En los últimos años todo lo ciber está de moda, ¡y la inteligencia aplicada al mundo ciber no podía ser menos! El concepto de inteligencia tiene un carácter ofensivo por el uso que le dan las agencias de inteligencia (valga la redundancia) y militares, pero ahora existen demasiados fabricantes de productos de seguridad que dicen proporcionar inteligencia y ser capaces de identificar amenazas potenciales.
Con el uso de estos productos de seguridad muchas organizaciones privadas “creen” que están obteniendo inteligencia, pero en realidad su visión es muy limitada:
- La inteligencia se obtiene por la cantidad y calidad de sus fuentes (muchas organizaciones no saben ni sus fuentes de información).
- El factor humano de análisis es vital (no es instalar un producto y esperar un informe en plan “todo automatizado”).
- Se enfocan al exterior (Internet), como si las amenazas internas no existieran.
Es gracioso o triste, según se mire, cuando muchas organizaciones y fabricantes de productos hablan de la capacidad de monitorizar y analizar logs de sistemas, antivirus, cortafuegos, IDS, Honeypots, etc. y de proporcionar inteligencia y luego no saben ni el número de equipos, usuarios o software instalados en la organización. La inteligencia aplicada al exterior es insuficiente si no aplicamos inteligencia en el interior de la organización.
En VULNEX (disclaimer: startup en ciberseguridad fundada por mi) nos planteamos esta cuestión y hemos desarrollado algunas soluciones que ayudan en este sentido, por ejemplo BinSecSweeper, una herramienta para analizar binarios Windows, Linux y MacOS. Podemos escoger un sistema operativo y analizar todos los binarios para determinar su postura de seguridad -por ejemplo todos los 7000 (aprox.) binarios de Kali Linux en unos 30 minutos ;)- o determinar si un software tiene librerías antiguas, entre muchas más cosas.
El software hoy en día no se escribe sino que se compone, los programadores utilizan diferentes librerías y código comercial o de código abierto para componer su producto en el menor tiempo posible y sacarlo al mercado. Las organizaciones utilizan todo tipo de software sin saber si es seguro o de qué se compone, ¡error!
Fig. 1 – Escaneado software con BinSecSweeper
Otra necesidad que nos surge en VULNEX es obtener inteligencia de código fuente a la hora de realizar auditorías de código. Las auditorías son complejas, largas y generalmente limitadas en el tiempo y por eso es necesario obtener información valiosa para focalizar el trabajo. Con este objetivo hemos desarrollado Tintorera, un plugin para GCC que, mientras compilamos un proyecto en C, realiza un análisis que nos ayuda a entender el código sin haber leído el código fuente en sí. En este punto no estamos buscando vulnerabilidades, pero sí que queremos entender la relación entre funciones, métricas de código, complejidad y otros parámetros que nos ayudarán a ser más efectivos para escrutar el código y encontrar vulnerabilidades. Inteligencia aplicada al código fuente!
Si crees que tu organización está haciendo ciber inteligencia, replantéatelo y determina vuestras capacidades de análisis y visión reales que seguramente no son tan buenas como crees…
Sin duda mucho queda por hacer en la ciber inteligencia a nivel externo e interno para obtener una visión real y global de las amenazas.
¿Tiene tu organización un proceso de ciber inteligencia?
— Simon Roses Femerling @simonroses