Aplicaciones, Inteligencia, Seguridad

Según el último informe de Internet Crime Complaint Center (IC3), se constata que el cibercrimen impactó de forma considerable a los negocios y empresas estadounidenses durante el año 2015, robando a entidades más de $263 millones y causando perdidas valoradas en más de $1.07 mil millones.

ic3

El informe menciona distintas operaciones, como tipos de crímenes y ataques llevados a cabo, y también ofrece un TOP 3:

  • Business Email Compromise (BEC)
  • Email Account Compromise (EAC)
  • Ransomware

Esta entidad, bajo el paraguas del FBI es clara a la hora de identificar las piezas del puzzle necesarias para acabar con estos ataques. Donde la “detección”, “análisis” y “prevención” forman uno de los ejes.

puzzle

Dado que hoy en día compartir información es algo más que necesario para las empresas, que los especialistas analicemos e identifiquemos amenazas potenciales a tiempo, puede facilitarles una seguridad que a día de hoy no tienen.

Los modelos colaborativos están en auge, y representan una de las formas más efectivas para combatir el cibercrimen en cuanto una nueva amenazada es detectada en cualquier punto del planeta.

En la entrada de hoy, voy a analizar y explicar el funcionamiento de un proyecto lanzado por Blueliv, una de las empresas más importantes del panorama de seguridad actual, especializada en Threat Intelligence y análisis de amenazas, y catalogado por Gartner como un “cool vendor” en el año 2015.

community

El proyecto en sí, Blueliv Community está todavía en fase BETA, y es una especie de Red Social donde los usuarios podemos contribuir con información relacionada con amenazas, subir ficheros maliciosos, y añadir o consultar IOC’s (Indicadores de Compromiso).

Util para aquellos que hemos de tener en nuestro radar todas aquellas amenazas que surgen día tras día, para defender la infraestructura e información de nuestras empresas o clientes. Para ello, una “comunidad” donde de forma gratuita se comparten estos datos, es fundamental y necesario.

  • Log In / Sign Up

La plataforma tiene integrado distintos métodos para autenticarnos, basta con tener una cuenta en alguna de las conocidas redes sociales (Facebook, Twitter, Google+ o LinkedIn) para acceder fácilmente al panel de control. Tener enlazadas estas cuentas en tu perfil, te permitirá más tarde compartir la información en esas Redes Sociales.

log in

  • Perfil / Trending Tags / Who to Follow

La Community cuenta con un sidebar donde proporciona mucha información con un simple vistazo.

Entre las estadísticas de usuario ofrecidas, al más puro estilo Twitter, se indican el número de publicaciones o “Sparks” que hemos realizado, la cantidad de IOC’s compartidos, número de usuarios seguidores y de los usuarios que seguimos, así como los “Sparks” que hemos considerado de interés o “favoritos”.

También nos encontraremos con los Tags o etiquetas más empleadas a la hora de categorizar Sparks. Bastante útiles si queremos hacernos una idea del “Estado de la Seguridad” en un preciso momento.

El Who To Follow, también permite ver quiénes son los usuarios recomendados a seguir según la cantidad y calidad de sus publicaciones. Blueliv tiene un algoritmo para establecer quiénes son los Top Stars.

  • Timeline

Una vez registrados en el sistema, la primera pantalla del panel de control, será un Timeline donde veremos las publicaciones de los miembros de la comunidad que seguimos, y las nuestras propias. Cada vez que alguien al que seguimos publique un Spark, aparecerá en nuestro timeline.

Desde esta pantalla además podremos publicar nuestros propios Sparks.

timeline

  • Discover

Para visualizar todo el contenido de la Community, simplemente tenemos que irnos al apartado del menú Discover, donde por orden cronológico, al igual que en el Timeline, se nos proporcionarán todos los sparks publicados por cada uno de los miembros de la Community.

  • Consultando Sparks

Tanto en el Timerline, como en el apartado Discover, podemos acceder al contenido e información compartida en un Spark. Simplemente haciendo click sobre aquel que nos interese.

Una de las cosas que más me gusta de esta plataforma, es la posibilidad de visualizar en un mapa y obtener información de origen de las IP’s identificadas.

spark1spark2

Así mismo, podemos marcarlo como favorito y re-enviarlo para publicarlo en nuestro propio Timeline. Otra opción es la de compartirlo en nuestras redes sociales, así como poder incluir comentarios en el propio Spark, que es muy útil de cara a añadir más información sobre una amenaza específica.

  • Publicación

Blueliv ha creado una interfaz muy clara, donde podremos, además de añadir una descripción, añadir indicadores de tres formas distintas:

  1. Introduciendo IOC’s de forma manual.
  2. Importar IOC’s de forma automática, parseando una URL.
  3. Crear Sparks a partir de una muestra (Sandbox).

enter_ioc

Otro punto importante, es la opción de indicar Etiquetas o Tags, para luego hacer búsquedas rápidas, y también comprender de un rápido vistazo de qué trata la amenaza en cuestión. Esto es muy importante, ya que si un Sparks no se categoriza en condiciones, a veces es difícil identificar de qué se trata.

tag

  • Sandbox

Un punto muy importante para convencerme, es que también es posible crear Sparks a partir de muestras de malware que hayamos obtenido.

De manera automática, nos hará un análisis del mismo, indicando el ratio de identificación por parte de los Antivirus empleando la plataforma VirusTotal, así como los dominios y hosts asociados a la muestra.

De esta forma, nos evitaremos introducir manualmente dato alguno en el apartado de IOC’s.

Subir un archivo es tarea sencilla, pero a veces la plataforma toma demasiado tiempo para analizarlo, y ralentiza a la hora de poder compartir el Spark.

sandbox1

sandbox2 sandbox3 sandbox4

  • Publicación desde Sandbox

Para compartir el fichero subido a nuestro Sandbox, simplemente tenemos que hacer click en Spark:

share

En ese momento, un nuevo Spark se generará con los IOC’s identificados por la plataforma. Indicando además la amenaza de la que se trata en los Tags, en caso de ser conocida previamente.

spark_loaded

De momento puedo decir que me parece un producto bastante completo e interesante a nivel técnico, pero serían necesarias ciertas mejoras:

  1. Hacer que la interfaz sea aún más sencilla y simple para el usuario. Mejora de UX.
  2. Sería interesante modificar el funcionamiento de búsquedas y Tags, ya que a veces no funciona como se podría esperar.
  3. También me gustaría poder ver en mi Timeline, Sparks suficientemente importantes, que la comunidad considere como tales, aun cuando yo no siga al usuario que lo publique.
  4. El punto anterior se podría solucionar añadiendo un Tab donde se publiquen los Sparks más compartidos, o los que más “Favorito” han recibido.  O simplemente, que en el Discover se puedan ordenar los Sparks por “importancia”, si así lo desea el usuario.

Al estar todavía en una fase BETA, queda mucho por hacer, y estoy convencido de que el equipo de Blueliv ofrecerá muchas más mejoras para facilitarnos la vida a los que nos apasiona el Threat Intelligence.