Los IOC han muerto, ¡larga vida a los IOC!

28 de julio de 2020 Por

Un indicador de compromiso (IOC) se define como una pieza de información que puede utilizarse para identificar el posible compromiso de un entorno: desde una simple dirección IP hasta un conjunto de tácticas, técnicas y procedimientos usados por un atacante en una campaña. Aunque cuando hablamos de IOC siempre tendemos a pensar en indicadores como IP o dominios, el concepto va más allá, y en función de su granularidad, podemos encontrar tres tipos de indicadores:

  • Indicadores atómicos: los que no pueden ser descompuestos en partes más pequeñas sin perder su utilidad, como una dirección IP o un nombre de dominio.
  • Indicadores calculados: los que se derivan de datos implicados en un incidente, como el hash de un fichero.
  • Indicadores conductuales: los que a partir del tratamiento de los anteriores, permiten representar el comportamiento de un atacante, sus tácticas, técnicas y procedimientos (TTP).
[Read more…]

Salud, TI y Seguridad de la Información: un universo de desafíos

24 de julio de 2020 Por

En las últimas semanas (y meses) las aplicaciones móviles de apoyo a la lucha contra el virus se han erigido en uno de los múltiples prismas desde los que analizar la pandemia ocasionada por COVID-19; como otros tantos, en medio de este escenario repleto de riesgos e incertidumbre, esta perspectiva ha emergido acompañada de una importante dosis de polémica y controversia.

Por un lado, están las aplicaciones focalizadas en las funcionalidades de geolocalización de los ciudadanos; por otra parte, las aplicaciones de autodiagnóstico; y como punto en común a todas ellas, las potenciales limitaciones al derecho fundamental de protección de datos personales. En el ámbito europeo, diferentes interesados han saltado a la arena de una u otra forma: desde la propia Unión Europea, emitiendo sus recomendaciones; pasando por los proveedores de las propias aplicaciones, con Apple y Google como actores más renombrados; hasta las autoridades nacionales, las regionales u otros estamentos públicos reguladores, como es el caso de la Agencia Española de Protección de Datos.

Fuente: https://play.google.com/
[Read more…]

SigmaShooter (V): DFIR con SigmaShooter

3 de junio de 2020 Por

En esta última entrega, y ya no os molesto más 😉, vamos a probar SigmaShooter en un caso de análisis forense informático.

Para ello, vamos a imaginar que un cliente nos pide realizar un análisis forense de 10 equipos de su red, por ejemplo, porque el antivirus ha detectado en los 10 equipos, en el mismo momento, un fichero sospechoso y no saben de dónde ha salido. Ante esta situación, el cliente nos envía las evidencias de los equipos afectados a analizar.

Antes de empezar con el forense de los 10 equipos, lo cual nos llevaría mucho tiempo, podemos subir los registros de eventos de Windows a SigmaShooter que serán subidos a nuestro SIEM configurado, Graylog en esta primera versión de la herramienta, y sobre los cuales se ejecutarán las firmas SIGMA cargadas.

[Read more…]

Orientaciones para armar un buen informe

1 de junio de 2020 Por

Vivimos en una sociedad que gravita alrededor de la información, por lo que no cabe duda de la importancia que cobran hoy en día las capacidades y habilidades de comunicación. Con independencia del tipo de proyecto, servicio o actividades, saber transmitir la información de manera eficaz y eficiente a los responsables y agentes interesados es sin duda un aspecto crítico.

Indudablemente, la comunicación es un proceso esencial de cualquier organización, capaz de propulsar y revalorizar otros procesos estratégicos o primarios. En el ámbito profesional, una parte importante de esta comunicación se materializa en los informes, debido a su carácter más formal y elemento de transmisión de información tanto vertical como horizontal. Por ello, deben responder a los habituales principios de la comunicación: transparencia y accesibilidad según el modelo de clasificación de la información, de modo que estén disponibles a todas las partes interesadas; idoneidad, para que sus contenidos sean pertinentes a los destinatarios; credibilidad, proporcionando información veraz, exacta y apropiada; y claridad, resultando comprensibles y huyendo de toda ambigüedad. Más allá de estas variables, nunca se debe olvidar que los informes suelen utilizarse como herramientas de apoyo a la decisión.

Fuente: Jesús Gómez
[Read more…]

SigmaShooter (IV): Ejecución automática de Sigma contra SIEM

28 de mayo de 2020 Por

Llegados a este punto de la serie, en el que ya disponemos de un entorno SIEM, Graylog, recibiendo eventos de Windows y tenemos desplegada la herramienta SigmaShooter, configuraremos la aplicación para ejecutar la inteligencia subida a la herramienta, en forma de firma Sigma, contra el SIEM Graylog de manera programada.

