Ciberinteligencia IV - Recolección

ciberinteligencia

Analizaremos las diferentes formas de recolección de datos y sus principales diferencias.

En el artículo anterior hicimos un análisis de cómo se debe planificar el proceso de inteligencia, para dimensionarlo de forma adecuada.

Tipos de Recolección

El concepto de "recolectar" información a través de OSINT puede tomar varias formas, las cuales van a determinar, en muchos casos, el orden de la recolección, su fiabilidad, etc.

Recolección Pasiva

En este tipo de recolección, nunca enviaremos tráfico directamente a los sistemas de nuestro objetivo. Esto quiere decir que podemos consultar únicamente información archivada o almacenada en otras bases de datos y registros.

Debido a que esta información puede ser incorrecta o estar desactualizada, debemos intentar determinar la veracidad de dicha información antes de tomarla en serio.

Recolección Semi Pasiva

En este caso vamos a interactuar con los sistemas de nuestro objetivo, pero únicamente enviando tráfico que podría ser considerado "normal". Por ejemplo, podemos visitar el sitio web de nuestro objetivo, para obtener datos de forma manual, pero no podemos lanzar un escaneo de vulnerabilidades.

La clave de esto es no generar sospechas acerca de nuestras actividades.

Recolección Activa

Este tipo de actividades posiblemente sea detectada por los sistemas objetivo, debido a que incluyen la emisión de tráfico sospechoso o malicioso. En esta categoría entran los escaneos de puertos, análisis de vulnerabilidades, etc.

Otra de las tareas que entra en esta categoría es la de emitir tráfico malicioso y determinar si el sistema objetivo lo bloquea utilizando medidas de protección, como IPS, WAF, etc.

Ordenamiento

Es habitual que las técnicas de recolección sean ordenadas de la misma forma en la que acaban de ser presentadas. Es decir, primero realizar las tareas pasivas, luego las semi pasivas y, por último, las tareas activas.

Debemos tener en cuenta que, como hemos analizado anteriormente, cada una de las tareas de recolección puede disparar la necesidad de realizar nuevas tareas (cada vez que una de las tareas aporta nuevos datos, estos datos pueden requerir la realización de nuevas tareas).

Por ejemplo, si a través de una técnica de escaneo de vulnerabilidades (activa) detectamos una nueva dirección IP asociada a nuestro objetivo, podemos buscar información relacionada a esa IP en bases de datos públicas (una técnica pasiva).

Por lo tanto, el ordenamiento de "Pasivo, Semi Pasivo, Activo" es únicamente el orden inicial de las tareas.

Similitudes Con Pruebas de Intrusión

La tareas anteriormente descritas pueden resultar similares (y en muchos casos iguales) a las tareas que se realizan en las fases de "Enumeración" y "Escaneo" de las Pruebas de Intrusión o "Penetration Tests".

La diferencia fundamental entre un "Pentration Test" y el "Proceso de Inteligencia" es que este último resulta ser un proceso constante, que se nutre de forma interminable. Mientras que, un Penetration Test, tiene un final bien marcado, que resulta en un informe final.

Cuando hablamos de "Inteligencia", vamos a obtener actualizaciones constantes de información, lo que puede generar informes de inteligencia periódicos, pero ninguno de ellos puede determinarse como "final", debido a que existen cambios constantes en las situaciones que analizamos.

Legalidad De Las Pruebas

Así como en los Penetration Test, debemos verificar que contamos con los permisos adecuados para la realización de las tareas antes de llevarlas a cabo.

Las tareas de inteligencia conllevan el análisis tanto de la organización para la cual trabajamos (ya sea que formamos parte de la organización o que somos sus proveedores de servicios de seguridad), así como también de otras organizaciones de interés, como la competencia, proveedores de internet, etc.

Es muy importante que tengamos bien claro qué acciones podemos tomar de forma "legal" y qué otras no nos están permitidas. Para evitar cualquier tipo de problemas, nunca deberíamos realizar acciones "Activas" contra sistemas para los cuales no contamos con una autorización escrita.

Karma, Nuestra Solución de Ciberinteligencia

Karma https://karma.securetia.com es nuestra solución de ciberinteligencia, que permite a las organizaciones obtener información acerca de su propio entorno y de cómo son vistos sus activos de información en las bases de datos de Threat Intelligence.

En artículos posteriores, analizaremos diversas tareas de ciberinteligencia y cómo podemos utilizar Karma para facilitar todas las tareas del ciclo de inteligencia.

ciberinteligencia

Contacto

Alicia Moreau de Justo 1150, CABA, Argentina | Tel: +54 11 5278-3457 | Email:

© Securetia SRL - Todos Los Derechos Reservados