Inicio / Blog / Unidos contra las ciberamenazas: Information Sharing

Unidos contra las ciberamenazas: Information Sharing

Publicado el 06/10/2016, por Antonio López (INCIBE)
Unidos contra las ciberamenazas

Con objeto de mejorar la respuesta ante incidentes y prevenir campañas de malware que puedan hacerse extensivas globalmente, aparecen en escena las actividades de colaboración potenciadas por organismos internacionales, compañías y multinacionales de seguridad así como CERTs de todo el mundo. Bajo esta óptica toma forma el concepto de Information Sharing.

Compartiendo informacion ciberamenazas

 

- Compartir información y conveniencia de estándar -

Beneficios y retos en Information Sharing

El objetivo principal de Information Sharing, es el de establecer un procedimiento que permita la recopilación, el almacenamiento y distribución de la información necesaria para actuar de forma homogénea, rápida y eficaz contra las ciberamenazas. Esto además, revertirá en un mejor conocimiento del malware, sus mecanismos de ataque y en facilitar las tareas de prevención y respuesta ante incidentes relacionados con actividad.

Beneficios de compartir informacion ciberamenazas

- Beneficios de compartir información sobre ciberamenazas -

Sin embargo, poner en marcha y mantener un procedimiento de compartición de información no es tarea tan sencilla como en principio podría suponerse. En general habrá que superar múltiples escollos que dificultan este proceso. Entre estas dificultades podemos citar, el establecimiento de una relación de confianza, superar el recelo a dar visibilidad a la información obtenida y llegar a un consenso para dar formato a la información y a las cuestiones relacionadas con su tratamiento, mantenimiento, clasificación y difusión. Estamos hablando de uso de estándares.

Retos en Information Sharing

- Retos y dificultades para afrontar la compartición de información -

La información sobre ciberamenazas, ¿qué se debe compartir?

Compartir información sobre amenazas de seguridad supone un gran beneficio siempre que recoja contenido de valor y se difunda de forma estructurada. Respecto al contenido, la información útil debe incluir avisos de seguridad sobre vulnerabilidades, informes y estudios sobre protocolos, sistemas y prácticas de seguridad, pero sobre todo, información preventiva y reactiva para enfrentar ciberamenazas e incidentes de seguridad.

Valor de la información para compartir

- Información de valor para compartir -

Estándares, el tortuoso camino del éxito para compartir información

Una vez determinada la información que supone de valor para compartir, la siguiente dificultad a superar es  establecer un formato común y reconocido entre los beneficiarios de la información. En este sentido, el uso de estándares posibilitará un uso y una distribución eficiente y rápida de la información.

Con este objetivo, la IETF da los primeros pasos hacia la estandarización en 2007 publicando el RFC 5070 que define IODEF, acrónimo para Incident Object Description Exchange Format. Esta especificación recoge una serie de pautas dirigidas a los CSIRTs (Computer Security Incident Response Teams ) y que son deseables a la hora de documentar los indicadores significativos en incidentes de seguridad. Se basa esquemas XML para la gestión de los datos y será un punto de referencia para posteriores adaptaciones.

IODEF Code Red

- Reporte IODEF con formato XML describiendo el gusano Code Red -

El camino hacia la adopción de un estándar no siempre es único y rápido, y tras la especificación IODEF surgen múltiples aproximaciones que pugnan por convertirse en el estándar de facto. Entre los estándares que han cobrado mayor protagonismo y aceptación podemos destacar por un lado OpenIOC (de la compañía FireEye) y las propuestas más colaborativas CybOX, STIX y TAXII (iniciativa del gobierno estadounidense a través de MITRE, DHS y US-CERT).

OpenIOC

OpenIOC es una iniciativa liderada por la compañía MANDIANT perteneciente a la multinacional FireEye, que ha estado presente de manera pionera en la definición y establecimiento del concepto  IoC  (Indicator of Compromise) en la gestión de incidentes. Un IoC es un ente que describe una evidencia forense para identificar una intrusión en un sistema o red.

OpenIOC se distribuye abiertamente bajo licencia Apache2 y se basa en un esquema XML para definir IoCs. Cuenta con un alto grado de madurez y reconocimiento  y aunque actualmente es una implementación libre, acusa la falta de flexibilidad al seguir, inicialmente, las directrices de un único fabricante orientando su uso hacia productos propios.

