Security Art Work

Sin duda, todos ustedes conocerán al célebre estadístico norteamericano William Edwards Deming, firme defensor de la necesidad de transformación de la industria americana en el último tercio del pasado siglo XX y que, al mismo tiempo, desarrollaría una próspera y relevante carrera profesional durante la reconstrucción de Japón posterior a la Segunda Guerra Mundial.

Con toda probabilidad, la mayoría de ustedes estarán familiarizados con los “14 principios de la Calidad Total de Deming”, cuyo cuarto principio establece que:

Don’t award business based on price; minimize total cost by having single suppliers on long-term relationships of loyalty and trust

Es decir, algo así como: “acabe con la práctica de realizar negocios fundamentados en el precio; en lugar de ello, minimice el coste total por medio de unos pocos proveedores sobre la base de relaciones a largo plazo cimentadas en la lealtad y la confianza”.

Naturalmente, un principio es una idea fundamental que debe regir un pensamiento o una conducta… ¡lo cual no significa que sea posible llevarlo a la práctica en todo momento y circunstancia!

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

En esta entrega se describen los primeros pasos con la herramienta SigmaShooter, desde que tenemos el código fuente hasta la ejecución de nuestra primera firma Sigma contra el SIEM Graylog. La aplicación se desplegará en un servidor Linux Debian 9.

A continuación, se enumeran lo pasos a seguir:

1. Clonamos el código de SigmaShooter desde su Github:

$ git clone https://github.com/ppll0p1s/SigmaShooter.git 
# Y nos colocamos en la carpeta del proyecto
$ cd SigmaShooter/

En mayor o menor medida, por todos son conocidos los requisitos de la norma ISO/IEC 27001 en relación a la información documentada. Atendiendo al mandato:

“el sistema de gestión de seguridad de la información de la organización debe incluir la información documentada requerida por esta norma internacional, así como aquella otra que la organización determine que es necesaria para la eficacia del sistema de gestión de seguridad de la información”

Cada entidad deberá crear, actualizar y controlar un conjunto nada desdeñable de documentos: políticas, Declaración de Aplicabilidad, alcance, revisiones por la dirección, procedimientos, normas reguladoras de la gestión de controles de seguridad, hojas de cálculo, formularios, listas de control, registros,…

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

SIGMA es un metalenguaje genérico y abierto, creado por Florian Roth, que permite describir en formato YAML reglas para detectar registros relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de registro.

De esta manera, SIGMA proporciona una forma estructurada en la que los investigadores o analistas pueden describir sus métodos de detección y una vez desarrollados compartirlos con otros.

Una vez creada una firma SIGMA, esta puede ser convertida a consulta para la gran mayoría de sistemas SIEM, gracias al binario “sigmac”, SIGMA Converter.

1 Funcionamiento

El flujo de trabajo se define en el repositorio oficial de SIGMA con la siguiente imagen:

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

Esta semana se publicaba la herramienta SigmaShooter, una aplicación web para gestionar firmas Sigma y ejecutarlas contra el SIEM Graylog en su primera versión:

En esta serie de posts veremos la utilización de la herramienta, desde que instalamos el SIEM y enviamos datos al sistema, hasta la ejecución automática de firmas Sigma contra el mismo. Dividiremos la serie en las siguientes entregas:

• SigmaShooter (I): Preparando el SIEM Graylog.
• SigmaShooter (II): Generando nuestra primera firma Sigma.
• SigmaShooter (III): Desplegando SigmaShooter.
• SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
• SigmaShooter (V): DFIR con SigmaShooter.

Así que en este post, empezaremos por el principio, instalar y configurar el SIEM Graylog.

Afortunadamente, cada día son más las empresas que, convencidas de los beneficios de articular y normalizar sus actividades sobre la estructura de sistemas de gestión, van adoptando e implantando algunos de ellos: desde el primigenio Sistema de Gestión de la Calidad ISO 9001, pasando por el Sistema de Gestión Ambiental ISO 14001, el Sistema de Gestión de la Continuidad de Negocio ISO 22301 o los más afines con las Tecnologías de la Información, el Sistema de Gestión de Servicios ISO 20000-1 y el Sistema de Gestión de Seguridad de la Información ISO 27001.

Pero, en el marco de este esfuerzo continuado y creciente de implantación de un Sistema Integrado de Gestión que aglutine los diversos sistemas de gestión de la empresa, ¿qué ocurre cuando el alcance de los primeros sistemas de gestión resulta demasiado genérico para su transposición a los nuevos sistemas de gestión que se van incorporando a dicho sistema integrado?

