Las Jornadas STIC CCN-CERT son ya un clásico entre los eventos de seguridad de final de año desde hace más de una década. Celebradas entre el 29 de noviembre y el 1 de diciembre de 2022 en el Kinépolis, el Centro Criptológico Nacional ha vuelto a organizar un evento con varias salas en paralelo y multitud de charlas.
Entre las temáticas de este año se han identificado desde cuestiones normativas hasta investigaciones de Threat Intelligence con corte geopolítico y con un claro foco defensivo centrado en el modelado de amenazas y en la puesta en valor de las personas como elementos fundamentales en la gestión defensiva.
Este año Telefónica Tech Cybersecurity & Cloud ha contado con una representación del equipo de Threat Intelligence Platform & Reports que se ha pasado por el evento como asistente para tomar nota de las tendencias, TTP y amenazas que los diferentes fabricantes y proveedores han ido marcado de cara a 2023.
En este sentido, en este artículo recogemos a modo de crónica las charlas de mayor interés para nuestro equipo de analistas.
Ciberinteligencia en la Red Nacional de SOC: Telefónica Tech, líder en compartición
Uno de los elementos principales de las jornadas giró en torno a la compartición de ciberinteligencia. Las charlas de la segunda jornada giraron precisamente en torno al proyecto de la Red Nacional de SOC (RNS) auspiciado por el propio Centro Criptológico Nacional.
La iniciativa tiene el objetivo de ser un punto neurálgico para la compartición de ciberinteligencia a nivel nacional y pone a disposición de la misma la información conocida y reportada en materia de eventos de seguridad identificados en los diferentes SOC nacionales.
Cada uno de los eventos reportados a la plataforma es valorado en función de la naturaleza de la información compartida con diferentes criterios, premiándose aquellos eventos que describen tácticas, técnicas y procedimientos específicos vistos en ellos así como reglas de detección (Yara, Snort, STIX, etc.) de comportamientos similares.
Telefónica Tech Cyber Security & Cloud se sumó definitivamente a la iniciativa a principios de septiembre y la labor realizada por nuestros compañeros ha sido reconocida explícitamente por el CCN-CERT en las jornadas por motivos claros: Telefónica Tech Cyber Security & Cloud es el organismo que lidera el ranking en cuanto a contribuciones desde el inicio del proyecto.
La seguridad de la cadena de suministro y los entornos industriales: una prioridad estratégica
La sofisticación requerida para efectuar ataques a la cadena de suministro pone de manifiesto que las estructuras y recursos necesarias distan mucho de ser accesibles por adversarios unipersonales. Aunque en las definiciones propuestas por MITRE acerca de ataques a la cadena de suministro no se había puesto tanto foco en la cadena de suministro o en las soluciones de mitigación, en julio de 2022 ya se ha propuesto la creación del System of Trust (SoT) una propuesta metodológica para hacer seguimiento de los riesgos relacionados con la cadena de suministro de forma objetiva.
Paralelamente a la integración de controles de seguridad que tengan desde su diseño asumidos los riesgos de la cadena de suministro, desde Telefónica Tech Cyber Security & Cloud hemos impulsado varias iniciativas con diferentes organismos que también ponen el foco en otro entorno: el de los sistemas de control industrial que también recoge MITRE en su matriz de ICS (Industrial Control Systems).
Soluciones propias como Aristeo tienen el objetivo de facilitar la labor de la identificación de patrones de ataque relacionados con estos entornos que, por su naturaleza, tienen unas barreras de entrada mayores que los convencionales.
El proyecto Aristeo es una red de señuelos industriales (honeypotting) que emplea dispositivos OT reales para atraer a los atacantes, extraer información y generar inteligencia que fortalezca las defensas de nuestros clientes.
La complejidad que entraña emular plantas y centros industriales completos que en Telefónica Tech Cyber Security & Cloud y la gran variedad de sistemas y plataformas que tener bajo control hacen que comprender su funcionamiento y la forma en que interactúan un primer paso necesario para segurizar estos sistemas.
El ciberespacio como campo de batalla
Durante las jornadas ha permanecido en el aire la importancia del ciberespacio como escenario que no puede obviarse a la hora de planificar las estrategias de defensa nacional.
Si en torno a 2015 eran los países asiáticos quienes reorganizaban su estructura militar con el objetivo de dotarse de capacidades cibernéticas ofensivas, la realidad geopolítica actual está poniendo de manifiesto que la tendencia no solo no se revertirá sino que, al contrario, reforzará las tesis de quienes defienden la consideración del entorno cíber como un espacio en el que estar presente dada la gran cantidad de infraestructuras críticas conectadas.
