DO-CSIRT SUBVENCIONES FRIDA Identificación del Proyecto

Transcripción

1 SUBVENCIONES FRIDA 2013 Intificación l Proyecto Título: Categoría en la que postuló: Diseño e implementación plataforma escaneo y monitoreo indicadores ciber-seguridad para República Dominicana (Ciber-Observatorio Dominicano) Implementación estrategias para el sarrollo una estructura Internet, capacidas humanas y habilidas confiables y eficientes No. 325 Organización Proponente Fundación DO-CSIRT. Calle Parábola #10, Urb. Fernánz, Santo Domingo, Republica Dominicana. Telf Jefe l Proyecto James Pichardo (jp@do-csirt.org) Fecha que cubre el 16/12/ /12/2014 proyecto Período Informado Diciembre/ 2014 Fecha 23/01/2011 enviado País/es República Dominicana implementación l Proyecto Investigadores participantes James Pichardo (jp@do-csirt.org) e Jonathan Garrido (jgarrido@do-csirt.org) involucrados en el proyecto (lista completa nombres/ ) Organizaciones colaboradoras (Partners) Total Presupuesto aprobado Resumen l Proyecto (máximo 200 palabras) INDOTEL, Universidad APEC US$ 15,000 La plataforma "Ciber-observatorio Dominicano" busca generar la información necesaria (en algunos ambientes nominada "Inteligencia Seguridad") para entenr los riesgos y amenazas prevalentes para las infraestructuras Internet en República Dominicana. El fin último es la generación coeficientes e indicadores (cualitativos y cuantitativos) que sirvan a República Dominicana para orientar manera efectiva los esfuerzos aseguramiento la infraestructura las TIC.

2 En su etapa inicial, el Ciber-Observatorio está efectuando un escaneo continuo (y casi en tiempo real) l espacio direcciones IPv4 la República Dominicana. Esto pue consirarse una especie censo direcciones IP en las que se observan las protocolos ICMP, TCP y UDP más prevalentes. Esta data se inxa y se presenta en una interfaz búsqueda y análisis datos, que ayuda al investigador o analista seguridad entenr (y eventualmente precir) patrones uso (y mal uso) l Internet Dominicano. Tabla contenidos Intificación l Proyecto...1 Resumen l Proyecto...2 Justificación...3 Objetivos l Proyecto...4 Implementación l Proyecto...4 Resultados inmediatos l Proyecto y Estrategia Diseminación Indicadores Resultados y Efectos Lecciones aprendidas la implementación l Proyecto Gestión l Proyecto y Sostenibilidad Impacto Evaluación General Recomendaciones... Error! Marcador no finido. Bibliografía Anexos... Error! Marcador no finido. Resumen l Proyecto El proyecto Ciber Observatorio Dominicano se crea con la finalidad colectar, almacenar, procesar y presentar datos relevantes al uso (y mal uso) l espacio direcciones IPv4. Esta información tiene aplicaciones diversas en el área seguridad y es materia prima para finir estrategias efectivas gestión servicios basados en el Internet. Los objetivos l proyecto cubren s aspectos técnicos como el establecimiento una plataforma escaneo para colectar los datos, hasta los mecanismos hacer la información perdurable y digerible por la mayor cantidad público:

3 Caracterización y cuantificación l uso espacio direcciones IPv4 la República Dominicana Verificar la viabilidad l Escaneo Responsable como mecanismo obtención información mínimo impacto en las res Molar el uso l Internet en la República Dominicana para un efectivo aseguramiento y gestión los recursos y facilidas rivadas Producir un reporte periodicidad semestral don se tallen los hallazgos mas importantes la investigación Las fases o etapas l proyecto son las siguientes: - Instalación y configuración infraestructura servidores para escaneo, almacenamiento, procesamiento y presentación datos - Configuración interfaz web para análisis datos. Presentación datos en tiempos apropiados para facilitar la investigación (drill-down) - Extracción características relevantes que ayun a molar la distribución servicios y protocolos - Optimizar el algoritmo escaneo para dificultar la tección y posterior bloqueo. - Optimizar la arquitectura almacenamiento y procesamiento datos - Creación reporte semestral don se muestren las estadísticas uso mas importantes y sus consecuencias en la postura seguridad República Dominicana Justificación La gestión Seguridad res y sistemas información en general, requiere un elemento primordial sin el cual no se lograría un resultado efectivo y perdurable en el tiempo: datos accionables. Datos que sean obtenidos a través una instrumentación con base científica y que puedan ser utilizados como insumos en situaciones reales. Cuando el objetivo principal una investigación es entenr ( forma cualitativa y cuantitativa) el uso Internet en un grupo trabajo, organización o país, es necesario crear una imagen situacional que caracterice su uso y con la que se puedan establecer molos y patrones comportamiento. Estos molos son la base para tectar anomalías y finir mecanismos para el uso efectivo recursos computacionales y conectividad. Cuando un país se plantea proteger sus recursos basados en Internet y crear un molo óptimo gestión y sarrollo para el mismo, es necesario conocer en talle la naturaleza y el uso que hacen sus ciudadanos, organizaciones comerciales, académicas, gubernamentales, etc. En República Dominicana (y en la mayor parte los países la región) el uso l Internet ha ido en aumento y está consolidándose como una plataforma innovación y sarrollo. Si este

