Contenidos
- Taxonomía de incidentes de ciberseguridad
- Controles, herramientas y mecanismos de monitorización, identificación, detección y alerta de incidentes: tipos y fuentes
- Controles, herramientas y mecanismos de detección e identificación de incidentes de seguridad física
- Controles, herramientas y mecanismos de monitorización, identificación, detección y alerta de incidentes a través de la investigación en fuentes abiertas (OSINT)
- Clasificación, valoración, documentación, seguimiento inicial de incidentes de ciberseguridad
Un incidente de ciberseguridad es un evento singular o serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información.
Taxonomía de incidentes de ciberseguridad
La versión actualizada de la Taxonomía de Referencia se puede consultar a través del enlace al sitio mantenido por el grupo de trabajo y es la siguiente:
CLASIFICACIÓN | EJEMPLOS DE INCIDENTES | Descripción / Ejemplos |
---|---|---|
Contenido abusivo | Correo no deseado | O ‘Correo electrónico masivo no solicitado’, esto significa que el destinatario no ha otorgado un permiso verificable para que se envíe el mensaje y que el mensaje se envía como parte de una colección más grande de mensajes, todos con un contenido funcionalmente comparable. Este IOC se refiere a los recursos que componen una infraestructura de SPAM, ya sean recolectores como la verificación de direcciones, URL en correos electrónicos no deseados, etc. |
Contenido abusivo | Discurso dañino | Discretización o discriminación de alguien, por ejemplo, acoso cibernético, racismo o amenazas contra una o más personas. |
Contenido abusivo | (Niño) Explotación sexual / Contenido sexual / violento | Explotación sexual infantil (EIS), contenido sexual, glorificación de la violencia, etc. |
Código malicioso | Sistema infectado | Sistema infectado con malware, por ejemplo, PC, teléfono inteligente o servidor infectado con un rootkit. La mayoría de las veces, esto se refiere a una conexión a un servidor C2 hundido. |
Código malicioso | Servidor C2 | Servidor de comando y control contactado por malware en sistemas infectados. |
Código malicioso | Distribución de malware | URI utilizado para la distribución de malware, por ejemplo, una URL de descarga incluida en una factura falsa, spam de malware o kits de explotación (en sitios web). |
Código malicioso | Configuración de malware | URI que aloja un archivo de configuración de malware, por ejemplo, inyecciones web para un troyano bancario. |
Recopilación de información | Exploración | Ataques que envían solicitudes a un sistema para descubrir debilidades. Esto también incluye procesos de prueba para recopilar información sobre hosts, servicios y cuentas. Ejemplos: fingerd, consulta de DNS, ICMP, SMTP (EXPN, RCPT, …), escaneo de puertos. |
Recopilación de información | Olfatear | Observación y registro del tráfico de la red (escuchas telefónicas). |
Recopilación de información | Ingeniería social | Recopilar información de un ser humano de forma no técnica (por ejemplo, mentiras, trucos, sobornos o amenazas). |
Intentos de intrusión | Explotación de vulnerabilidades conocidas | Un intento de poner en peligro un sistema o interrumpir cualquier servicio mediante la explotación de vulnerabilidades con un identificador estandarizado como el nombre CVE (por ejemplo, desbordamiento de búfer, puerta trasera, secuencias de comandos entre sitios, etc.) |
Intentos de intrusión | Intentos de acceso | Múltiples intentos de inicio de sesión (Adivinar / descifrar contraseñas, fuerza bruta). Este IOC se refiere a un recurso, que se ha observado que realiza ataques de fuerza bruta sobre un protocolo de aplicación determinado. |
Intentos de intrusión | Nueva firma de ataque | Un ataque con un exploit desconocido. |
Intrusiones | Compromiso de cuenta privilegiada | Compromiso de un sistema en el que el atacante obtuvo privilegios administrativos. |
Intrusiones | Compromiso de cuenta sin privilegios | Compromiso de un sistema que utiliza una cuenta (usuario / servicio) sin privilegios. |
Intrusiones | Compromiso de la aplicación | Compromiso de una aplicación mediante la explotación de vulnerabilidades de software (desconocidas), por ejemplo, inyección SQL. |
Intrusiones | Compromiso del sistema | Compromiso de un sistema, por ejemplo, inicios de sesión o comandos no autorizados. Esto incluye comprometer intentos en sistemas honeypot. |
Intrusiones | Robo | Intrusión física, por ejemplo, en un edificio corporativo o en un centro de datos. |
Disponibilidad | Negación de servicio | Ataque de denegación de servicio, por ejemplo, enviar solicitudes especialmente diseñadas a una aplicación web que hace que la aplicación se bloquee o se ralentice. |