[Read more…]

Vivimos una situación excepcional en el mundo. Esta crisis sanitaria nos ha cogido a todos de improviso. No solo las empresas han visto que su plan de continuidad no contemplaba escenarios de siniestro como el que vivimos, sino que la inmensa mayoría de gobiernos, que deberían tener todo preparado para estas situaciones, han demostrado que no estaban preparados para una crisis de este calibre.

En el caso de España, hace más de un mes que se decretó el estado de alarma en todo el país, y desde ese momento, las decisiones del gobierno han venido reguladas a través de decretos y órdenes que han ido permitiendo la aplicación de las medidas de actuación establecidas por el ejecutivo.

En este sentido, son muchos los artículos de opinión publicados en relación al ya citado estado de alarma y el impacto que este puede suponer en lo que respecta a los derechos y libertades de los ciudadanos. Nosotros, fieles a nuestra condición de blog de ciberseguridad, vamos a dejar de lado los aspectos políticos e ideológicos y a centrarnos en aquellos aspectos que pueden tener un impacto en la seguridad de los ciudadanos y la privacidad de sus datos.

A la hora de utilizar un dominio para la comunicación con el servidor de mando y control y/o de exfiltración, los grupos de mayor sofisticación suelen utilizar nombres que pasan desapercibidos en un primer vistazo (e incluso hasta después de varios) por los analistas.

La utilización de palabras del ámbito tecnológico o relacionadas con el sector de la organización suelen proporcionar una capa adicional de ocultación en las ya de por sí discretas comunicaciones. Sin embargo, ¿podemos detectar estos dominios?

El objetivo del siguiente artículo es buscar patrones entre los IoC de diferentes APT y compararlos con el listado del millón de dominios más utilizados que proporciona Alexa, de cara a generar un algoritmo que permita ponderar la probabilidad de que un dominio intente hacerse pasar por legítimo.

[Read more…]

La entrada de hoy viene de la mano de Gabriel Sánchez-Román Urrutia, Teniente de navío de la Armada y Analista de Ciberseguridad del MCCD. Disfruten con su lectura.

¿Cómo enfrentarse a un APT? Esa es la gran pregunta que nos hacemos los que nos dedicamos a la ciberseguridad, bien sean de empresas o de diferentes organizaciones. Recientemente, escribí un artículo en el Instituto Español de Estudios Estratégicos sobre el posible uso de las APT cómo un método de disuasión por parte de los estados, en el que comparo las APT con algo que conozco muy bien: los submarinos.

Básicamente, sus similitudes emanan de las características principales de una APT: resiliencia, anonimato e invisibilidad frente a los principios fundamentales submarinistas: seguridad, discreción y conservación de la iniciativa.

Un aspecto a tener en cuenta previamente, de forma breve, es el concepto de acústica submarina. A grandes rasgos, la velocidad del sonido en el agua depende de la temperatura, la profundidad y, en menos medida, de la salinidad y aumenta hasta un punto conocido como profundidad de capa. A partir de ahí, la velocidad del sonido (y la detección) comienza a disminuir de forma drástica y más tarde a aumentar. Es muy importante para el submarino conocer el valor de la profundidad de capa, la cual se puede conocer de forma teórica o ser medida a través de un baticelerímetro. Por lo tanto, por encima de la profundidad de capa el submarino y el buque tendrán mejor detección el uno del otro, mientras que si el submarino está por debajo de esa profundidad estará en una zona de sombra, siendo indetectable por el buque salvo que utilice sonares de profundidad variable. Aquí está el juego del ratón y el gato entre buque y submarino, algo parecido a lo que ocurre en el ciberespacio con las APT.

Por todo el mundo son conocidas las dificultades de los departamentos internos de Tecnologías de la Información (TI) para alcanzar y mantener “El Dorado” de su integración en los procesos de negocio de sus compañías. Los cambios constantes y la transformación del negocio son una característica intrínseca de cualquier sector; incluso entre los más exitosos, quien no evoluciona corre un serio riesgo de quedar en la cuneta más pronto que tarde.

Inmersos en esta dinámica, los departamentos internos de TI se afanan por adaptarse, no quedar rezagados del negocio y, en su caso, gestionar el “shadow IT” y sus consustanciales problemas de seguridad para las compañías. ¿Dónde se encuentra la raíz de los problemas?, ¿solo es un problema de tecnólogos poco decididos a seguir el ritmo del negocio o hay algo más profundo?

Como punto de partida cabe admitir que los proveedores internos de TI comparten unas características y vocación comunes: en primer lugar, se afanan en proporcionar al negocio capacidades basadas en la utilización de TI; además, se ocupan de administrar esas capacidades; y, finalmente, aspiran a convertir la TI en un elemento de ventaja competitiva a través de la innovación que introducen estas tecnologías. Corresponde entonces analizar los espacios de confluencia entre las necesidades y expectativas de negocio y, por otro lado, las actividades que vertebran el empleo de la TI.