4 recurso no se administra y protege con políticas e iniciativas acuadas, se corre el riesgo mermar los aparatos productivos rivados l uso l Internet. En tal sentido, el proyecto Ciber Observatorio Dominicano plantea la creación procedimientos, herramientas e infraestructura que ayun a obtener una imagen situacional acuada l uso l Internet en la República Dominicana. Las técnicas que se utilizan para la obtención, almacenamiento, procesamiento y presentación datos son fácilmente transportables a cualquier país la región. Objetivos l Proyecto Caracterización y cuantificación l uso espacio direcciones IPv4 la República Dominicana Verificar la viabilidad l Escaneo Responsable como mecanismo obtención información mínimo impacto en las res Molar el uso l Internet en la República Dominicana para un efectivo aseguramiento y gestión los recursos y facilidas rivadas Producir un reporte periodicidad semestral don se tallen los hallazgos mas importantes la investigación Implementación l Proyecto Las siguientes preguntas, pue guiarlo para preparar esta sección cuando realice su informe final: - En qué medida el proyecto alcanzó sus objetivos? - Cuáles fueron los hallazgos más importantes y resultados l proyecto? Qué se hará con ellos? - Qué contribución al sarrollo l proyecto se hace? - El diseño, gestión y ejecución l proyecto fue acuado y correcto para el logro éxito l proyecto? - En qué medida la ayuda l proyecto construir la capacidad investigación su institución o las personas involucradas? - Qué lecciones se puen rivar que sería útil para mejorar el rendimiento futuro?

5 Objetivos Proyecto l Caracterización y cuantificación l uso espacio direcciones IPv4 la República Dominicana Efectos Resultados Actividas Tiempo requerido estimado para la implementación cada actividad. Incluir fechas. Obtención y Base datos histórica Configuración 6 meses: 3 Febrero disponibilidad en la que figuran todas herramientas y scripts al 4 Agosto l datos necesarios las direcciones IP DO y escaneo. Configuración 2014 para el molado, los protocolos/servicios herramienta para gestión y mas relevantes (ICMP, procesamiento y aseguramiento http, FTP, Telnet, SSH, almacenamiento los recursos etc.). Los datos se resultados Internet. almacenan forma continua (casi tiempo real) Descripción La herramienta escaneo Zmap la Universidad Michigan se configura para que corra cada minutos durante todos los días. Los resultados la herramientas en formato JSON serán procesados (parsing) por la herramienta logstash quien a su vez emitirá los resultados a un archivo texto y al motor inxado y

6 Mecanismo asequible y uso intuitivo para la investigación y análisis datos Métodos efectivos, bajo costo y rápida implementación para efectuar investigaciones en res IP Interfaz Web para búsqueda y análisis estadísticos los datos uso direcciones IP Metodología e infraestructura para escaneo rápido y sin afectación rendimiento para las res IP que son objetos l estudio Configuración ambiente para inxado y presentación la data Configuración servidores y algoritmo distribución l tráfico escaneo direcciones IP 8 meses: 10 Marzo al 10 Octubre l meses: 06 Enero 2014 al 06 Abril l 2014 búsqueda (elastisearch) Con los resultados inxados en elasticsearch, se configura una herramienta presentación datos compatible con el mismo (Kibana). Cada puerto o protocolo a escanear se configura en un servidor escaneo. Esto es, un servidor por servicio para minimizar las posibilidas que sea bloqueado y afectar el rendimiento a las res que se escanean. El escaneo es solo

