (ICO) comunicó a British Airways su intención de multarla con unos 204,6 millones de euros.
Las organizaciones han aprendido que no es suficiente simplemente con saber que tipos de ciber-amenazas existen, sino que para prevenir los ciber-ataques y reducir riesgos también deben entender el contexto histórico de donde están organizados quienes están detrás de ellos, cuando han atacado, qué métodos utilizan, etc. La ingeniería inversa de herramientas de ciberseguridad permite descubrir secretos ocultos como vulnerabilidades desconocidas, etc. En ciberseguridad se utilizan estrategias de aprendizaje basadas en problemas, uso de capacidades, competencias trasversales y longitudinales, situaciones, casos, escenarios, ocurrencias, azares, sorpresas, simulaciones predictivas, visibilidad aumentada, etc.
La ciberseguridad es circular. Ya es hora de dar un paso más y pasar de las sensibilizaciones y concienciaciones en ciberseguridad-privacidad a aplicar competencias (longitudinales y transversales) con aprendizaje basado en la resolución de problemas, en protocolos de buenas prácticas sobre ciberseguridad-privacidad evaluadas con títulos y aplicar técnicas de impacto que marquen e impliquen (de forma activa) de modo que las personas recuerden y sean conscientes durante más tiempo de su respuesta frente a la necesidad de la ciberseguridad (por ejemplo, realizar ciber-ataques a las personas implicadas que necesitan incrementar su posición-comportamiento frente a los ciber-riesgos: volubles, pasotas, interés que rápidamente desaparece, se olvida, etc.). Los nuevos paradigmas de red como 5G, SDN (Software Defined Networking), SDR (Software Defined Radio), IoT, IIoT, cloud computing, edge computing, fog computing, realidad virtual, Big-Data/Analytics, realidad aumentada, realidad disminuida, post-realidad, etc. abren día a día nuevas brechas en nuestra sociedad de cara a la ciberseguridad.
Referencias
- Areitio, J. 'Seguridad de la Información: Redes, Informática y Sistemas de Información'. Cengage Learning-Paraninfo. 2019.
- Areitio, J.'Protección frente a la sofisticación de las armas cibernéticas'. Revista Eurofach Electrónica. Nº 466. Octubre 2018.
- Areitio, J.'Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad'. Revista Eurofach Electrónica. Nº 467. Diciembre 2018.
- Areitio, J.'Confluencias entre elementos, componentes y factores en la gobernanza de la ciberseguridad'. Revista Eurofach Electrónica. Nº 469. Abril 2019.
- Areitio, J.'Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo'. Revista Eurofach Electrónica. Nº 463. Abril 2018.
- Smith, B. and Browne, C.A. 'Tools and Weapons: The Promise and the Peril of the Digital Age'. Penguin Press. 2019.
- Andress, J. and Winterfeld, S. 'Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners'. Syngress. 2013.
- Haber, M.J. and Hibbert, B. 'Asset Attack Vectors: Building Effective Vulnerability Management Strategies to Protect Organization' Apress. 2018.
- Obaidat, M., Traore, I. and Woungang, I. 'Biometric-Based Physical and Cybersecurity Systems'. Springer. 2018.
- Benson, V. and McAlaney, J. 'Emerging Cyber Threats and Cognitive Vulnerabilities'. Academic Press. 2019.
- Kosta, E., Pierson, J., Slamaning, D.I. Fisher-Hubner, S. and Krenn, S. 'Privacy and Identity Management: Fairness, Accountability and Transparency in the Age of Big Data'. Springer. 2019.
- Frankland, J. 'InSecurity: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe'. Rethink Press. 2017.
- Westcott, S. and Westcott, J.R. 'Cybersecurity: An Introduction'. Mercury Learning & Information. 2020.
- Jajodia, S., Cybenko, G., Liu, P., Wang, C. and Wellman, M. 'Adversarial and Uncertain Reasoning for Adaptive Cyber Defense: Control and Game Theoretic Approaches to Cyber Security'. Springer. 2019.