Académique Documents
Professionnel Documents
Culture Documents
Jung Ho Eom
Resumen
1. Introducción
De acuerdo con los profesionales de seguridad, Estados unidos han experimentado ataques
cibernéticos tales como robos de datos secretos procedentes de China en la última década. En agosto
de 2008, cuando las tropas rusas invadieron la República de Georgia, sólo luchaban con las tropas y
tanques. Era posible atacar a causa de antemano, se llevaron a cabo los ataques DDoS a la página
principal del gobierno de Georgia y el sitio web principal de la nación. En ese momento, los ataques
cibernéticos se destacaron nuevo reto de la guerra. Ataques cibernéticos ya no son un conflicto en el
ciberespacio, si no que se reconocen como un aspecto de la guerra. En la República de Corea, más de
10 agencias gubernamentales, partidos políticos y medios de prensa han dañado deformación del sitio
Web y el bloque de acceso de ataque DDoS se originaron de Corea del Norte (estimado) en junio de
2013 [14].
Los ciberataques no deben pasarse por alto el nivel de amenaza o conflicto en el ciberespacio. Los
ciberataques son maniobras o acciones realizadas en el ciberespacio cuando una guerra tiene lugar en
el espacio físico. Por lo tanto, se debe establecer un sistema organizado de defensa cibernética para
prevenir ataques cibernéticos. Cuando se realiza un ciberataque o defensa, se debe establecer un plan
de operación y, en consecuencia, se requiere inteligencia. La inteligencia cibernética debe ser un
requisito previo para garantizar la superioridad de la inteligencia en la operación cibernética. En la guerra
cinética, la inteligencia proporciona al comandante diversos datos para evaluaciones y estimaciones que
facilitan la comprensión del entorno operativo. Esto incluye las organizaciones, capacidades y procesos
involucrados en la recopilación, procesamiento, análisis, difusión y evaluación de la información. Sin
inteligencia, las operaciones no pueden realizarse, y la superioridad de la guerra tampoco puede
garantizarse. En la guerra cibernética, la inteligencia es un factor muy importante para asegurar la
superioridad en el ciberespacio. Con referencia a la definición de inteligencia militar, la inteligencia
cibernética se refiere al producto resultante de la recopilación, procesamiento, análisis, integración,
evaluación e interpretación de los datos disponibles sobre la organización cibernética hostil, las
capacidades de las fuerzas cibernéticas, el sistema de red, etc. [5, 6].
2. Inteligencia Cibernética
adversarios que podrían afectar la seguridad cibernética nacional. La Inteligencia Cibernética Operativa
es la inteligencia que se requiere para planificar y ejecutar operaciones cibernéticas importantes para
lograr objetivos estratégicos cibernéticos dentro del ciberespacio. Estos incluyen la recomendación de
objetivos, la selección del método de ataque, la evaluación de impactos, etc. La inteligencia cibernética
táctica significa la inteligencia que se requiere para el compromiso y la maniobra de las operaciones
tácticas. Estos incluyen vulnerabilidades, el principal punto de impacto, la decisión de técnicas de
ataque, etc., [8, 9]. La Figura 2 muestra el flujo de la inteligencia cibernética.
En segundo lugar, es describir el entorno del ciberespacio que se compone de red, sistema,
hardware, sistema operativo, software, datos, sistema de seguridad, etc. Y se deben conocer las
influencias que afectan la maniobra de las fuerzas cibernéticas amigas y hostiles. En tercer lugar, es
identificar, definir y nominar objetivos, ya sea el apagado del sistema o la falla de la red o la fuga de
información, etc. Por lo tanto, el comando cibernético debe decidir los objetivos teniendo en cuenta las
probables intenciones hostiles, la última situación, los objetivos, las fortalezas, las capacidades críticas y
pronto. Cuarto, es para apoyar la planificación y maniobra de las operaciones cibernéticas. Estas
responsabilidades son muy importantes para el procedimiento de operaciones cibernéticas porque hay
determinación de objetivos, recomendación de objetivos, selección del método de ataque, decisión de la
técnica de ataque, etc. En quinto lugar, la inteligencia cibernética evalúa la efectividad del ataque de la
operación cibernética con respecto a los activos cibernéticos hostiles. a los objetivos. Además, hay
varias responsabilidades [5].