El ciberespacio se ha ganado el apelativo de «quinto dominio», de igual importancia estratégica que la tierra, el mar, el aire y el espacio.
La existencia de unidades que en el caso de muchos países operan cada vez como soldados regulares, con sus bases físicas en las que entrenar y operar, motivan el incremento de unas cibercapacidades que han de tener respuesta desde un punto de vista puramente defensivo entendiendo que la sofisticación de estos adversarios puede escalar tanto más cuanto mayor sea el interés de sus patrocinadores.
El comportamiento como indicador: Tácticas, Técnicas y Procedimientos
Los incidentes de seguridad que analizan nuestros compañeros de las unidades de Threat Hunting y Digital Forensics and Incident Response comparten una característica común: los atacantes son cada vez más ágiles para desplegar nueva infraestructura y emplear herramientas específicas en cada incidente.
Estas capacidades ponen de manifiesto una realidad que obliga a los equipos defensivos a actuar: tratar los observables (direcciones IP, dominios, ficheros, etc.) como elementos con un ciclo de vida cada vez más acotado y con menos capacidad de detección de acciones ofensivas, precisamente, por su alta vinculación a incidentes concretos en un marco temporal muy concreto.
La tendencia ya observada por nuestros propios equipos está motivando el modelado de amenazas teniendo cada vez en más en cuenta indicadores a nivel de comportamiento en forma de patrones de ataque y herramientas empleadas para describir el comportamiento de actores maliciosos tanto vinculados a la cibercriminalidad común como a amenazas persistentes avanzadas.
Así, el uso de términos como TTP, patrones de ataque o esquemas de modelado de amenazas usando estándares como STIX 2.1 serán cada vez más tendencia y la generación de inteligencia que permita a los equipos anticiparse en la defensa de infraestructuras.
El ecosistema de las criptomonedas: el cibercrimen no pierde el foco
Durante las jornadas se expusieron casos reales de fraude con la inversión en criptomonedas de fondo. En este sentido, entre los talleres impartidos durante la primera jornada, se ha dedicado una sesión al rastreo de operaciones de criptomonedas y NFT.
En este sentido, se ha puesto de manifiesto la capacidad de las empresas especializadas para rastrear las transacciones de criptomonedas en general y los tokens no fungibles (NFT) en particular. Específicamente, se han visto señalados aquellos proyectos que no implementan conceptos de privacidad y anonimato desde el diseño lo que ocurre todavía en la gran mayoría de proyectos relacionados con criptomonedas.
Entre las tendencias más relevantes observadas destaca el gran volumen de operaciones que tienen identificadas ya en 2022 asociadas a entornos DeFi (finanzas descentralizadas), frente a los convencionales exchangers centralizados.
Los vehículos principales para materializar estafas y extorsiones en el ecosistema NFT no son necesariamente novedosos (la ingeniería social sigue siendo un vehículo ideal en un entorno especialmente complejo técnicamente), pero tienen la particularidad de que la monetización para un adversario es mucho más directa si consigue sustraer directamente los tokens.
También se ha puesto de manifiesto la efectividad del uso de balizas digitales e ingeniería social inversa, utilizando como señuelo para rastrear el dinero distintos modelos de interacción con los presuntos estafadores desplegando señuelos con el pretexto de realizar una nueva inversión y obtener información del atacante que pueda facilitar su rastreo, como la dirección IP o el ASN, entre otras.
También en esta línea, el componente novedoso de las criptomonedas no escapa a los fallos de seguridad que puedan tener lugar en los smart contracts. Los smart contracts no dejan de ser aplicaciones programadas y, por tanto, sujetas a debilidades y errores de programación.
Así, nuestro compañero de Telefónica Digital, Pablo González, impartía por la tarde un taller en el que esbozaba los principios básicos para la identificación de algunas de las debilidades explotables más básicas y cómo plantear un laboratorio de trabajo para realizar auditorías de seguridad sobre smart contracts de Ethereum.
Una sesión particularmente práctica en la que se identificaron tecnologías y metodologías de trabajo para quien quiera introducirse en un mundo con mucho margen de mejora que pone de manifiesto que la inercia apunta a que el fraude relacionado con esta tecnología seguirá estando muy presente en 2023.
The post Un repaso a las XVI Jornadas STIC: 5 tendencias de Ciberseguridad destacadas para 2023 appeared first on Think Big.