Disponibilidad | Denegación de servicio distribuida | Ataque distribuido de denegación de servicio, por ejemplo, SYN-Flood o ataques de reflexión / amplificación basados en UDP. |
Disponibilidad | Mala configuración | Configuración incorrecta del software que da como resultado problemas de disponibilidad del servicio, por ejemplo, servidor DNS con DNSSEC Root Zone KSK desactualizado. |
Disponibilidad | Sabotaje | Sabotaje físico, por ejemplo, corte de cables o incendio intencional. |
Disponibilidad | Corte | Interrupción causada, por ejemplo, por una falla del aire acondicionado o un desastre natural. |
Seguridad del contenido de la información | Acceso no autorizado a la información | Acceso no autorizado a la información, por ejemplo, abusando de las credenciales de inicio de sesión robadas para un sistema o aplicación, interceptando el tráfico o obteniendo acceso a documentos físicos. |
Seguridad del contenido de la información | Modificación no autorizada de información | Modificación no autorizada de información, por ejemplo, por parte de un atacante que abusa de las credenciales de inicio de sesión robadas para un sistema o aplicación o un ransomware que encripta datos. También incluye desfiguraciones. |
Seguridad del contenido de la información | Pérdida de datos | Pérdida de datos, por ejemplo, causada por fallas en el disco duro o robo físico. |
Seguridad del contenido de la información | Fuga de información confidencial | Información confidencial filtrada como credenciales o datos personales. |
Fraude | Uso no autorizado de recursos | Utilizar recursos para fines no autorizados, incluidas empresas con fines de lucro, por ejemplo, el uso del correo electrónico para participar en cadenas de ganancias ilegales o esquemas piramidales. |
Fraude | Derechos de autor | Ofrecer o instalar copias de software comercial sin licencia u otros materiales protegidos por derechos de autor (Warez). |
Fraude | Mascarada | Tipo de ataque en el que una entidad se hace pasar ilegítimamente por la identidad de otra para beneficiarse de ella. |
Fraude | Suplantación de identidad | Haciéndose pasar por otra entidad para persuadir al usuario de que revele credenciales privadas. Este IOC se refiere con mayor frecuencia a una URL, que se utiliza para suplantar las credenciales de los usuarios. |
Vulnerable | Criptografía débil | Servicios de acceso público que ofrecen criptografía débil, por ejemplo, servidores web susceptibles a ataques POODLE / FREAK. |
Vulnerable | Amplificador DDoS | Servicios de acceso público que se pueden abusar para realizar ataques de reflexión / amplificación DDoS, por ejemplo, resolutores abiertos de DNS o servidores NTP con monlist habilitado. |
Vulnerable | Servicios accesibles potencialmente no deseados | Servicios de acceso público potencialmente no deseados, por ejemplo, Telnet, RDP o VNC. |
Vulnerable | Divulgación de información | Servicios de acceso público que potencialmente revelan información confidencial, por ejemplo, SNMP o Redis. |
Vulnerable | Sistema vulnerable | Un sistema vulnerable a determinados ataques. Ejemplo: configuración de proxy de cliente mal configurada (ejemplo: WPAD), versión del sistema operativo desactualizada, vulnerabilidades XSS, etc. |
Otro | Sin categorizar | Todos los incidentes que no encajen en una de las categorías dadas deben incluirse en esta clase o el incidente no se clasificará. |
Otro | Indeterminado | La categorización del incidente es desconocida / indeterminada. |
Prueba | Prueba | Destinado a pruebas. |
La taxonomía definida en la Guía Nacional de Notificación y Gestión de Ciberincidentes, se basa en la Taxonomía de Referencia para la Clasificación de Incidentes de Seguridad, desarrollada coordinadamente por un grupo internacional de equipos de respuesta a incidentes (textos sacados de INCIBE).
- Contenido abusivo
- SPAM: correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado autorización válida para recibir un mensaje colectivo.
- Delito de odio: contenido difamatorio o discriminatorio. Ejemplos: ciberacoso, racismo, amenazas a una persona o dirigidas contra colectivos.
- Pornografía infantil, contenido sexual o violento inadecuado: material que represente de manera visual contenido relacionado con pornografía infantil, apología de la violencia, etc.
- Contenido dañino
- Sistema infectado: sistema infectado con malware. Ejemplo: sistema, computadora o teléfono móvil infectado con un rootkit.
- Servidor C&C (Mando y Control): conexión con servidor de Mando y Control (C&C) mediante malware o sistemas infectados.
- Distribución de malware: recurso usado para distribución de malware. Ejemplo: recurso de una organización empleado para distribuir malware.
