Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

15 diciembre 2014

#8JornadasCCN_CERT Crónica (y IV)


Enlace permanente de imagen incrustada
Hasta ahora he centrado mi resumen en lo expuesto en el módulo 2 y en la sesión plenaria. Pero también asistí a un par de talleres el miércoles por la tarde, que se enmarcan en el área cubierta por el módulo 1.

El primer taller fue sobre CARMEN, herramienta desarrollada por el CCN, en colaboración con la empresa S2 Grupo, para la detección de APTs. La versión 3.0 tiene muy buena pinta: incluye una nueva pestaña de investigación activa sobre dominios sospechosos, análisis de movimientos laterales por el tráfico cruzado entre las IPs internas de la organización, gestión de honey tokens, de IoCs, sanbox integrada con cuckoo y capacidad de generación de alertas y monitores programados en drools o en python. Además, hicieron una demo sobre cómo utilizarla para perseguir una APT: Carmen es una muy buena ayuda, pero al final una persona tiene que saber interpretar lo que está ofrece y servirse de ella para tratar de deducir el comportamiento malicioso a partir de las consultas realizadas a los log de navegación. En cuanto tenga oportunidad de echarle mano a la nueva versión, escribiré un post al respecto.

El siguiente taller fue sobre la nueva plataforma avanzada de estudio de malware, que pronto estará disponible en el portal del CCN. Está integrada por tres herramientas que trabajan de manera coordinada: MISP (Malware Information Sharing Platform), MARIA (evolución del multiantivirus que tienen ahora) y MARTA (para el análisis de muestras de malware). 

Marta es la parte principal de la plataforma: puede analizar muestras de malware ejecutándolo en una sandbox o enviándoselo al sistema multi-AV de María; mediante unas reglas que envía a MIPS permite compartir la información (solo técnica, no detallada) con la comunidad de analistas. Además, puede generar reglas Snort en función del tráfico de red que salga con la ejecución del "bicho" y tiene un motor de reglas IoC.

S2 también presentó al día siguiente una demo de un ataque a un sistema de control industrial, con su maqueta y todo. Aunque no pude asistir en ese momento (por estar en el módulo 2), ya lo había visto un poco el día anterior, cuando le hicieron la presentación antes del comienzo de sesión al mismísimo SED del CNI. La demo la hicieron con esta maqueta tan chula que podéis ver aquí:


Hubo dos ponencias del módulo 1 sobre las que me han hablado muy bien los que tuvieron la oportunidad de verlas:

Una fue "China y el ciberespionaje: Sun Tzu, APT1 y los tiempos interesantes", de Antonio Sanz, también de S2 Grupo, que ha tenido el detalle de subir ya a Slideshare. Así es que, estoy deseando echarle un ojo.

La otra fue la de Lorenzo Martínez: "Are you the weakest link?", que mostró cómo hacer una APT a una administración pública aprovechándose del eslabón más débil: el funcionario. Si queréis haceros una idea de cómo pudo ser, podéis ver el vídeo de esa misma charla que presentó en la Ekoparty.

[Actualización: en el blog de Security at Work (S2 Grupo) podéis encontrar también la información sobre el Caso práctico APT que expusieron el segundo día]

Y hasta aquí todo lo que tengo. Si alguien asistió a los módulos 1 o 3 y quiere compartirlo con nosotros, yo estaré encantada de cederle sitio en mi blog. Del mismo modo que si alguien quiere añadir o matizar a lo aquí expuesto.

Gracias a todos por lo bien que lo hemos pasado y lo mucho que hemos aprendido, en especial al CCN-CERT, organizador del evento, porque sabemos que les ha llevado mucho trabajo.

Que entre todos sigamos defendiendo nuestro patrimonio tecnológico frente a los ciberataques.

[Actualización: ya se encuentra disponible el contenido de las ponencias en la web del CCN-CERT]

3 comentarios:

  1. Enhorabuena por tus crónicas sobre las jornadas CCN-CERT y muy interesante tu blog. Te dejo el mío y una entrada reciente por si te interesa ;-) http://ticseguridad.blogspot.com.es/2014/12/con-la-puesta-en-marcha-del-portal-de.html

    Un saludo

    ResponderEliminar
    Respuestas
    1. Tu entrada se parece a ésta:
      http://www.securitybydefault.com/2014/12/la-administracion-espanola-se-hace.html?m=1
      Se ve que eso de la transparencia preocupa bastante

      Eliminar
  2. Gracias, me alegro de que te guste.

    ResponderEliminar

A penny for your thoughts