Science And Technology">
Palabras Clave: Informática Forense. Infor-Matoscopia. Ciberseguridad. Ciberdefensa. Ciberataque. Infraestructura Crítica
Palabras Clave: Informática Forense. Infor-Matoscopia. Ciberseguridad. Ciberdefensa. Ciberataque. Infraestructura Crítica
Palabras Clave: Informática Forense. Infor-Matoscopia. Ciberseguridad. Ciberdefensa. Ciberataque. Infraestructura Crítica
2http://www.fuerzas-armadas.mil.ar/Dependencias-
CIBDEF.aspx
Entrega o distribución efecto de la agresión llegue a su punto culmi-
Compromiso Inicial. nante (Colbaugh & Glass, 2011).
Uso indebido / Escalamiento de Privile- La explotación del análisis forense digital y su
gios. capacidad de extraer muestras o pruebas de las
Reconocimiento interno. computadoras, equipos móviles y otros dispo-
Movimiento lateral. sitivos es fundamental para descubrir e inter-
Establecimiento de la persistencia (conso- pretar datos electrónicos.
lidación). Un componente de soporte al desarrollo de la
Ejecución de la Misión o cumplimientos metodología es la “línea de tiempo” que per-
mite mostrar quién hizo, qué y cuándo, de ma-
de Objetivos.
nera de poder afirmar de forma concluyente
Exfiltración.
que la Acción A causó el Resultado B
El conocimiento tecnológico que proporciona
(Amusategui López, 2016).
la Informática Forense, la Informatoscopia y
su apoyo en las Ciencias de la Computación
2. LÍNEAS DE INVESTIGACIÓN Y
tiene su campo de aplicación en la Justicia
DESARROLLO
(Consejo General del Poder Judicial (CGPJ) et
Se identifican dos líneas principales de inves-
al., 1996). Esta capacidad se sustenta en el em-
tigación de interés para InFoscopia; a saber:
pleo de técnicas científicas y analíticas espe-
cializadas sobre la infraestructura tecnológica Análisis de amenazas cibernéticas y de
y se desarrolla con la finalidad de identificar, tendencias de ciberagresiones a infraes-
preservar, analizar y presentar datos que sean tructuras críticas estratégicas, para mode-
válidos dentro de un proceso legal, en el marco lar el comportamiento de agresores ciber-
de un delito informático que es objeto de in- néticos que puedan afectar, especialmente,
vestigación judicial. Es decir que estas disci- la disponibilidad 3 de las infraestructuras
plinas actúan ex post, luego de ocurrido un de- críticas.
lito (Domínguez, 2013). Métodos de análisis forense digital en me-
En la Ciberdefensa tienen prioridad la mitiga- moria, de ingeniería inversa de software y
ción, contención o respuesta inmediata para de análisis de malware, que puedan exten-
detener los efectos de una ciberagresión o ci- derse o aplicarse para estudiar procesos
berataque, manteniendo el objetivo de la reco- “vivos” en dispositivos de datos, red, se-
lección de evidencias de la vulneración de los guridad informática o soporte. Se conside-
sistemas y preservar las pruebas, pero deján- ran de interés para elaborar un conjunto de
dolo en segundo orden de prioridad Indicadores de Amenaza (Indicators of
(Intelligence and National Security Alliance Threat - IoTh), por analogía a los Indica-
(INSA), 2018). Sin embargo, los métodos y he- dores de Compromiso (Indicators of Com-
rramientas de la Informática Forense pueden promise - IoC).
resultar de utilidad para apoyar el proceso de Para este proyecto, la primera línea de investi-
gestión de incidentes de Ciberseguridad y Ci- gación resulta de interés para el modelado del
berdefensa, pero bajo otra metodología enfo- comportamiento del agresor cibernético, espe-
cada en una acción proactiva, antes que el cialmente en las etapas previas del ciberataque
3
Availability, adoptada por el estándar internacional
ISO/IEC 27000. Se refiere a la “propiedad de la infor-
mación [o de un sistema] de estar accesible y utilizable
cuando lo requiera una entidad autorizada”.