Las operaciones cibernéticas son el empleo de capacidades cibernéticas donde el objetivo principal
es lograr objetivos en el ciberespacio en o a través de él. Incluyen la operación de la red informática y
actividades para operar y defender la infraestructura cibernética amigable. La operación de la red
informática es el componente de las operaciones cibernéticas que establece opera, gestiona y defiende
la infraestructura cibernética crítica y los recursos clave, y ataca los activos cibernéticos hostiles en el
El proceso de las operaciones cibernéticas es una secuencia de maniobras tácticas con objetivos
estratégicos cibernéticos en el ciberespacio. Este proceso incluye una parte de Pre-CTO (Orden de
tareas cibernéticas) que es un proceso de ciberataque compuesto como el pre-ATO (Orden de
asignación de tareas de aire preposicional) de la Fuerza Aérea. El pre-ATO se define como un
procedimiento utilizado para realizar tareas y diseminar a componentes, unidades subordinadas y
agencias de comando y control proyectadas salidas, capacidades y / o fuerzas a objetivos y misiones
específicas durante tres días desde el estallido de la guerra. Normalmente proporciona instrucciones
específicas que incluyen señales de llamada de combate, objetivos, armas y agencias de control, etc.,
así como instrucciones generales [7]. Pre-CTO guía el ataque cibernético de acuerdo con el
procedimiento asignado en cada fase en tiempo real. El proceso de las operaciones cibernéticas tiene
siete fases, incluida la Pre-CTO como la Figura 3.
Recopilación de información: recopile datos o información requerida para satisfacer los requisitos
de inteligencia especificados por el Comandante Cibernético. Se debe recopilar el requisito de
inteligencia prioritario en los requisitos de inteligencia. El requisito de inteligencia de prioridad (PIR) es un
requisito de inteligencia que se expresa como una prioridad para el apoyo de inteligencia, que el
comandante cibernético y las unidades necesitan para comprender la situación de las condiciones
operativas y adversarias en el ciberespacio [5, 7]. La Inteligencia Cibernética para operaciones
cibernéticas incluye lo siguiente de acuerdo con la información y los "niveles operativos de Inteligencia
Cibernética" de la alianza de seguridad nacional [11].
- Análisis de tendencias de la guerra cibernética que indica la dirección técnica en la que las
capacidades cibernéticas de las fuerzas hostiles están evolucionando.
- Indicaciones de que las fuerzas cibernéticas hostiles han seleccionado un enfoque técnico para
apuntar a su organización
- Indicaciones de que las fuerzas cibernéticas hostiles están creando capacidad cibernética para
explotar una forma particular de enfoque
- Comprensión del ciclo operativo cibernético de la fuerza cibernética hostil, como la toma de
decisiones, adquisiciones, método de comando y control, etc.
- Información que permite al defensor impactar a las fuerzas cibernéticas hostiles a medida que se
mueven a través de la cadena de asesinatos
La selección del método de ataque: seleccione el método de ataque suficiente para satisfacer los
objetivos del comandante cibernético, el impacto efectivo en las fuerzas hostiles y el adecuado a la
vulnerabilidad del objetivo teniendo en cuenta las capacidades cibernéticas amigables, las armas
cibernéticas, las técnicas y habilidades, Por ejemplo, si el objetivo del ataque cibernético es romper la
red, la inteligencia cibernética proporciona un ataque DDoS.
La técnica de decisión de ataque: recomendar la técnica de ataque más efectiva podría ser
objetivos operativos cibernéticos satisfechos y adecuados para el principal punto de impacto. La
inteligencia cibernética tiene que elegir las técnicas de ataque óptimas y proporciona la prioridad de las
técnicas de ataque. Por ejemplo, si decide el ataque DDoS como método de ataque, la inteligencia
cibernética debe recomendar la técnica de ataque más óptima entre SYN, UDP y HTTP para obtener un
ataque de inundación al comando cibernético.