7 para verificar si el puerto/servicio está arriba/encendido o no (no se escanean vulnerabilidas). Molar el uso l Internet en la República Dominicana para un efectivo aseguramiento y gestión los recursos y facilidas rivadas Concienciación sobre los niveles riesgo y estado uso las direcciones IPv4 en DO Creación canales colaboración organizaciones académicas y investigación, con instituciones afines al Internet y prestadoras servicio. Debido a los foros y paneles que se han realizado, la Policía Nacional y el ente regulador (INDOTEL) han manifestado su apoyo total para la creación un CSIRT nacional en DO Charlas, foros informativos y paneles discusión con organismos y entidas claves en el uso l Internet en DO Durante la vida l Proyecto Des que se inició manera oficial este proyecto (a principios año), DO-CSIRT con la coordinación la Universidad APEC, ha realizado cuatro (4) paneles discusión al que han asistido todos los ISPs DO, el ente regulador (INDOTEL) y organismos seguridad l estado. Se ha comenzado

8 Actualización la reglamentación para prestadores servicios Internet (ISPs) Mejoras al proceso aprovisionamiento dispositivos conexión a Internet, por parte los ISPs Mejor postura seguridad las res IP a nivel nacional Mitigación vulnerabilidas y manejo amenazas. Uso eficiente l espacio direcciones IPv4 Notificación a instituciones e ISPs sobre problemas seguridad scubiertos al minar la data Participación en evaluaciones seguridad con entes reguladores l estado Durante la vida l Proyecto Durante la vida l Proyecto a gestionar la creación l CSIRT para República Dominicana Aunque no se escanean vulnerabilidas, la data producida y graficada permite tectar anomalías que ayudan a focalizar la investigación en un aspecto específico, y eventualmente a la localización problemas seguridad Amás los paneles discusión, hemos participado en evaluaciones seguridad dispositivos conectividad a

9 Internet (CPEs), para verificar que tienen una configuración que no presente vectores ataque fáciles localizar Producir un reporte periodicidad semestral don se tallen los hallazgos mas importantes la investigación Existirá una vía comunicación periódica entre los investigadores DO-CSIRT y las entidas dominicanas. Establecimiento una cultura en la que los datos científicos sean el ingrediente principal a la hora ejecutar una medida aseguramiento o gestión l espacio Internet dominicano. Data sumariada (imagen situacional), digerida y fácil comprensión para los tomadores cisiones. Recopilación la data producida para el periodo en cuestión (6 meses) y aplicación los criterios estadísticos para los objetos interés. 5 meses: 24 Junio al 31 Octubre l 2014 (esto es sólo para producir el primer reporte) Cada reporte semestral contendrá un resumen y presentará manera gráfica la superficie ataque l espacio direcciones DO, anomalías mas importantes, prevalencia problemas seguridad tectados, etc.

10 Verificar la viabilidad l Escaneo Responsable como mecanismo Investigación con mínimo impacto en las res Democratización l uso herramientas novedosas, rápidas y eficientes para la investigaciones seguridad res IP. Metodología replicable, escalable y extensible. La comunidad cuenta con herramientas y metodologías investigación para res IP, que antes eran consiradas intrusivas y perjudiciales para el rendimiento Ejecutar escaneos manera continua y permanente: cada minutos durante todos los días l año. Tabular y medir resultados rendimiento l escaneo para verificar su efectividad. 7 meses: 12 Mayo al 7 Noviembre l 2014 Cada vez que se efectúa un escaneo, Zmap produce un resumen varios indicadores sempeño la corrida. Estos indicadores sirven para evaluar la efectividad l escaneo, la cantidad direcciones IPs escaneadas, número hits, etc.