(exploración o reconocimiento inicial, adquisi- Detectar cómo y cuándo ocurrió una vio-
ción intrusiva de servicios o procesos compu- lación de la protección de una ICSDN.
tacionales de la infraestructura, desarrollo de Identificar los activos esenciales o siste-
herramientas ofensivas acordes a la debilidad a mas comprometidos y afectados.
ser explotada) y en momento inicial del asalto Determinar qué atacantes tomaron o cam-
a la infraestructura, cuando empieza la entrega biaron procesos.
o distribución de una ciberarma (malware, tra- Contener y remediar los incidentes que se
mas anómalas de datos, etc). configuren.
La segunda línea de investigación tiene interés, Desarrollar indicadores y fuentes clave de
entre otros puntos, sobre los métodos de reco- inteligencia de amenazas.
lección de información disponibles para archi- Buscar violaciones adicionales usando el
vos dependientes de la memoria RAM, como conocimiento de las tácticas, técnicas y
ser la RAM propiamente dicha y el archivo de procedimientos del agresor.
paginación de los sistemas operativos. Tam- Con respecto a la primera línea, se ha comen-
bién, el análisis de artefactos o piezas de soft- zado por adoptar como referencia el marco de
ware en tiempo de ejecución, los procesos trabajo MITRE's Adversarial Tactics, Techni-
desatados por el malware o software dañino y ques, and Common Knowledge (ATT&CK),
el análisis de tráfico en la red, desde y hacia el desarrollada y mantenida por la organización
activo comprometido. Se pretende analizar y estadounidense The Mitre Corporation. Se
comprender eventos en tiempo de ejecución trata de una base de conocimiento accesible a
para clasificarlos como normales o anómalos nivel mundial, sobre tácticas, técnicas y proce-
con un grado de confianza aceptable. dimientos que utilizan los agresores cibernéti-
El proyecto tiene previsto tres etapas: cos.
Formulación metodológica para activos
bajo entornos Windows en redes Ether- Entre los primeros resultados de la segunda lí-
net proponiendo indicadores de amena- nea de investigación, por medio del empleo de
zas a la disponibilidad. Se validará con varias herramientas forenses de análisis de me-
pruebas de concepto. moria de computadoras con arquitectura Von
Ampliación de la metodología para am- Neumann, se logró validar la técnica de obten-
bientes heterogéneos con dispositivos ción de datos residentes en memoria para el
Linux y medios de redes y seguridad par- análisis de cadenas de caracteres presentes en
ticulares de infraestructuras críticas. Se tiempo de ejecución. Como continuación de
desarrollará un prototipo experimental. este trabajo, mediante la utilización de la he-
rramienta Sysmon (de la suite Sysinternals de
Se completará con la experimentación y
Microsoft) se pretende estudiar el comporta-
selección de parámetros definitivos de
miento de los activos bajo condiciones norma-
los indicadores de amenazas definidos.
les de operación y compararlos con los efectos
de eventos asociados a la fase previa de los ci-
3. RESULTADOS
berataques. La finalidad es obtener informa-
OBTENIDOS/ESPERADOS
ción detallada sobre las creaciones de proce-
El principal resultado esperado es desarrollar
sos, conexiones de red y cambios en el tiempo
una metodología propia de análisis de eventos
de creación de archivos. Al recopilar los even-
o incidentes aplicable a las fases iniciales de
tos que se generan, se podrá realizar el análisis
una ciberagresión o ciberataque que pudiera
en vivo de los Logs para identificar actividades
ocurrir en uno o más activos esenciales de una
anómalas y comprender cómo operan los intru-
ICSDN, con la finalidad de dar respuesta a los
siguientes propósitos:
sos y el malware en la red de una infraestruc-
tura crítica, de manera de encontrar posibles
5. BIBLIOGRAFÍA
Indicadores de Amenazas (IoTh) en un mo- Amusategui López, J. M. (22 de Dic de 2016).