La eliminación de rastros de ataque: elimine todos los rastros del ataque cibernético eliminando
el archivo de registro, el registro de acceso al enrutador, la puerta trasera, etc. En particular, cuando se
cambia el objetivo o la maniobra cibernética, se debe borrar el registro de acción existente. Y la
inteligencia cibernética debe controlar el retroceso del enemigo.
La evaluación de los impactos del ataque: estimar los impactos en el sistema objetivo como
resultado de la maniobra cibernética. En las operaciones cibernéticas, la evaluación del daño funcional
se realiza principalmente. Si los efectos esperados no se obtuvieron con la maniobra cibernética, la
inteligencia cibernética debe proporcionar un nuevo PIR al comando cibernético, según su decisión. Si el
comando cibernético decide atacar a otro objetivo, la inteligencia cibernética debe realizar tareas
mediante el proceso de operaciones. Si el comando cibernético decide volver a lanzarse en el mismo
objetivo nuevamente, la inteligencia cibernética recomienda otros métodos y técnicas de ataque para
lograr los objetivos de las operaciones cibernéticas.
4. El estudio de caso
En este capítulo, explicamos cómo la inteligencia cibernética respalda las operaciones cibernéticas de
acuerdo con el proceso de las operaciones cibernéticas. En la fase de recopilación de información,
recopila la información necesaria para las operaciones cibernéticas, utilizando herramientas de
recopilación de información como herramientas de escaneo, herramientas de análisis de vulnerabilidad,
etc. Recientemente, malware como Stuxnet y Duqu incluye la función de recopilación de información y
proporciona la información necesaria. La Agencia de Seguridad Nacional de EE. UU. Trabaja en un
programa llamado PRISM, que es un programa clandestino de minería de datos de vigilancia electrónica
en masa lanzado en 2007. Recopila las comunicaciones almacenadas de Internet en función de las
demandas hechas a compañías de Internet como Google [13]. La inteligencia cibernética recopila
información relacionada con el servidor como la siguiente tabla.
En la fase de selección del método de ataque, la inteligencia cibernética debe recomendar un método
de ataque apropiado para MPI (Punto principal de impacto) para lograr la parálisis del sistema. MPI es
uno de Kernel, Sistema de archivos, VM incluido en la lista CVE. Si el comandante cibernético decide
que el sistema de archivos es MPI, la inteligencia cibernética recomienda un método de ataque teniendo
en cuenta el MPI y la parálisis del sistema. El ataque DDoS generalmente se usa para deshabilitar la red
o el sistema. 6.25 los ciberterrores ocurridos en Corea en 2013 también incluyen el método de ataque
DDoS. Sin embargo, el ataque DDoS puede ser el objetivo final para paralizar el sistema, y también se
utiliza como un medio para lograr otros objetivos de ataque.
bueno que la inteligencia cibernética describa el progreso del ataque, los resultados, los efectos, etc.
para el comandante cibernético a través de la simulación de la guerra cibernética. La inteligencia
cibernética debe informar varias técnicas de ataque aplicando resultados de simulación al comando
cibernético para elegir la técnica más efectiva.
En la fase de maniobra cibernética, se está llevando a cabo una inundación HTTP. Es una técnica de
ataque DDoS que la transacción HTTP se procesa después de procesar la conexión TCP normal.
Solicita continuamente HTTP Get al servidor, y luego el servidor realiza el proceso de solicitud HTTP, así
como la sesión TCP normal. Entonces, el módulo de proceso HTTP se sobrecarga. Antes de que se
inicie la maniobra cibernética, la inteligencia cibernética debe verificar el conjunto de valores umbral de
las solicitudes de conexión TCP y HTTP Obtener solicitud como sistema de seguridad de recolección de
las fuerzas cibernéticas hostiles. Y la inteligencia cibernética debe monitorear continuamente las
actividades del sistema de seguridad hostil.