11 Resultados inmediatos l Proyecto y Estrategia Diseminación. Proporcione una lista l estado situación los resultados obtenidos l proyecto Resultado l Proyecto expuesto en el punto 4 Base datos histórica en la que figuran todas las direcciones IP DO y los protocolos/servicios mas relevantes (ICMP, http, FTP, Telnet, SSH, etc.). Los datos se almacenan forma continua (casi tiempo real) Listar Actividas Descriptas en Punto 4 para cada Resultado Configuración herramientas y scripts escaneo. Configuración herramienta para procesamiento y almacenamiento resultados Status la Actividad Descripción Esfuerzos Diseminación En Progreso Nota: aunque la configuración inicial ya se ejecutó y el escaneo comenzó en Febrero, se está implementando un mecanismo procesamiento y almacenamiento óptimo para la cantidad datos que se esta produciendo La herramienta escaneo Zmap la Universidad Michigan se configura para que corra cada minutos durante todos los días. Esto es ejecutado por los escaners servidores Linux dicados exclusivamente a correr Zmap y almacenar 14 días resultados escaneo. En otro servidor se procesan los resultados escaneo (en formato JSON con la herramienta logstash la que a su vez a su vez emitirá los resultados a un archivo texto y al motor inxado y búsqueda (elasticsearch). Tanto los archivos texto como Antes iniciar los escaneos en cada uno los servidores signados, se notificó a todos los ISPs l país. Aunque el tráfico escaneo no es significativo ni representa una amenaza para la seguridad u operación las res, se estimó razonable presentar una postura transparente a los involucrados directos. La notificación se realizó durante el primer panel discusión sobre escaneo responsable que se llevo a cabo en uno los

12 los índices elasticsearch son conservados para garantizar que la data original se preserve. Los resultados son almacenados en cada escáner por 14 días y luego son transferidos a un repositorio central auditorios la Universidad APEC. Interfaz Web para búsqueda y análisis estadísticos los datos uso direcciones IP Metodología e infraestructura para Configuración ambiente para inxado y presentación la data Configuración servidores y algoritmo En Progreso Nota: aunque la configuración inicial ya se ejecutó, se están realizando (y probando) modificaciones a la configuración por fecto elasticsearch y kibana para presentar los resultados manera rápida y con utilización óptima los recursos los servidores. Esto es necesario por la cantidad datos que se están generando. Con los resultados inxados y almacenados con elasticsearch, se configura otro servidor presentación datos en don se efectuarán los queries búsqueda, y los dashboards don presentarán los resultados en forma tabular y gráfica. Para ello se utiliza la herramienta llamada kibana que es parte l ecosistema herramientas análisis elasticsearch. Completada Los servidores Linux para realizar los escaneos ben Amás los paneles discusión en los que participaron los ISPs los resultados también se expusieron en foros internacionales (LACNIC 21) y congresos seguridad locales, con la finalidad obtener opiniones iniciales sobre la forma presentar los resultados y la facilidad uso la interfaz Web (kibana) La configuración y propósito los servidores

13 escaneo rápido y sin afectación rendimiento para las res IP que son objetos l estudio Creación canales colaboración organizaciones académicas y investigación, con instituciones afines al Internet y prestadoras distribución l tráfico escaneo direcciones IP Charlas, foros informativos y paneles discusión con organismos y entidas claves en el uso l Internet en DO Completada. Nota: aunque los canales han sido creados, las charlas foros y paneles se efectuarán durante toda la vida l proyecto estar configurados y asegurados manera óptima. Amás esto ben poseer un footprint pequeño para que el escaneo sea escalable a una gran cantidad servicios/protocolos. Cada puerto o protocolo a escanear se configura en un servidor escaneo. Esto es, un servidor por servicio para minimizar las posibilidas que sea bloqueado y se afecte el rendimiento las res que se escanean. El escaneo es solo para verificar si el puerto/servicio está arriba/encendido o no. No se escanean vulnerabilidas. Des que se inició manera oficial este proyecto (a principios año), DO-CSIRT con la coordinación la Universidad APEC, ha realizado cuatro (4) paneles discusión al que han asistido todos los ISPs DO, el ente fueron comunicados a los proveedores que hospedan los mismos. De esta manera se garantiza la transparencia y continuidad la investigación. La agenda reuniones, logística y contenido las mismas, fueron creados en coordinación con la Universidad APEC quien actúa como custodio o responsable la data que se genera.

