El CCN-CERT, del Centro Criptológico Nacional (CCN) de España, ha introducido diversas mejoras y nuevas capacidades en la versión 4.0 de «REYES», la solución de Ciberinteligencia del CCN que ya utilizan 267 organismos del sector público.
«REYES» es una herramienta desarrollada por el CCN-CERT – Centro Criptológico Nacional- para agilizar la labor de análisis de ciberincidentes y compartir información sobre ciberamenazas. A través de este portal centralizado de información puede realizarse cualquier investigación de forma rápida y sencilla, accediendo desde una única plataforma a la información más valiosa sobre ciberincidentes. Una información contextualizada y correlada con las principales fuentes de información, tanto públicas como privadas.
La amenaza de los ciberataques promovidos por el Kremlin ha motivado que el CNN decidieran adelantar la renovación de «REYES», que estaba prevista para unos meses después, y que no se renovaba desde 2019. Los servicios secretos españoles buscan así reforzar al máximo la ciberseguridad ante la previsión de posibles ciberataques rusos.
Te puede interesar: ¿Cómo impacta la invasión de Ucrania en la Ciberseguridad?
El CCN, adscrito al CNI, es el organismo responsable de garantizar la seguridad de las Tecnologías de la Información y la Comunicación en las distintas entidades del sector público. Es este organismo el que lanzó el lunes 3 de octubre la cuarta versión de «REYES», el cerebro y base de datos en el que todos los organismos del Estado comparten información sobre los ciberincidentes sufridos.
Lo más destacado de la nueva versión «REYES» es:
- Superficie de exposición. Permite conocer la superficie de exposición de un organismo ante un posible ciberataque y determinar qué brechas de seguridad existen en cada organización. El objetivo es detectar rápidamente qué ha sido afectado para actuar eficientemente al respecto
- Ciberinteligencia adaptada. Monitoriza dominios y direcciones IP y alerta de brechas y leas, gracias a la integración de los servicios Trillion, Darkbeast y HavelBeenPwned.
- Listas negras predefinidas. Permiten buscar indicadores por categoría o por intervalo temporal, así como descargar el histórico de un día y hora específicos. Debido a la creación de estas listas negras de IP, dominios o URL sospechosas confeccionadas por el CCN los organismos del Estado podrán conocerlos y evitarlos.
- Grafo de Ciberinteligencia. Ofrece más información de contexto donde el usuario encontrará Inteligencia de los actores, tácticas, técnicas y herramientas utilizadas por los atacantes. La idea es que este “grafo” permite al CNI y a los expertos en seguridad tener una visión más completa del atacante y la infraestructura que utiliza.
- Interfaz totalmente renovada. Con estadísticas en tiempo real, la nueva versión muestra la información mediante tablas que permiten ordenar, filtrar datos y mostrar u ocultar columnas.
«REYES» trabajando junto a otros organismos internacionales para recopilar datos, pero también para intensificar el intercambio de información con los países aliados. En particular con los servicios secretos de los estados miembros de la OTAN para que entre todos ellos tengan acceso a toda la información privilegiada al respecto. Con todo esto, el CNI espera de REYES que sea la piedra angular de ciberseguridad para proteger no solamente al Estado Español, sino también al resto de países aliados.
Te puede interesar: Curso de Experto en Ciberinteligencia
¿Qué es «REYES» y cómo funciona?
Como ya hemos mencionado previamente a través de «REYES», portal centralizado de información, puede realizarse cualquier investigación de forma rápida y sencilla, accediendo desde una única plataforma a la información más valiosa sobre ciberincidentes. Una información contextualizada y correlada con las principales fuentes de información, tanto públicas como privadas.
Te puede interesar: Ciberseguridad y Seguridad Nacional, las claves de 2021 en España
El núcleo de información de «REYES» está basado en la tecnología MISP (Malware Information Sharing Platform), que es enriquecida con fuentes externas de información que permiten agilizar la prevención y la respuesta a incidentes. Según el CCN, existen distintos aspectos que hacen de «REYES» una solución única:
- Múltiples fuentes. «REYES» se nutre de múltiples fuentes de información, especialmente analizadas y escogidas para englobarlas en una única solución
- Grafo de asociación o de Inteligencia. A través del grafo de asociación o de Inteligencia se crean relaciones entre los diferentes indicadores y eventos que permiten al analista pivotar entre los distintos indicadores para establecer una visión más completa del atacante y la infraestructura que emplea.
- Priorización de la información. «REYES» además procesa y analiza la información. De este modo muestra al analista la información más relevante que le permita agilizar su respuesta a incidentes.
- Información exclusiva. Al ser MISP su núcleo de información y estar federado con organismos internaciones, a través de REYES tendrá acceso a gran información privilegiada.
- Descarga de información. «REYES» facilita la descarga de informes, muestras y de indicadores de compromiso
El acceso a «REYES» está restringido a todas aquellas organizaciones que cuentan con un certificado del SAT-INET (con las mismas credenciales). Puede encontrar más información sobre REYES y las herramientas de Ciberseguridad del CCN en las siguientes Guías CCN-STIC:
Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
- Guía CCN-STIC-423 Indicadores de Compromiso, que muestra las herramientas existentes para identificar indicadores de compromiso (IoC), así como los pasos que se deben dar para actuar frente a amenazas desconocidas. También se muestran las etapas necesarias para compartir estos ficheros de inteligencia en la plataforma disponible REYES , así como los pasos de creación y exportación de manera manual.
- Guía CCN-STIC-424 Intercambio de Información de Ciberamenazas. STIX-TAXII, que presenta las últimas tendencias en materia de compartición de la información y de los estándares más utilizados en el sector (STIX, TAXII) así como las numerosas ventajas de su uso para la mejora de las capacidades defensivas de una organización. Se ofrece, además, un caso práctico de uso con la herramienta REYES en el que se pueden seguir las operaciones básicas – como importar y exportar inteligencia -, todo ello basado en un ataque conocido.
- Guía CCN-STIC-425 Ciclo de Inteligencia y Análisis de Intrusiones, cuyo objeto es ofrecer una explicación, simple y concisa, de lo que en ciberseguridad constituye la llamada Ciberinteligencia y el Ciclo de Inteligencia, desarrollando una de sus fases más significativas: el Análisis. Con este propósito se desarrolla un Modelo para el Análisis Formal de Intrusiones.