Defensa Activa e Inteligencia: Threat Intelligence en los entornos industriales

En el artículo  Defensa Activa e Inteligencia de la teoría a la práctica se pusieron de manifiesto los nuevos requerimientos respecto a la defensa en un entorno industrial. Entre estos requerimientos observamos nuevos elementos como la “defensa activa y la inteligencia”. En este artículo se profundiza en la parte específica de creación y consumo de inteligencia, debido a su importancia.

La mayoría de los documentos relativos a la inteligencia, aplicando este concepto a la creación de información útil para la defensa de un entorno, probablemente se apoyen en conceptos militares, como es el caso de los conceptos de contrainteligencia y defensa activa.

El ciclo o proceso de creación de inteligencia se apoya en diferentes fases, normalmente usando terminología militar para su nomenclatura. A continuación, exponemos una posible adaptación de las mismas:

• Planificación y objetivo: Como en todo ciclo, se debe tener una fase de inicio, cuyo primer paso sea la correcta definición del objetivo, en particular la definición del tipo de inteligencia resultante y, en segundo lugar, los procedimientos para obtenerla.  Habrá que tener claro desde el principio que la inteligencia que se quiere obtener va a estar enfocada a la mejora de la defensa de nuestro entorno industrial particular. Consumir datos que no apliquen específicamente a nuestro entorno, nuestro sector o nuestras amenazas en particular, es un error muy grave que deberá ser controlado desde esta primera fase.
• Recolección: Los datos, la información o la inteligencia pueden ser componentes de nuestras fuentes de datos pero, en esta fase, la clave será la forma en la que se recolectan estos datos y la manera en la que van a ser utilizados. Si recolectamos un IoC (Indicador de Compromiso) sobre un determinado fichero que reside en memoria, ¿se dispone de la capacidad para aplicar este IoC en nuestros dispositivos industriales? Si la respuesta es no, lo primero que debemos comprender es que esa pieza de inteligencia no sirve en nuestro entorno específico y lo segundo, es plantearse si se deben obtener estas capacidades para aumentar la resiliencia en el entorno.
• Procesamiento y explotación: El término de explotación en este contexto, está más enfocado a obtener algo valioso. En esta fase, se pretende obtener información a partir de los datos en crudo, que posteriormente puede ser analizada.  Se deben procesar, establecer una correlación y explotar al máximo los datos de los que disponemos, para crear tablas o visualizaciones más concretas del entorno industrial particular que puedan ser analizadas en fases posteriores. Por ejemplo, procesar los comandos obtenidos en una captura de tráfico en crudo sobre un protocolo industrial o que nos indiquen que se ha cambiado una estrategia en un PLC. Este procesamiento nos permite saber cuándo se realiza un cambio en la programación del PLC, pudiendo ser explotados estos datos para obtener una gráfica donde se pueda visualizar el número de veces que se cambia de programación y cuando se realizaron dichos cambios de una manera fácil.
• Análisis y producción: La utilidad real de toda la información procesada en las fases anteriores viene determina por el análisis de la persona encargada de este proceso. El analista es el encargado de juntar las piezas para que todo encaje, sin olvidar la tarea de discernir de nuevo, qué información es útil y cuál será descartada, basándose en su experiencia, en el entorno específico en ese momento, etc. Finalmente, el analista deberá crear un informe donde muestre toda esta información de manera correcta, orientado en cada caso al público objetivo. Esta fase no puede ser automatizada, ya que debe realizarse por una persona especializada, por lo que puede ser la más costosa.
• Diseminación e integración: En la última fase de este proceso, se dan a conocer los resultados a las personas indicadas, en el formato adecuado. Facilitar los descubrimientos en tiempo y forma, para que estos sean integrados de una manera rápida y acorde a la situación, debe ser el objetivo primordial. No tendría sentido que la inteligencia obtenida para detener una situación crítica llegue pasados los años. De aquí la importancia de compartir la información, mientras mantenga su valor útil para los destinatarios.
• Evaluación y retroalimentación: No es una fase como tal, sino más bien un marco común a todas las fases. Este marco de trabajo plantea que, en todo momento, se debe evaluar si los resultados que se han obteniendo son realmente útiles, así como contemplar y evaluar, las opiniones de mejora de cualquier persona, en cualquiera de las fases.

En la siguiente imagen se pueden ver las fases anteriormente descritas:

No podemos entender la defensa sin su contrario, el ataque, puesto que entender a los actores que pueden estar detrás de un ataque, su capacidad de ejecutarlo y otras variables, es clave para el desarrollo de una inteligencia aplicable a la defensa. En el siguiente punto desarrollamos algunos de estos términos.