14 servicio. regulador (INDOTEL) y organismos seguridad l estado. Estas reuniones buscan evangelizar sobre las actividas que se realizan en el marco l Ciber Observatorio y discutir temas relevantes que puen tener una naturaleza controversial (como el escaneo responsable). Mejor postura seguridad las res IP a nivel nacional Mitigación vulnerabilidas y Notificación a instituciones e ISPs sobre problemas seguridad scubiertos al minar la data rivada los escaneos Participación evaluaciones en En Progreso Nota: Esta es una actividad que permanecerá durante toda la vida l proyecto Aunque no se escanean vulnerabilidas, la data producida y graficada permite tectar anomalías que ayudan a focalizar la investigación en un aspecto específico, y eventualmente a la localización problemas seguridad. La notificación problemas seguridad se hace manera responsable; siempre contactando primero al proveedor servicio o institución afectada. En Progreso Amás los paneles discusión, hemos participado en Envío correos y llamadas telefónicas a los ISPs y/o instituciones afectadas. Los correos se envían encriptados para disminuir la posibilidad intercepción y garantizar la integridad los datos. Los resultados las evaluaciones son

15 manejo amenazas. Uso eficiente l espacio direcciones IPv4 Data (imagen situacional) sumariada, digerida y fácil comprensión para los tomadores cisiones. La comunidad cuenta con herramientas y metodologías seguridad con entes reguladores l estado Recopilación la data producida para un periodo 6 meses y aplicación los criterios estadísticos para los objetos interés. Ejecutar escaneos manera continua y permanente: cada minutos durante Nota: Esta es una actividad que permanecerá durante toda la vida l proyecto En Progreso Nota: Esta es una actividad que permanecerá durante toda la vida l proyecto En Progreso evaluaciones seguridad dispositivos conectividad a Internet (CPEs), para verificar que tienen una configuración que no presente vectores ataque fáciles localizar. Las evaluaciones seguridad podrían extenrse a otros dispositivos como servidores y aplicaciones. Cada reporte semestral contendrá un resumen y presentará manera gráfica la superficie ataque l espacio direcciones DO, anomalías mas importantes, prevalencia problemas seguridad tectados, etc. Una las finalidas l reporte es presentar un estudio tipo censo l uso (y mal uso) l espacio direcciones IPv4 la República Dominicana Cada vez que se efectúa un escaneo, Zmap produce un resumen varios indicadores sempeño la corrida. presentados y analizados con el ente regulador y la institución o prestador servicio afectado. La publicación será principalmente en formato electrónico y estará disponible en el website la Fundación DO-CSIRT. En el caso los ISPs, Universidas y otros centros investigación se enviará un ejemplar impreso. Se generará un informe tallado sobre los resultados y se compartirá con las comunidas

16 investigación para res IP, que antes eran consiradas intrusivas y perjudiciales para el rendimiento todos los días l año. Tabular y medir resultados rendimiento l escaneo para verificar su efectividad. Estos indicadores sirven para evaluar la efectividad l escaneo, la cantidad direcciones IPs escaneadas, número hits, etc. Esta información sirve para corroborar (o no) la viabilidad las técnicas escaneo alta capacidad y velocidad, como herramientas instrumentación (obtención datos) e investigación. investigación la región que realizan actividas similares. También se proporcionarán los resultados a la Universidad Michigan (creadores la herramienta escaneo) Indicadores Resultados y Efectos EFECTO Obtención y disponibilidad datos necesarios para el molado, gestión y aseguramiento INDICADOR DE EFECTOS (Pue haber más un indicador por Efecto) - Porcentaje cobertura direcciones IPv4 la República Dominicana durante el escaneo Medio verificación - Comparación con los registros whois LACNIC y anuncios BGP en el reporte Línea base Grado avance Comentario Al momento iniciar el proyecto no se encontró ningún set datos características - 100% en cobertura direcciones IPv4-70 % en cobertura los puertos: al - Este indicador be ser verificado con regularidad con las fuentes mencionadas - Por un tema recursos y evitar faltar

17 los recursos Internet. - Porcentaje escaneo los puertos/protocolos top 20 - Porcentaje datos producidos por la herramienta escaneo versus los resultados almacenados e inxados mundial HE (Hurricane Electric) - Comparación con los 20 protocolos/puer tos mas utilizados según diversas fuentes (SANS Institute, Shadowserver Foundation, etc. - Comparar la cantidad datos almacenados e inxados, con el resultado sumarizado Zmap luego ejecutar un escaneo. Se be comprobar que los archivos resultados se producen cada similares, por lo que los indicadores comienzan en cero. momento se cubren 14 los 20 puertos/protoc olos mas relevantes - 80% la data que se generan con los escaneos se almacena y se inxa a los principios escaneo responsable se comenzó con este porcentaje cobertura los puertos top 20 - La diferencia entre recolección y almacenamiento/inx ado se be principalmente a la capacidad procesamiento y almacenamiento l servidor y a problemas conectividad que puedan experimentar los servidores escaneo

