¿Quién es Reyes?

Seguimos avanzando. Como a estas alturas damos por hecho que los lectores de este blog ya saben perfectamente lo que es el ENS, podemos ir desarrollando algunas de las herramientas de Ciberseguridad del Centro Criptológico Nacional. REYES (REpositorio común Y EStructurado de amenazas y código dañino) es una herramienta desarrollada por el CCN-CERT para automatizar el intercambio de información y conocimiento sobre ciberamenazas.

Fuente: https://www.ccn-cert.cni.es.

REYES está basado en la tecnología MISP (Malware Information Sharing Platform). MISP es un sistema ya funcional y utilizable por las organizaciones para implementar una plataforma para intercambio de ciberinteligencia. Puesto que su principal caso de uso es el de intercambio de información, la herramienta está especialmente ideada para ofrecer un modo de intercambio para distintas organizaciones que internamente generan ciberinteligencia. Los usuarios del sistema tienen por tanto la oportunidad de facilitar y consumir elementos de ciberinteligencia.

Inicialmente fue desarrollada en el marco de las fuerzas armadas belgas (www.mil.be) pero desde 2012 se ha facilitado abiertamente a la comunidad con una licencia de código abierto y participan diversos equipos de respuesta a incidentes como NATO NCIRC, CIRCL, y CERT-EU.

El sistema ofrece una base de datos centralizada de eventos de ciberseguridad en un formato estructurado compatible con iniciativas como OpenIOC o STIX, y con funcionalidades como correlación de eventos en base a sus atributos, importación y exportación de estos eventos en distintos formatos (XML, texto plano, OpenIOC, YARA, STIX, CSV, etc.).

¿Qué hace de REYES una herramienta única?

  • Está federado con organismos internacionales
  • Recoge información de multitud de fuentes especialistas en malware
  • Contiene atributos y eventos de malware contextualizados
  • Permite la interacción con otras herramientas de análisis
  • Realiza automáticamente la correlación entre los distintos elementos de ciberinteligencia que contiene.

Puede encontrar más información en las siguientes Guías CCN-STIC:

  • Guía CCN-STIC-423 Indicadores de Compromiso, que muestra las herramientas existentes para identificar indicadores de compromiso (IoC), así como los pasos que se deben dar para actuar frente a amenazas desconocidas. También se muestran las etapas necesarias para compartir estos ficheros de inteligencia en la plataforma disponible REYES , así como los pasos de creación y exportación de manera manual.
  • Guía CCN-STIC-424 Intercambio de Información de Ciberamenazas. STIX-TAXII, que presenta las últimas tendencias en materia de compartición de la información y de los estándares más utilizados en el sector (STIX, TAXII) así como las numerosas ventajas de su uso para la mejora de las capacidades defensivas de una organización. Se ofrece, además, un caso práctico de uso con la herramienta REYES en el que se pueden seguir las operaciones básicas – como importar y exportar inteligencia -, todo ello basado en un ataque conocido.
  • Guía CCN-STIC-425 Ciclo de Inteligencia y Análisis de Intrusiones, cuyo objeto es ofrecer una explicación, simple y concisa, de lo que en ciberseguridad constituye la llamada Ciberinteligencia y el Ciclo de Inteligencia, desarrollando una de sus fases más significativas: el Análisis. Con este propósito se desarrolla un Modelo para el Análisis Formal de Intrusiones.
  • Guía CCN-STIC-426 REYES. Manual de Usuario. Esta Guía recoge los principales aspectos de la herramienta REYES como plataforma desplegada por el CCN-CERT para el intercambio de información y conocimiento sobre ciberamenazas.

Actualmente sólo pueden solicitar acceso a REYES aquellos organismos que estén dados de alta en el Sistema de Alerta Temprana.

Anuncios

One thought on “¿Quién es Reyes?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s