José Ramón Monleón     Miembro de ISMS Forum y Director Técnico del Proyecto de Compartición de Indicadores de Compromiso (IoCs)

En el escenario actual, asistimos a la imparable escalada del riesgo ante ataques sobre la seguridad de los sistemas y redes informáticas por parte de un grupo cada vez más numeroso y competente de agentes hostiles. Estos ataques se realizan de forma generalizada a cualquier empresa, independientemente del sector, reutilizando técnicas y herramientas. Ante estas amenazas, el intercambio de información sobre los ataques, modus operandi, técnicas y herramientas usados en los mismos se considera de vital importancia para la protección eficaz de las organizaciones objetivo de estos ataques. Esta información está en posesión en cada una de las organizaciones o los proveedores que ofrecen herramientas de seguridad, siendo utilizado por los proveedores y no por las empresas atacadas, para prevenir incidentes en otras organizaciones.

Actualmente esta falta de comunicación es una debilidad que permite que una amenaza pueda ir afectando empresa tras empresa, de forma masiva, con el consiguiente beneficio para los atacantes.

Ante esta necesidad, durante los últimos años han ido apareciendo una serie de mecanismos orientados a facilitar la compartición automatizada de información de seguridad sobre los ataques y atacantes. Estos sistemas han ido evolucionando a medida que más organismos interesados se incorporaban a su definición y en estos momentos existen dos estándares principales de intercambio de información sobre indicadores de compromiso y ataques: STIX y OpenIOC.

ISMS Forum no ha sido ajeno a esta problemática y dentro de su filosofía de colaboración e impulso de la seguridad de la información, ha puesto en marcha un proyecto piloto que intente dar solución a la necesidad de intercambio de indicadores de compromiso entre distintas organizaciones mediante canales seguros e independientes entre sí.

Desde la Asociación se pretende que cada organización pueda aportar los IOCs que considere convenientes y establecer, para cada uno de ellos, su estrategia de distribución hacia el resto de participantes, canalizándolo y almacenándolo en un entorno centralizado que será el que de acceso a esa información mediante el uso de perfiles de usuarios y grupos de acceso para cada organización.

Será necesario que cada organización participante pueda determinar, para cada IOC, con qué participantes quiere que se comparta la información, pudiendo ser o bien pública y accesible por cualquiera, o sólo ser compartida por un grupo cerrado de participantes.

El sistema deberá soportar el intercambio de IOCs con al menos los estándares OpenIOC y STIX/Cybox, y la entrada y salida con de información con ambos estándares.

La colaboración entre las entidades es un factor clave que va a cambiar la balanza frente a las actuales amenazas, ya que hasta la fecha el aislamiento entre entidades y la falta de colaboración ha sido un factor que ha sido aprovechado por los atacantes para que las consecuencias de sus acciones se extiendan.

Juntos hacemos más.