18 Mecanismo asequible y uso intuitivo para la investigación y análisis datos Métodos efectivos, bajo costo y rápida implementación para efectuar - Porcentaje datos disponibles para visualización y análisis datos en interfaz web - Velocidad respuesta la interfaz web al momento producir resultados los queries - Costo monetario asociado al aprovisionamiento servidores para escaneo, 10 minutos durante todos los días. - Comparación entre la cantidad datos inxados en elasticsearch y cantidad registros obtenidos en archivos texto escaneo - Verificación tiempos respuesta la interfaz web usando herramienta pruebas Jmeter - Comparación costos entre métodos tradicionales escaneo - Este porcentaje esta en cero al momento iniciar la presentación datos - Para que una aplicación se consire responsive los tiempos respuesta ben estar en el rango 2 a 10 ms. - Los métodos tradicionales escaneo por lo general generan - 45% los datos recolectados están disponibles para analizar en la interfaz web - Con 45% la totalidad datos inxados y listos para ser presentados en la interfaz web, los tiempos respuestas oscilan entre 3 y 6 segundos - La metodología escaneo responsable y alta velocidad - Se están investigando (y probando) mecanismos distribución carga y almacenamiento que faciliten el inxado la totalidad los datos recolectados - Los tiempos respuesta también mejorarán cuando se obtenga una arquitectura final almacenamiento y procesamiento Aunque en este caso los indicadores no se muestran como porcentajes, proporcionan una ia clara avance y mejora

19 investigaciones res IP en almacenamiento, procesamiento, inxado y presentación datos - Tiempo instalación y configuración servidores y servicios almacenamient o y procesamiento datos (base datos relacionales/sq L), y los asociados al usar herramientas como Zmap, elasticsearch/re dis (base datos basada en llaves). - Comparación entre el tiempo instalación servidores físicos y convencionales, y los asociados al uso tecnologías basadas en virtualización (VPS) y mucho tráfico (conexión red y procesador) y tienen un tiempo duración muy alto. Esto se traduce directamente en costos operativos elevados. El costo un servidor físico que en ambiente hosting y con capacidas similares escaneo a las usadas en esta investigación están alredor los US$ 100 mensuales. requiere un tráfico mucho menor y se pue distribuir mas fácilmente. Para este proyecto, el costo cada servidor asignado a un puerto es US$ 5 mensuales. Para el procesamiento y almacenamient o se adquirió un servidor físico y unidas almacenamient o que en un periodo 2 años representarían aproximadame nte US$ 200 en cuanto a usar métodos tradicionales y los usados en esta investigación.

20 contenedores Para el procesamient o e inxado se necesitaría otro servidor con capacidas cuyos costos serían por lo menos US$ 200 mensuales. Los tiempos escaneo están alredor las 2 horas. - Un servidor físico en hosting toma aproximadam ente 20 minutos en ser provisionado y 2 horas en ser configurado con los servicios mensuales, pero con el triple capacidad procesamiento y mas 10 veces la capacidad almacenamient o soluciones basadas en hosting. - Provisionar un servidor usando VPS (Virtual Procesor Server) toma aproximadame nte un minuto. La configuración servicios usando contenedores toma aproximadame nte 15 min

21 necesarios Concienciación sobre los niveles riesgo y estado uso las direcciones IPv4 en DO Presencia y prevalencia mecanismos interacción entre DO- CSIRT e instituciones relacionadas al uso y prestación servicios Internet Minutas reunión, cantidad mensajes emitidos en la lista correo Encuestas y entrevistas Previo a la realización este proyecto, no existían canales acuados comunicación y concienciación para el tipo temas que la investigación sarrolla - Se han elaborado 4 foros y paneles discusión que talla la metodología y el trabajo realizado en el marco l Ciber Observatorio (aproximadame nte 1 por mes) - Se ha creado una lista correo para comunicación l equipo trabajo que trabaja los hallazgos l Ciber Observatorio. Sin embargo, el nivel interacción en Es difícil medir el grado concienciación efectivo. Sin embargo, esto no resta importancia a la necesidad mantener un canal comunicación rápido y eficiente.