Oportunidad, capacidad e intención: amenaza

Entender bien estos conceptos es esencial para poder introducir en el siguiente apartado un tipo específico de inteligencia conocido como inteligencia aplicada a la detección de amenazas o ‘Threat Intelligence’. En particular, se debe entender una amenaza como el resultado de la suma de los tres conceptos o vectores o la intersección de estos, si nos vamos a un esquema de conjuntos tradicional. Estos vectores o conjuntos que van a determinar el nivel de amenaza son la capacidad, la oportunidad y la intención.

• Capacidad: define los recursos técnicos necesarios para generar una amenaza.
• Oportunidad: momento o circunstancia oportunos o convenientes para aprovechar una debilidad.
• Intención: determinación de la voluntad en orden a un fin.

La capacidad de identificar los actores y clasificarlos por el nivel de amenaza que este suponga para la organización en particular, es clave a la hora de definir y crear inteligencia.

Entender esto parece complicado, pero con el siguiente ejemplo, nos resultará más fácil: evaluando varias fuentes, identificamos dos tipos de actores que pueden ser una amenaza para nuestro entorno industrial en particular. Uno de estos actores sabemos que actúa a nivel local y varias industrias han sido objetivo de ciertos intentos de intrusión. El otro actor detectado, es un grupo de personas que han amenazado a una industria del mismo sector, en un país del que no hemos oído hablar y por un enfrentamiento familiar. Seguramente, ambos tienen capacidades, pero claramente uno puede tener intención y el otro posiblemente no. El seguimiento en este caso debe estar enfocado en impedir que el actor con intención encuentre una oportunidad, siendo éste el objetivo de nuestros motores de inteligencia.

Inteligencia aplicada a la detección de amenazas

El ciclo para crear inteligencia se ha explicado en detalle, al igual que el análisis de amenazas. Solamente queda el último paso en la creación de inteligencias aplicadas a la detección de amenazas o ‘Threat Intelligence’.

Por un lado, conocemos el entorno y lo estamos monitorizando, conocemos nuestros dispositivos industriales y sus comunicaciones, y además creamos inteligencia proveniente de dicho entorno. Por otro lado, se conoce a los actores que representan una amenaza para nuestro entorno industrial, somos conocedores de la forma de actuar, por diferentes fuentes que estamos analizando, producimos e intercambiamos inteligencia respecto a incidentes, y también se dispone de informes sobre análisis de malware que afectaron a infraestructuras similares, realmente ¿se necesita algo más? Simplemente, no detenerse y esperar a ser atacados. El deber como responsables de la defensa, pasa por repetir el ciclo descrito de manera reiterativa, pero enfocado a la creación de inteligencia aplicada a la detección de amenazas.

La ‘Threat intelligence’ es creada y compartida, por lo general, en forma de Indicadores de compromiso (IoC), pero no es la única. Otra de las piezas de inteligencia que es muy apreciada, es la referente a Tácticas, Técnicas y Procedimientos, traducido literal por coincidir con las siglas conocidas del inglés (TTP). Intercambiar inteligencia sobre actores conocidos, basándose en estos “TTP”, por ejemplo, en movimientos laterales que utilizan normalmente dentro de la red, o en la forma que emplean dichos actores para elevar privilegios en un sistema, etc., permitirá crear medidas de detección específicas para cualquiera de estos “TTP”, mejorando nuestra defensa frente a estos posibles escenarios.

Otra forma de presentar la inteligencia aplicada a la detección de amenazas es en el formato tipo ‘reporte o informe’. Estos informes son un compendio bien estructurado de un proceso de creación de inteligencia. Son un producto terminado, por lo que son realmente útiles y de directa aplicación a la defensa. Los informes sobre análisis son realmente útiles, pues su formato es muy adecuado para entrar directamente a nuestro proceso de inteligencia y ser aplicado rápidamente en nuestras defensas.

Conclusión

Intentar disponer de una ventaja ante una posible intrusión o mecanismos eficaces para detectar un posible APT (Advanced Persistent Threat), son los objetivos de la inteligencia aplicada a la detección de amenazas ‘Threat Intelligence’. Se ha querido explicar en detalle, tanto el proceso de análisis de amenazas ‘Threat’, como el proceso para la creación de inteligencia ‘Intelligence’, que forman los pilares para dar el paso a la creación de inteligencia aplicada a la detección de amenazas. No se debería olvidar, que en el caso que nos ocupa, la inteligencia debe estar realmente enfocada al entorno industrial en particular, y esta es la tarea más difícil que deben realizar los analistas o personas encargadas de gestionar dicha inteligencia. El resultado obtenido durante el proceso de creación de inteligencia debe tener como objetivo final, la implantación en nuestra defensa activa para aumentar la resiliencia del entorno. Con este objetivo de implantación, cerraríamos el ciclo obteniendo una retroalimentación sobre los resultados obtenidos y volviendo de nuevo al inicio del proceso.

En la comparativa del ratón y el gato, que siempre se utiliza entre el defensor y el atacante, ahora añadimos la del ratón en la rueda, como forma de entrenamiento y preparación para lo que pueda suceder.