OpenIOC XML

- Ejemplo de XML para definir IoC -

CybOX, STIX, TAXII

Por otro lado, la organización norteamericana MITRE,  organización sin ánimo de lucro y mucho más orientada hacia desarrollos colaborativos en múltiples disciplinas tecnológicas que incluye la Ciberseguridad, ha puesto grandes esfuerzos en la estandarización de esquemas de Information Sharing. MITRE, en conjunción con el  Department of Homeland Security, the National Cyber Security Communications and Integration Center, y el  US-CERT de Estados Unidos ha dirigido el desarrollo de los estándares: STIX, TAXII y CybOX.  Este desarrollo está actualmente en transición hacia el consorcio de estándares OASIS.

Cyber Observable eXpression (CybOX)

El primer borrador de este estándar data de 2010. Implementa una serialización de los datos en formato JSON, para la caracterización de información sobre malware, detección de intrusiones, respuesta y manejo de incidentes y forense digital. En su estructura define más de 70 objetos (fichero, sesión HTTP, conexión de red, etc.) caracterizados por tipos base de datos, propiedades y relaciones, utilizando un vocabulario predefinido.

Objetos CybOX

- Lista de objetos CybOX -

Un ejemplo de objeto que describe un fichero tendría este aspecto:

          {
           "type":"file-object",
           "hashes-type":{
           "md5":"B4D33B0C7306351B9ED96578465C5579"
           }
          }

Structured Threat Expression (STIX)

Este estándar es relativamente reciente y presenta un lenguaje estructurado para describir las ciberamenazas en un formato que puede ser compartido, almacenado y analizado de forma consistente. Aparece para aportar una organización de la información de manera altamente estructurada e interrelacionada para lograr una alta legibilidad y fácil comprensión.

STIX serializa los datos en formato JSON y adopta un formato basado en grafos para ofrecer una representación muy  intuitiva de los objetos y relaciones entre los mismos. Los objetos se agrupan en 9 dominios clave: observables, indicadores, incidentes, procedimientos, objetivos de explotación, acciones de respuesta, campañas, actores y reportes.

Los objetos STIX, son indicadores que se encuadran en los referidos dominios y comparten una serie de propiedades para presentar los datos, existiendo además objetos de relación que sirven para establecer enlaces entre los dominios (nodos). Es un modelo que está ganando fuerza por su consistencia y usabilidad. Aunque principalmente integra el esquema CybOX, tiene extensiones para incluir otros estándares e indicadores como TLP, OpenIOC, reglas de Snort y YARA.

Modelo de grafos STIX

- Modelo de grafos STIX. Obsérvense los dominios(nodos) y las relaciones​ -

TAXII cuya especificación inicial viene de 2012 y consolidada en 2014, proporciona unas especificaciones orientadas a conformar un mecanismo flexible de transporte de información de ciberamenazas. TAXII se centra en los mecanismos de distribución de información y adopta otros estándares para el formato de la misma. Así a través de los servicios definidos por TAXII, las organizaciones pueden intercambiar información de forma segura y automatizada con soporte para múltiples formatos de representación de información de ciberamenazas, especialmente STIX y CybOx. Soporta diversas arquitecturas de comunicación (Hub and Spoke, Peer to Peer y cliente/servidor).

Integración CybOX, TAXII y STIX

- Modelo de grafos STIX. Obsérvense los dominios(nodos) y las relaciones​ -

Estos tres estándares con el respaldo del consorcio de estándares OASIS empiezan a consolidarse como opción preferida por múltiples fabricantes para dar formato a la información en sus productos de inteligencia. Entre ellos están importantes multinacionales como IBM (IBM QRadar), Splunk (Splice) Intel Security (McAfee Advanced Threat Defense) ,VeriSign( iDefense), etc.

Múltiples estándares, un mismo objetivo

Aunque no se pueda decir que exista un único procedimiento universalmente aceptado en Information Sharing, si podemos concluir que los métodos descritos en este artículo se perfilan como los más utilizados. Estos estándares cuentan cada uno con sus pros y sus contras, siendo en última instancia una decisión del emisor de la información escoger entre uno u otro. 

ESTÁNDAR VENTAJAS DESVENTAJAS
IODEF
  • Estándar IETF definido por CERTS
  • Independiente de fabricantes
  • Formato flexible XML
  • Adopción limitada
  • Orientada a Incidentes, puede contener información sensible difícil de compartir
  • Alta granularidad que dificulta implementaciones
OpenIOC
  • Adopción limitada
  • Menor flexibilidad de integración
  • No soporta descripción de tácticas, técnicas y/o procedimientos de intrusión
CybOx
  • Proporciona amplia lista de objetos detallados
  • Integración con STIX
  • Independiente de fabricante
  • Alta granularidad que dificulta implementaciones
STIX
  • Legibilidad. Representación global de objetos con grafos, incluyendo relaciones
  • Integración de esquema CybOx
  • Flexibilidad para integrar otros esquemas
  • Adopción relativamente reciente

- Estándares más utilizados en Information Sharing -