Reunión TF-CSIRT y el FIRST Regional Symposium Europe 2023

Reunión TF-CSIRT y el FIRST Regional Symposium Europe 2023
Autores:

Como esCert formamos parte del FIRST (Forum of Incident Response and Security Teams) e intentamos ir a algunos eventos que el FIRST organiza. Este año (Marc Catrisse y Albert Renom) hemos asistido a la Reunión TF-CSIRT y el FIRST Regional Symposium Europe 2023 se celebró del 31 de enero al 2 de febrero de 2023 en el Euskalduna Conference Centre de Bilbao. Estas jornadas son un evento que se celebra tres veces al año que reúne a profesionales de la seguridad informática de toda Europa para compartir experiencias, conocimientos y las últimas tendencias en este campo.

El formato es formal e incluye componentes de gestión, técnicos y prácticos. Los simposios suelen ofrecer 1-2 días completos de sesiones plenarias junto a un día completo de formación práctica. La agenda del evento se puede consultar en el siguiente enlace https://www.first.org/events/symposium/bilbao2023/program

Si mira la agenda lo primero que nos llama la atención son los tags «TLP» de varios colores. Por tanto, ¿qué es el TLP? Pues es el «TRAFFIC LIGHT PROTOCOL» (https://www.first.org/tlp/ ). El TLP fue creado para facilitar un mayor intercambio de información potencialmente sensible y una colaboración más eficaz. El intercambio de información ocurre desde una fuente de información, hacia uno o más destinatarios. TLP es un conjunto de cuatro etiquetas que se utilizan para indicar los límites de compartición que deben aplicar los destinatarios. Las cuatro etiquetas que utiliza FIRTS son: TLP:CLEAR, TLP:GREEN, TLP:AMBER y TLP:RED. A modo de resumen diremos que TLP:CLEAR no tiene ningún tipo de limitación, TLP:GREEN difusión limitada dentro de la comunidad, TLP:AMBER difusión limitada a aquellas personas que lo necesiten saber dentro de la organización y TLP:RED no se puede hacer difusión. En consecuencia sólo puedo comentar que me parecieron las TLP:CLEAR, el resto son confidenciales.

Para no aburrirse mucho les diré que la sesión que me pareció muy interesante es la sesión: Tracking Attackers in Open Source Supply Chain Attacks: The New Frontier. La presentación versaba sobre cómo los desarrolladores podemos ser vulnerables a Malware. Todos nosotros utilizamos pedidos npm para instalar algún paquete o librería que nos puedes ayudar en el desarrollo de nuestro proyecto, pues bien, esta presentación explicaba cómo los hackers pueden modificar los repositorios de código para introducir líneas de código maliciosas y cuándo nos instalamos este código vía npm, o bien se nos descarga el malware o bien crea un agujero de seguridad o cualquier otra cosa mala. Esta presentación finalizaba explicando el sistema que utiliza para detectar y denunciar estos paquetes maliciosos (https://red-lili.info/ )

Pero en este simposio no todo es trabajar, también hay que realizar networking y el acto que se organizó en estas jornadas tuvo lugar el martes por la noche en el Guggenheim Museum de Bilbao. Lo primero que nos sorprendió era que había «dress code», nos tocaba ir «Smart Casual», por tanto, más ropa que debíamos añadir a nuestra maleta. Y debo reconocer que el acto me sorprendió, ya que el acto que tenía lugar en el museo podíamos, cenar (había un catering), escuchar música de un grupo en directo o visitar todo el museo (que estaba abierto sólo por nosotros).

En resumen, estas jornadas hemos aprendido cosas, hemos hecho crecer nuestra red de contactos y por qué no, también hemos disfrutado de la gastronomía de Bilbao.