La inteligencia de amenazas analiza datos para generar información sobre amenazas existentes o emergentes que ayuda a las organizaciones a tomar mejores decisiones de seguridad de manera más rápida y proactiva. Existen diferentes tipos de inteligencia de amenazas como estratégica, táctica, técnica y operacional. Además, se describen conceptos como amenazas persistentes avanzadas, cadena de muerte cibernética, indicadores de compromiso y ciclo de vida de la inteligencia de amenazas. Finalmente, se mencionan
3. 3
Agenda
• Que es Threat Intel
• Conceptos Básicos
• Demo de Herramientas Gratuitas.
• Preguntas
4. 4
Threat Intelligence
La inteligencia de amenazas es el análisis de datos utilizando
herramientas y técnicas para generar información significativa sobre las
amenazas existentes o emergentes dirigidas a la organización que ayuda
a mitigar los riesgos.
Threat Intelligence ayuda a las organizaciones a
tomar decisiones de seguridad más rápidas y mejor fundamentadas y a
cambiar su comportamiento de reactivo a proactivo para combatir los
ataques.
7. 7
Threat Intelligence - Strategic
Es menos técnico, principalmente para que los profesionales de seguridad de nivel ejecutivo
impulsen una estrategia organizacional de alto nivel basada en los hallazgos de los
informes. Idealmente, la inteligencia de amenazas estratégicas proporciona información
como vulnerabilidades y riesgos asociados con el panorama de amenazas de la
organización con acciones preventivas, actores de amenazas, sus objetivos y la gravedad
de los posibles ataques.
8. 8
Threat Intelligence - Tactical
Consta de detalles más específicos sobre los actores de amenazas TTP y es principalmente para que
el equipo de seguridad comprenda los vectores de ataque. La inteligencia les brinda información sobre
cómo desarrollar una estrategia de defensa para mitigar esos ataques. El informe incluye las
vulnerabilidades en los sistemas de seguridad que los atacantes podrían aprovechar y cómo identificar
tales ataques.
El hallazgo se utiliza para fortalecer los controles de seguridad / mecanismo de defensa existentes y
ayuda a eliminar las vulnerabilidades en la red.
Example:
https://www.anomali.com/blog/what-is-tactical-threat-intelligence
9. 9
Threat Intelligence - Technical
Se centra en pistas o pruebas específicas de un ataque y crea una base para analizar
dichos ataques. El analista de Threat Intelligence busca el indicador de compromiso (IOC),
que incluye direcciones IP notificadas, el contenido de correos electrónicos de phishing,
muestras de malware y URL fraudulentas. El tiempo para compartir la inteligencia técnica
es
muy crítico porque las IOC, como las IP maliciosas o las URL fraudulentas, se vuelven
obsoletas en unos pocos días.
10. 10
Threat Intelligence - Operational
Se centra en el conocimiento sobre los ataques. Brinda información detallada sobre factores como
la naturaleza, el motivo, el momento y cómo se lleva a cabo un ataque. Idealmente, la información
se recopila de las salas de chat de los piratas informáticos o de su discusión en línea a través de
la infiltración, lo que dificulta su obtención.
12. 12
Threat Intelligence - APT
Una amenaza persistente avanzada es un ataque en el que un usuario no autorizado
obtiene acceso a un sistema de red y permanece allí durante mucho tiempo sin ser
detectado.
Las amenazas persistentes avanzadas son muy amenazadoras para las organizaciones, ya
que los atacantes tienen acceso continuo a los datos de la empresa. Las amenazas
persistentes avanzadas se llevan a cabo en fases que implican piratear la red, esconderse
para acceder a la mayor cantidad de información posible, planificar un ataque, estudiar
los sistemas de información de la organización, buscar un acceso fácil a datos
confidenciales y exfiltrar esos datos.
13. 13
Threat Intelligence - Cyber Kill Chain
Cyber kill chain es una serie de pasos que trazan las etapas de un
ciberataque desde las primeras etapas de reconocimiento hasta la
exfiltración de datos. La cadena de muerte nos ayuda a comprender
y combatir el ransomware, las brechas de seguridad y los ataques
persistentes avanzados (APT).
Cyber kill chain identificó las fases de un ciberataque desde el
reconocimiento temprano hasta el objetivo de la exfiltración de
datos y se utilizó como herramienta para mejorar la seguridad de
una organización.
15. 15
Threat Intelligence - IOC
Los Indicadores de Compromiso (IOC) son pruebas como URL, direcciones IP,
registros del sistema y archivos de malware que se pueden utilizar para detectar
futuros intentos de infracción mediante sistemas de detección de intrusos (IDS)
y software antivirus.
https://github.com/sroberts/awesome-iocs
16. 16
Threat Intelligence
El programa Cyber Threat Intelligence combina miles de Threat Intelligence Feeds en un solo
feed, en lugar de verlos por separado para permitir una caracterización y categorización
coherentes de los eventos de ciberamenazas, e identificar tendencias o cambios en las
actividades de los ciberdelincuentes.
El programa describe consistentemente la actividad de las amenazas cibernéticas de una
manera que permite el intercambio de información y el análisis de amenazas de manera
eficiente. Ayuda al equipo de inteligencia de amenazas comparando el feed con la telemetría
interna y crea alertas.
https://blog.eccouncil.org/how-to-build-a-robust-cyber-threat-
intelligence-program/
19. 19
Threat Intelligence - Feeds
Los feeds o las fuentes de informacion sobre amenazas son flujos de datos continuos llenos de información
sobre amenazas recopilada por inteligencia artificial.
Estos feeds brindan información sobre amenazas y tendencias de ciberseguridad en tiempo real, lo que
permite a las organizaciones defenderse de manera proactiva contra ataques.
Los equipos de seguridad también pueden utilizar esta información para comprender mejor las tácticas,
técnicas y procedimientos de los Hacker potenciales y mejorar su postura de seguridad en consecuencia.
Existe una multitud de fuentes de inteligencia de amenazas de código abierto, que incluyen las siguientes:
● Intercambio automatizado de indicadores (AIS) de la Agencia de seguridad de infraestructura y
ciberseguridad
● InfraGard del FBI
● SANS Internet Storm Center
● Navegación segura de Google
La integración de estas fuentes en una plataforma de seguridad también permite aprovechar la inteligencia
sobre amenazas y convertirla en información procesable.
21. 21
Threat Intelligence - Open source
• Abuse.ch: Es un proyecto de investigación de la Universidad de
Ciencias Aplicadas de Berna (BFH).
• Alienvault: The World’s First Truly Open Threat Intelligence
Community.
• MITRE Framework : The one and Only.
22. 22
Threat Intelligence - Open source
• CISCO TALOS: Threat intelligence from Cisco
• Blocklist.de: Uno de las listas negras mas grandes del mundo
• CINS Score: Blacklist del army
• Proofpoint Emerging threats: Integraciones con IDS
23. 23
Threat Intelligence - SandBoxing
• Virus Total: La base de datos de malware mas grande del mundo
• Joe Sandbox : IoC database
• Cuckoo: Open Source Sandbox
24. Integrations documentation
How Do I Add Any Threat Intelligence From the Internet to Splunk Enterprise Security? |
Splunk
https://www.splunk.com/en_us/blog/security/how-do-i-add-covid-threat-intelligence-from-the-internet-to-enterprise-
security.html
https://docs.splunk.com/Documentation/ES/6.6.2/Admin/Downloadthreatfeed
Plug-ins
https://splunkbase.splunk.com/app/5422/
https://splunkbase.splunk.com/app/4336/
24