- Configuración de malware: recurso que aloje ficheros de configuración de malware. Ejemplo: ataque de webinjects para troyano.
- Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), empleado por malware para contactar con un servidor de Mando y Control (C&C).
- Obtención de información
- Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen también procesos de comprobación o testeo para recopilar información de alojamientos, servicios y cuentas. Ejemplos: peticiones DNS, ICMP, SMTP, escaneo de puertos.
- Análisis de paquetes (sniffing): observación y grabación del tráfico de redes.
- Ingeniería social: recopilación de información personal sin el uso de la tecnología. Ejemplos: mentiras, trucos, sobornos, amenazas.
- Intento de intrusión
- Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (véase CVE). Ejemplos: desbordamiento de buffer, puertas traseras, cross site scripting (XSS).
- Intento de acceso con vulneración de credenciales: múltiples intentos de vulnerar credenciales. Ejemplos: intentos de ruptura de contraseñas, ataque por fuerza bruta.
- Ataque desconocido: ataque empleando exploit desconocido.
- Intrusión
- Compromiso de cuenta con privilegios: compromiso de un sistema en el que el atacante ha adquirido privilegios.
- Compromiso de cuenta sin privilegios: compromiso de un sistema empleando cuentas sin privilegios.
- Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de vulnerabilidades de software. Ejemplo: inyección SQL.
- Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de equipo.
- Disponibilidad
- DoS (Denegación de Servicio): ataque de Denegación de Servicio. Ejemplo: envío de peticiones a una aplicación web que provoca la interrupción o ralentización en la prestación del servicio.
- DDoS (Denegación Distribuida de Servicio): ataque de Denegación Distribuida de Servicio. Ejemplos: inundación de paquetes SYN, ataques de reflexión y amplificación utilizando servicios basados en UDP.
- Sabotaje: sabotaje físico. Ejemplos: cortes de cableados de equipos o incendios provocados.
- Interrupciones: interrupciones por causas externas. Ejemplo: desastre natural.
- Compromiso de la información
- Acceso no autorizado a información: acceso no autorizado a información. Ejemplos: robo de credenciales de acceso mediante interceptación de tráfico o mediante el acceso a documentos físicos.
- Modificación no autorizada de información: modificación no autorizada de información. Ejemplos: modificación por un atacante empleando credenciales sustraídas de un sistema o aplicación o encriptado de datos mediante ransomware.
- Pérdida de datos: pérdida de información. Ejemplos: pérdida por fallo de disco duro o robo físico.
- Fraude
- Uso no autorizado de recursos: uso de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro. Ejemplo: uso de correo electrónico para participar en estafas piramidales.
- Derechos de autor: ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor. Ejemplos: Warez.
- Suplantación: tipo de ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos.
- Phishing: suplantación de otra entidad con la finalidad de convencer al usuario para que revele sus credenciales privadas.
- Vulnerable
- Criptografía débil: servicios accesibles públicamente que pueden presentar criptografía débil. Ejemplo: servidores web susceptibles de ataques POODLE/FREAK.
- Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS. Ejemplos: DNS open-resolvers o Servidores NTP con monitorización monlist.
- Servicios con acceso potencial no deseado: servicios accesibles públicamente potencialmente no deseados. Ejemplos: Telnet, RDP o VNC.
- Revelación de información: acceso público a servicios en los que potencialmente pueda revelarse información sensible. Ejemplos: SNMP o Redis.
- Sistema vulnerable: sistema vulnerable. Ejemplos: mala configuración de proxy en cliente (WPAD), versiones desfasadas de sistema.
- Otros
- Otros: todo aquel incidente que no tenga cabida en ninguna categoría anterior.
- APT: ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o genuinos.
- Ciberterrorismo: uso de redes o sistemas de información con fines de carácter terrorista.
- Daños informáticos PIC: borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas informáticos o documentos electrónicos de una infraestructura crítica. Conductas graves relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial.
Ejercicios
- https://www.jesusninoc.com/03/17/comprobar-si-una-cuenta-de-correo-electronico-ha-sido-comprometida-en-alguna-fuga-de-datos/
- https://www.jesusninoc.com/06/17/comprobar-si-una-cuenta-de-correo-electronico-ha-sido-comprometida-en-alguna-fuga-de-datos-version-2/
- https://www.jesusninoc.com/06/18/comprobar-si-las-cuentas-de-correo-electronico-almacenadas-en-un-fichero-han-sido-comprometidas-en-alguna-fuga-de-datos/
Controles, herramientas y mecanismos de monitorización, identificación, detección y alerta de incidentes: tipos y fuentes
Básicamente, los indicios de que nos encontramos ante un ciberincidente pueden provenir de dos tipos de fuentes: los precursores y los indicadores. Un precursor es un indicio de que puede ocurrir un incidente en el futuro. Un indicador es un indicio de que un incidente puede haber ocurrido o puede estar ocurriendo ahora.