22 Democratización l uso herramientas novedosas, rápidas y eficientes para la investigaciones seguridad res IP. Metodología replicable, escalable y extensible. Existirá una vía comunicación periódica entre los investigadores DO-CSIRT y las entidas dominicanas. Establecimiento una cultura en la que los datos científicos sean el Producción y publicación investigaciones relacionadas al tema seguridad, usando metodologías y herramientas similares a las finidas en este proyecto - Producción y puesta en circulación informe periódico (semestral), sobre los hallazgos mas importantes l Ciber Observatorio. Compendio estadísticas que ayun a entenr mejor las Entrevistas búsquedas directorios publicaciones científicas. Encuestas, entrevistas reuniones trabajo y en y En República Dominicana no se conocen estudios y uso herramientas similares. Esto bido principalmente a que el escaneo es todavía consirado una actividad intrínsecamente maliciosa La situación inicial es que no existe en la actualidad un reporte con las características que se pretenn ofrecer en el informe l Ciber Observatorio. la lista todavía es muy bajo. 0% (no se conoce todavía en DO, investigaciones corte similar a la nuestra). 0% (no se ha producido el primer reporte) Este es otro en el que es muy difícil scribir el grado avance. Sin embargo, es importante para los investigadores este proyecto que se je finir el escaneo como malicioso a priori. El escaneo responsable y alta velocidad presenta nuevas avenidas investigación cuya realización usando otrás técnicas no es viable Aunque es difícil cuantificar el avance o progreso en este efecto, se entien que la constancia y regularidad en la emisión estos reportes, hará la diferencia y creará la cultura gestionar y asegurar los recursos IP usando data científicamente razonable.

23 ingrediente principal a la hora ejecutar una medida aseguramiento o gestión l espacio Internet dominicano. características mas relevantes l uso l espacio direcciones IPv4. - Uso estos resultados en la implementación políticas gestión seguridad y mejoras en el aprovisionamiento servicios RESULTADO INDICADOR DE RESULTADOS (Pue haber más un indicador por Resultado) Base datos Porcentaje cobertura histórica en la que direcciones IP la figuran todas las República Dominicana y direcciones IP DO almacenamiento y los datos en base datos protocolos/servicios basada en llaves. mas relevantes (ICMP, http, FTP, Telnet, SSH, etc.). Los datos se Medio verificación Archivos resultados escaneo almacenados cada 10 minutos manera ininterrumpida. Verificación cobertura direcciones IP por Línea base Grado avance Comentario Al iniciar, no se cuenta con data escaneo que pueda almacenarse o procesarse 85% Este 85% es un consolidado l porcentaje cobertura direcciones IP y el porcentaje registros inxados en la base datos

24 almacenan forma continua (casi tiempo real) Interfaz Web para búsqueda y análisis estadísticos los datos uso direcciones IP La comunidad cuenta con herramientas y metodologías investigación para res IP, que antes eran consiradas - Disponibilidad (uptime) interfaz web para ejecutar queries sobre los datos inxados. - Porcentaje datos disponibles para efectuar queries con respecto al total tiempo que se ha escaneado Producción y publicación investigaciones relacionadas al tema seguridad, usando metodologías y herramientas similares a las finidas en este medio registros whois y anuncios BGP - Uso herramienta monitoreo servicios como Nagios. Con esto se genera una medida cuantitativa la disponibilidad l servicio - Verificar si el rango tiempo sobre el cual se efectuar el query, correspon al tiempo total datos escaneo disponible Entrevistas búsquedas directorios publicaciones científicas. y en La disponibilidad (uptime) la interfaz web be tener inicialmente por lo menos un 98%. El rango tiempo en el cual están disponibles los datos escaneo ber ser por lo menos un 50% al inicio. En República Dominicana no se conocen estudios y uso herramientas similares. Esto bido - Disponibilidad un 99% - Cobertura datos disponibles con respecto al tiempo escaneo es 65% 0% (no se conoce todavía en DO, investigaciones corte similar a la nuestra).