Pero antes de empezar, subiremos nuestras reglas Sigma a la aplicación desde el botón “Upload Sigma rules”:

Utilidad Upload Sigma rules de SigmaShooter
[Read more…]

Gestión de Proveedores. Entre los principios de Deming y los de la Unión Europea

21 de mayo de 2020 Por

Sin duda, todos ustedes conocerán al célebre estadístico norteamericano William Edwards Deming, firme defensor de la necesidad de transformación de la industria americana en el último tercio del pasado siglo XX y que, al mismo tiempo, desarrollaría una próspera y relevante carrera profesional durante la reconstrucción de Japón posterior a la Segunda Guerra Mundial.

Con toda probabilidad, la mayoría de ustedes estarán familiarizados con los “14 principios de la Calidad Total de Deming”, cuyo cuarto principio establece que:

Don’t award business based on price; minimize total cost by having single suppliers on long-term relationships of loyalty and trust

Es decir, algo así como: “acabe con la práctica de realizar negocios fundamentados en el precio; en lugar de ello, minimice el coste total por medio de unos pocos proveedores sobre la base de relaciones a largo plazo cimentadas en la lealtad y la confianza”.

Naturalmente, un principio es una idea fundamental que debe regir un pensamiento o una conducta… ¡lo cual no significa que sea posible llevarlo a la práctica en todo momento y circunstancia!

Fuente: Melián Abogados
[Read more…]

SigmaShooter (III): Desplegando SigmaShooter

14 de mayo de 2020 Por

En esta entrega se describen los primeros pasos con la herramienta SigmaShooter, desde que tenemos el código fuente hasta la ejecución de nuestra primera firma Sigma contra el SIEM Graylog. La aplicación se desplegará en un servidor Linux Debian 9.

A continuación, se enumeran lo pasos a seguir:

1. Clonamos el código de SigmaShooter desde su Github:

$ git clone https://github.com/ppll0p1s/SigmaShooter.git 
# Y nos colocamos en la carpeta del proyecto
$ cd SigmaShooter/
[Read more…]

SGSI: De la información documentada a la gestión del conocimiento

11 de mayo de 2020 Por

En mayor o menor medida, por todos son conocidos los requisitos de la norma ISO/IEC 27001 en relación a la información documentada. Atendiendo al mandato:

el sistema de gestión de seguridad de la información de la organización debe incluir la información documentada requerida por esta norma internacional, así como aquella otra que la organización determine que es necesaria para la eficacia del sistema de gestión de seguridad de la información

Cada entidad deberá crear, actualizar y controlar un conjunto nada desdeñable de documentos: políticas, Declaración de Aplicabilidad, alcance, revisiones por la dirección, procedimientos, normas reguladoras de la gestión de controles de seguridad, hojas de cálculo, formularios, listas de control, registros,…

[Read more…]

SigmaShooter (II): Generando nuestra primera firma Sigma

5 de mayo de 2020 Por

SIGMA es un metalenguaje genérico y abierto, creado por Florian Roth, que permite describir en formato YAML reglas para detectar registros relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de registro.

De esta manera, SIGMA proporciona una forma estructurada en la que los investigadores o analistas pueden describir sus métodos de detección y una vez desarrollados compartirlos con otros.

Una vez creada una firma SIGMA, esta puede ser convertida a consulta para la gran mayoría de sistemas SIEM, gracias al binario “sigmac”, SIGMA Converter.

1 Funcionamiento

El flujo de trabajo se define en el repositorio oficial de SIGMA con la siguiente imagen:

sigma_description
Flujo de trabajo de SIGMA
[Read more…]

SigmaShooter (I): Preparando el SIEM Graylog

4 de mayo de 2020 Por

Esta semana se publicaba la herramienta SigmaShooter, una aplicación web para gestionar firmas Sigma y ejecutarlas contra el SIEM Graylog en su primera versión:

Captura de pantalla de un celular Descripción generada automáticamente

En esta serie de posts veremos la utilización de la herramienta, desde que instalamos el SIEM y enviamos datos al sistema, hasta la ejecución automática de firmas Sigma contra el mismo. Dividiremos la serie en las siguientes entregas:

  • SigmaShooter (I): Preparando el SIEM Graylog.
  • SigmaShooter (II): Generando nuestra primera firma Sigma.
  • SigmaShooter (III): Desplegando SigmaShooter.
  • SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
  • SigmaShooter (V): DFIR con SigmaShooter.

Así que en este post, empezaremos por el principio, instalar y configurar el SIEM Graylog.

[Read more…]