Algunos ejemplos de precursores son:
- Las entradas de log del servidor Web, con los resultados de un escáner de vulnerabilidades.
- El anuncio de un nuevo exploit, dirigido a una atacar una vulnerabilidad que podría estar presente en los sistemas de la organización.
- Amenazas explícitas provenientes de grupos o entidades concretos, anunciado ataques a organizaciones objetivo.
Los indicadores son muy comunes, tales como:
- el sensor de intrusión de una red emitiendo una alerta cuando ha habido un intento de desbordamiento de búfer contra de un servidor de base de datos;
- las alertas generadas por software antivirus;
- la presencia de un nombre de archivo con caracteres inusuales;
- un registro de log sobre un cambio no previsto en la configuración de un host;
- los logs de una aplicación, advirtiendo de reiterados intentos fallidos de login desde un sistema externo desconocido;
- la detección de un número importante de correos electrónicos rebotados con contenido sospechoso;
- desviación inusual del tráfico de la red interna,
- etc.
Controles, herramientas y mecanismos de detección e identificación de incidentes de seguridad física
La seguridad física trata del conjunto de medidas que protegen la documentación y equipos ante pérdidas, robos o accesos por personal no autorizado, incluyendo además la formación y habilitación de las personas que deban acceder a materias clasificadas.
Más información
- https://www.jesusninoc.com/rubber-ducky/
- https://www.jesusninoc.com/bash-bunny/
- https://www.jesusninoc.com/03/17/lan-tortuga/
- https://www.jesusninoc.com/ducky-scripts/
- https://www.jesusninoc.com/07/03/payloads-rubber-ducky/
- https://www.jesusninoc.com/03/20/scripts-en-rubber-ducky-parte-2/
Controles, herramientas y mecanismos de monitorización, identificación, detección y alerta de incidentes a través de la investigación en fuentes abiertas (OSINT)
Inteligencia de fuentes abiertas u «Open Source Intelligence» (OSINT) hace referencia al conocimiento recopilado a partir de fuentes de acceso público. El proceso incluye la búsqueda, selección y adquisición de la información, así como un posterior procesado y análisis de la misma con el fin de obtener conocimiento útil y aplicable en distintos ámbitos (textos sacados de INCIBE).
Existen multitud de fuentes abiertas a partir de las cuales se puede obtener información relevante, entre las que destacan:
- Medios de comunicación: revistas, periódicos, radio, etc.
- Información pública de fuentes gubernamentales.
- Foros, redes sociales, blogs, wikis, etc.
- Conferencias, simposios, «papers», bibliotecas online, etc.
Algunos ejemplos de la utilización de OSINT son los siguientes:
- Conocer la reputación online de un usuario o empresa.
- Realizar estudios sociológicos, psicológicos, lingüísticos, etc.
- Auditoria de empresas y diferentes organismos con el fin de evaluar el nivel de privacidad y seguridad.
- Evaluar tendencias de mercados.
- Identificación y prevención de posibles amenazas en el ámbito militar o de la seguridad nacional.
- Como aspecto negativo, es utilizado por cibercriminales para lanzar ataques APT y «Spear Phishing».
Herramientas
Hay multitud de herramientas y servicios útiles a la hora de implementar un sistema OSINT. A continuación se mencionan algunos de ellos:
- Buscadores habituales: Google, Bing, Yahoo, Ask.
- Buscadores especializados: Shodan, NameCHK, etc.
- Herramientas de recolección de metadatos.
- Servicios para obtener información a partir de un dominio: Domaintools, Robtex, etc.
- APIs de diferentes servicios como Facebook, Twitter, Google+ o Youtube.
- Merecen una mención especial Palantir y Maltego al implementar un gran número de funcionalidades y ser unos de los grandes referentes en la materia de la inteligencia de las fuentes abiertas.
Más información
- https://www.incibe-cert.es/blog/osint-la-informacion-es-poder
- https://www.jesusninoc.com/04/02/filtros-shodan/
- https://www.jesusninoc.com/01/10/curso-de-hacking-con-powershell-contenido/
- https://www.jesusninoc.com/03/15/spiderfoot-2-9-0/
Clasificación, valoración, documentación, seguimiento inicial de incidentes de ciberseguridad
La gestión de incidentes consiste en un plan de acción para atender a los incidentes que se den. Además de resolverlos debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.