Ponencia en Inictel-Universidad Nacional de Ingenieria, sobre la inteligencia de amenazas, inteligencia, indicadores de compromiso, herramientas y plataformas usadas. Se comento el caso del uso de la plataforma MISP en el Cert Nacional del Perú.
2. Maurice Frayssinet Delgado
Ingeniero de Sistemas e Informática, con estudios de Doctorado y Maestría en Ingeniería de Sistemas. Estudios de
ciberseguridad en Israel en la Universidad Hebrea de Jerusalén. Especializado en Ciberseguridad por INCIBE, OEA y la
Universidad de León. Reconocido profesional de Seguridad de la Información a nivel internacional con experiencia en
seguridad de la información desde el año 2001. Cuenta con experiencia profesional como consultor, auditor, pentester,
responsable de seguridad informática y como gerente de seguridad de la Información en reconocidas empresas.
Actualmente se desempeña como Líder Nacional de Seguridad Digital de la Presidencia del Consejo de Ministros –
Secretaría de Gobierno Digital. Cuenta con las certificaciones internacionales, ISO 27001 Lead Implementer de PECB,
ISO 27001 Lead Auditor de PECB, Lead Auditor ISO 27001 de applus+, ITIL, entre otras. Es un reconocido conferencista
en eventos locales e internacionales de seguridad de la información y ciberseguridad. Es Docente de Ethicla Hacking,
Forense Digital, Seguridad de la Información, Seguridad Perimetral , entre otras especialidades en reconocidas
universidades e institutos a nivel Nacional. Es el responsable del Cert Nacional del Perú (PeCERT).
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 2
3. TLP (Traffic Light Protocol)
No para divulgación, restringido solo a los participantes
Divulgación limitada, restringida a las organizaciones de los participantes.
Divulgación limitada, restringida a la comunidad.
La divulgación no está limitada.
TLP:RED
TLP:AMBER
TLP:GREEN
TLP:WHITE
https://www.us-cert.gov/sites/default/files/tlp/tlp-v1.pdf
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 3
17. Threat Intelligence / Inteligencia de Amenazas
La inteligencia de amenazas es un conocimiento basado en la
evidencia, incluido el contexto, los mecanismos, los indicadores, las
implicaciones y el asesoramiento orientado a la acción sobre una
amenaza o peligro existente o emergente para los activos. Esta
inteligencia se puede usar para informar decisiones sobre la respuesta
del sujeto a esa amenaza o peligro.
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 17
21. Kill Chain
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 21
Fuente: Lockheed Martin
El modelo Cyber Kill Chain de Lockheed Martin describe cómo los atacantes usan el ciclo de compromiso, persistencia y ex
filtración en contra de una organización. Las estrategias de defensa que se centran exclusivamente en el perímetro y en la
prevención no tienen en cuenta el enfoque del ciclo de vida de la cadena de muertes; Esta es una razón por la cual los
atacantes continúan siendo tan exitosos. La defensa contra amenazas persistentes y avanzadas requiere métodos que
detecten y rechacen amenazas en cada etapa de la cadena de eliminación.
22. Indicadores de compromiso
Los indicadores de compromiso (IOC) son "piezas de datos forenses, como
los datos que se encuentran en las entradas o archivos del registro del
sistema, que identifican la actividad potencialmente maliciosa en un
sistema o red".
Al monitorear los indicadores de compromiso, las organizaciones pueden
detectar ataques y actuar rápidamente para evitar que ocurran violaciones
o limitar los daños al detener los ataques en etapas anteriores.
Los indicadores de compromiso actúan como migajas de pan que llevan a
los profesionales de ciberseguridad a detectar actividad maliciosa al
principio de la secuencia de ataque.
Estas actividades inusuales son las banderas rojas que indican un ataque
potencial o en curso que podría llevar a una violación de datos o un
compromiso de los sistemas.
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 22
23. Indicadores de compromiso
A día de hoy coexisten varios sistemas estandarizados de intercambio
de Indicadores de Compromiso. Casi todos hacen uso del metalenguaje
XML conteniendo los parámetros que definirán un posible compromiso
y el valor asignado en cuanto a su probabilidad de ocurrencia. Entre los
más conocidos destacan:
OpenIOC (Open Indicators of Compromise)
Oasis Cyber Threat Intelligence (CTI)
Cybox (Cyber Observable eXpression)
Maec (Malware Attribute Enumeration and Characterization)
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 23
25. Indicadores de compromiso
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 25
https://www.sans.org/reading-room/whitepapers/forensics/ioc-indicators-compromise-malware-forensics-34200
27. Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 27
Herramientas
Archivo.exe
Clonadoexe
Archivo.html,
key.dat
Txtrescate
url
Archivo.php
Archivo
encriptado
key
Ipinfo.io/ip
Procmon T T T T
Autorun T
Tcpview p P
Fiddler T T T
Wireshark T T T T
Procexp T T
MD5deep P P
Pslist P P
Listdlls T T
Forensic
Examiner
PD PD PD PD PD PD PD T
HexEditor P P P T
Snort D D
28. Procmon
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 28
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
29. Autorun / Autorunsc
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 29
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
30. Tcpview
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 30
https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview
42. Plataformas
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 42
MISP
https://www.misp-project.org/
IBM X-FORCE
https://www.ibm.com/pe-es/security/xforce
43. MISP – Taxonomía – Perú
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 43
44. Interconexión de CSIRT Alianza Pacífico
Ing. Maurice Frayssinet Delgado THREAT INTELLIGENCE 44