La eliminación del rastro de ataque es necesaria para ocultar la fuente del ataque o evitar el retroceso
de la fuerza cibernética hostil. La Inteligencia Cibernética admite métodos de eliminación, como eliminar
el archivo de registro, el registro de acceso al enrutador, la puerta trasera, etc. a los equipos de
operaciones cibernéticas. El método de eliminación de sonido más es destruir el registro de arranque
maestro (MBR) o eliminar todos los registros existentes como forzar el apagado del sistema. Además, el
rastreo de ataque podría ocultarse como eliminar el archivo del programa después de sobrescribir una
cadena en los archivos del programa. La inteligencia cibernética respalda la información del método y
proceso de eliminación más óptimo y efectivo para los equipos de operaciones cibernéticas.
En la evaluación de la fase de impacto del ataque, la inteligencia cibernética debe estimar los
impactos del sistema objetivo como resultado de la maniobra cibernética. La inteligencia cibernética
realiza una evaluación de impacto física, funcional y de componentes en el sistema objetivo. La
inteligencia cibernética evalúa el grado de impacto físico, como la destrucción de MBR del disco duro, el
grado de impacto funcional, como la sobrecarga del proceso HTTP, y el grado de impacto de los
componentes, como el retraso de la transmisión de paquetes. Además, la inteligencia cibernética tiene
que recopilar el tiempo de recuperación para que el sistema objetivo sea capaz de realizar la función
normal y el sistema alternativo. Continuamente deberíamos investigar el método de evaluación de
impacto porque no existe un método para estimar un impacto preciso.
5. Conclusión
la fase de eliminación de rastros de ataque. Estima los impactos en el sistema objetivo como resultado
de la maniobra cibernética en la evaluación de la fase de impactos del ataque.
Agradecimientos
"Este documento es una versión revisada y ampliada de un documento titulado [El papel y la
responsabilidad de la inteligencia cibernética en la guerra cibernética] presentado en [ITCS2014, Saipan
y del 17 al 20 de julio]".
Este trabajo fue apoyado por la Fundación Nacional de Investigación de Corea Grant financiado por el
Gobierno de Corea (NRF-2013S1A5A8023478).
Referencias
[1] N. Kshetri, “Cyberwarfare: Western and Chinese Allegations”, ITProfessional, (2014) January-
February, pp. 16-19.
[2] J.-H. Shin, S.-P. Cheon, and J.-ho Eom, “The Role and Responsibility of Cyber Intelligence in Cyber
Warfare”, The proceedings of The 3rd International Conference on Information Technology and
Computer Science, Saipan USA, (2014) July 17-20.
[3] T.-M. Chung, J.-H. Eom, S.-H. Kim and N.-U. Kim, “Information Security: Ask and Answer”,
Hongneung Publishers, Seoul, (2014).
[4] J. ho Eom, “Modeling of Document Security Checkpoint for Preventing Leakage of Military
Information”, Journal of Security and Its Application, vol. 6, no. 4, (2012), pp. 175-182.
[5] M. E. Dempsey, Joint Intelligence, Joint Publication 2-0, (2013).
[6] An introduction to cyber intelligence, http://www.Tripwire.com, (2014).
[7] W. E. Gortney, Department of Defense Dictionary of Military and Associated Terms, Joint Publication
1-02, (2014).
[8] M. A. Vane, “Cyberspace Operations Concept Capability Plan 2016-2018”, TRADOC Pamphlet 525-
7-8, (2010).
[9] M. M. Hurley, “For and from Cyberspace: Conceptualizing Cyber Intelligence, Surveillance, and
Reconnaissance”, Air & Space Power Journal, (2012), pp. 12-33.
[10] J.-ho Eom, N.-uk Kim and T.-M. Chung, “Cyber Military Strategy for Cyberspace Superiority in Cyber
Warfare”, The Proceedings of the 2012 International conference on Cyber Security, Cyber Warfare
and Digital Forensic, Kuala Lumpur Malaysia, (2012) June 26-28.
[11] G. Bamford, J. Felker and T. Mattern, “Operational Levels of Cyber Intelligence”, Intelligence and
National Security Alliance, (2013).
[12] S. D. Applegate, “The Principle of Maneuver in Cyber Operations”, The proceedings of The 4th
International Conference on Cyber Conflict, Tallinn Estonia, (2012) June 5-8.
[13] PRISM (surveillance program), http://en.wikipedia.org/wiki/PRISM_(surveillance_program).
[14] CVE List, https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=solaris.
Autores