mento previo al compromiso de la disponibili- Universitat Oberta de Catalunya. Obtenido
dad del activo (weaponization en el framework de
PRE-ATTACK de Mitre). http://openaccess.uoc.edu/webapps/o2/bitstr
eam/10609/60765/6/jamusateguiTFM1216
memoria.pdf
4. FORMACIÓN DE RECURSOS Baggett, R. K., & Simpkins, B. K. (2018).
HUMANOS Homeland Security and Critical
El Grupo de Investigación tiene conocimientos Infrastructure Protection, 2nd Edition.
y experiencia sobre Informática Forense, Ci- Santa Barbara, California. USA: Praeger
berseguridad, Ciberdefensa, Redes de Infor- Security International.
mación, Sistemas Operativos, Sistemas de Clay, W. (2007). Network Centric Operations:
Control, Sistemas Electrónicos, Ingeniería de Background and Oversight Issues for
Software y Programación. Congress. CRS Report for Congress.
Colbaugh, R., & Glass, K. (15 de Ago de 2011).
La estructura del equipo de trabajo está confor-
IEEE Xplore Digital Library. (P. o.
mada por dos docentes e investigadores del Informatics, Ed.)
posgrado de Especialización en Criptografía y doi:10.1109/ISI.2011.5984062
Seguridad Teleinformática, tres docentes e in-
Consejo General del Poder Judicial (CGPJ) et al. (31
vestigadores de Ingeniería en Informática. de Dic de 1996). CITA.ES. Obtenido de
Además, un tecnólogo posgraduado en la espe- http://cita.es/apedanica/INFORMAT.HTM
cialización mencionada, con dos tesis de pos-
Dean, S. E. (2013). Cyber Defense: Securing
grado aprobadas, vinculadas al proyecto; ac- Military Systems and Critical Civilian
tualmente, realiza el Doctorado en Ciencias Infrastructure from an Electronic 9/11.
Informáticas con tesis afín al proyecto. El Hampton Roads International Security
grupo se completa con dos tecnólogos especia- Quarterly.
lizados en sistemas operativos y redes de Domínguez, F. L. (2013). Introducción a la
computadoras, y un tercer tecnólogo con expe- Informática Forense. Madrid. España: Ra-
riencia en incidentes de ciberseguridad. A par- Ma.
tir de este año, se han incorporado dos alumnos Edwards, M. (2014). Critical Infraestructurre
de la carrera de Ingeniería en Informática y uno Protection. Ankara, Turquía: IOS Pres BV.
de Ingeniería Electrónica que desarrollarán te-
Intelligence and National Security Alliance (INSA).
sinas de grado vinculadas al proyecto. (31 de Ago de 2018). Intelligence and
La formación de recursos humanos es un obje- National Security Alliance. Obtenido de
https://www.insaonline.org/wp-
tivo del proyecto y está reflejado en la consti-
content/uploads/2018/08/INSA-Managing-
tución del grupo, donde se integran los conoci-
Cyber-Attack-Critical-Infrastructure.pdf
mientos de docentes muy experimentados y
jóvenes, alumnos de ingeniería, personal téc- Johnson, T. A. (2015). Cybersecurity: Protecting
Critical Infrastructures from Cyber Attack
nico y tecnólogos de tres laboratorios asocia-
and Cyber Warfare. St.Louis, Missouri.
dos al proyecto (CriptoLab y CIDESO / Ejér- USA: CRC Press.
cito; InFo-Lab / Universidad FASTA). Por
The Mitre Corporation. (22 de Nov de 2018).
último, se previeron otorgar becas de docto-
MITRE ATT&CK. Obtenido de
rado, postgrado y grado e incorporar pasantes https://attack.mitre.org/
en el marco de la Red UNIF.