Collective Intelligence Framework

Se habla mucho de la ingeniería que hay detrás de cada malware utilizado en ataques APT, con un claro alcance de robo de información confidencial y dirigidos a gobiernos y grandes empresas, para su desarrollo se necesitan grandes cantidades de dinero ya que es necesario un equipo de desarrollo con grandes conocimientos en la infraestructura a explotar, además para que el ataque sea lo más sigiloso y eficiente posible cada malware debe ser capaz de realizar diversas funciones, como buscar información, grabar conversaciones o propagarse sin ser detectado, y todo ello en unas pocas líneas de código para extenderse fácilmente por la red.

Sin embargo, algunas veces nos olvidamos que no todos los ataques son APT, de hecho la mayoría no lo son. La mayoría de ataques son ejecutados por Script Kiddies, que les gusta jugar a ser delincuentes desde sus casas, o también por personas que venden los “recursos” de sus botnets en el mercado negro, en cualquier caso suelen emplear los mismos ataques contra un gran conjunto de equipos, utilizan las mismas herramientas de exploit para desplegar malware e incluso realizan los ataques siempre desde las mismas IPs de origen.

Por este motivo sería interesante disponer de una base de datos mundial donde se almacene los datos de posibles atacantes, y así aprovecharnos del Big Data y Data Mining de Internet, al igual que grandes corporaciones están usando las estadísticas de las búsquedas realizadas por los usuarios en Google para invertir en bolsa, es decir, si hay un gran porcentaje de usuarios realizando búsquedas en un determinado sector, quiere decir que hay intereses en ese sector y las acciones pueden subir. ¿Por qué no extrapolar esto a la seguridad? Crear una gran base de datos donde estén todas las IPs, dominios, web … maliciosas, es decir, una lista negra de atacantes, de esta manera sería sencillo evitar un gran porcentaje de ataques.

Por supuesto yo no he inventado nada, esto ya está inventado y listo para que lo utilicemos, estamos hablando de servidores CIF o Collective Intelligence Framework, son bases de datos mundiales con direcciones IPs, URLs y dominios clasificados por su reputación, es decir, si desde una dirección IP se ha realizado 100 ataques en la última semana lógicamente no tiene la misma reputación que una IP que tan solo haya realizado un ataque, o por ejemplo hay páginas web que tienen más malware alojado que otras, esta reputación le debe servir al administrador de seguridad para saber si los sistemas están accediendo a servicios confiables o si una determinada IP con baja reputación está realizando solicitudes de manera constante contra nuestros recursos, para lógicamente bloquear este tipo de tráfico.

En cualquier caso, cuanto mayor información de ataques y anomalías disponga el servicio CIF más interesante y fiable será, por lo que animo a todos a participar y colaborar activando estos servicios en sus sistemas perimetrales o SIEM.