3. • Introducción
• Importancia de la ciberinteligencia
• Categorías / Disciplinas
• Estrategias de Ciberinteligencia
•Niveles operacionales de ciberinteligencia
•Orígenes de datos / Fuentes
• Recomendaciones de Ciberinteligencia
orientada a hacia la Ciberseguridad de un país
• Casos de Éxito de la Ciberinteligencia
• Escenarios
• Retos Actuales y Futuro de la Ciberinteligencia
• Próximo enemigo mundial
Agenda
8. Importancia de la Ciberinteligencia
La Ciberinteligencia se volvió un factor
vital para la toma de decisiones a
nivel gubernamental debido a que
permite:
● Identificar Vulnerabilidades
Potenciales de la Nación en el
Ciberespacio.
● Identificar enemigos potenciales de la
Nación en el Ciberespacio
● Identificar e Interceptar canales de
comunicación enemigos.
● Rastrear y detectar planes de ataques
dirigidos al Ciberespacio de la Nación
9. Importancia de la Ciberinteligencia
● Implementar mecanismos de
Detección, Monitoreo y Alerta
Temprana.
● Identificar Posibles Aliados y
compartir datos de Ciberdefensa.
● Mitigación de Amenazas
● Identificar y Contactar posibles
informantes
● Infiltrar al Enemigo por medio de
mecanismos tecnológicos
10. Categorías / Disciplinas
Categorías de Ciberinteligencia :
SIGINT: (Signal intelligence) es la
obtención de inteligencia mediante la
interceptación de señales sin
importar la forma de transmisión y
comprende una combinación de:
• Inteligencia de Comunicaciones
(COMINT)
• Inteligencia Electromagnética
(ELINT)
• Inteligencia Telemétrica (TELINT)
11. Categorías / Disciplinas
Categorías de Ciberinteligencia :
OSINT: (Open Source Intelligence)
inteligencia obtenida del producto de
la información a disposición en
fuentes públicas “open” tales como :
• Reportes de gobierno, debates
legislativos, entre otros .
• Periódicos
• Radio y Televisión
• Internet
• Deep WEB (Capas Iniciales)
15. Estrategias operacionales de
ciberinteligencia
Mediante el uso de la ciberinteligencia y las
técnicas avanzadas de protección de redes se
juntan esfuerzos para reducir la línea de
tiempo (cadena de destrucción) entre un
adversario o atacante y la red que está siendo
defendida.
Se aplica el conocimiento de las posibles
acciones que realizaría un atacante antes de
su ingreso a la red, los prerrequisitos para
ingresar a la red y la posible información a ser
vulnerada por el atacante.
Cadena de Destrucción
16. Cadena de Destrucción
Estrategias operacionales de
ciberinteligencia
Existe una guía creada por Erik Hutchins ,Michael
Cloppert y Rohan Amin llamada Intelligence-Driven
Computer Network Defense Informed by Analysis of
Adversary Campaigns and Intrusion Kill Chains;
Esta explica de forma más detallada este proceso y
Brinda una serie de métodos para vulnerar la cadena
de destrucción . A continuación mostramos unos
ejemplos de esta guía .
Fuente://www.lockheedmartin.com/content/dam/lo
ckheed/data/corporate/documents/LM-White-Paper-
Intel-Driven-Defense.pdf
17. Proceso de decisión y ejecución
¿Reintentar?
Evaluar las Acciones
Implementar Acciones
Desarrollar Acceso
Adquirir capacidad
Seleccionar la vía de enfoque
Determinar el Objetivo
Motivación y decisión para actuar
Grafico del proceso de decisión y ejecución de un ataque cibernético
• Ganancia Financiera
• Políticas
• Acosar o avergonzar
• Terrorismo
• Robar Información
• Destruir Datos
• Manipular o Alterar Datos
• Red de trabajo : WEB o Email
• Insider
• Supply chain
• Construir , compilar
• Contratar
• Usar Capacidad Existente
• Insider
• Spear Phishing
• Inyección de SQL
• Establecer presencia en el objetivo
• Desplazarse en la Red
• Robar, alterar, manipular Datos
• Cubrir Huellas
• ¿Las Acciones fueron Exitosas?
• ¿Las Acciones son suficientes?
• ¿Los Objetivos fueron Cumplidos?
• Si
• No
18. Matriz para detectar esfuerzos de un atacante
*Ejemplo de Matriz del curso de acción para considerar el esfuerzo de un atacante haciendo
detección de la red a ser perpetrada
Fase Detección Denegado Interrumpido Degradado Engaño Destruido
Reconocimiento Análisis de la
WEB
Firewall ACL
Alerta Crawl
Militarización NIDS NIPS
Entrega Usuario Vigía Filtrado Proxy AV en línea Sandbox
Explotación HIDS Parchado DEP
Instalación HIDS Jaula chroot AV
C2 HIDS Firewall ACL NIPS Tarpit Redirección
DNS
Acciones de
Objetivos
Auditar Log´s QoS Honeypot
19. Matriz del alcance de acciones realizadas
*Ejemplo de Matriz de acción ampliando el alcance de las acciones de los defensores para habilitar
medidas más proactivas
Fase Detección Denegado Interrumpido Degradado Engaño Destruido
Motivación Técnicas OSINT Disuasión Desinforma.
Ofuscación
Objetivos Análisis WEB ,
OSINT
OPSEC Disuasión
Vía de
Aproximación
Web / Análisis de
la Red
Defensa Dinámica Defensa
Dinámica ,
OPSEC
Direccionar hacia
una defensa más
fuerte
Capacidad Técnicas OSINT Programa de
amenazas insider
Defensa
Dinámica
Direccionar hacia
una defensa más
fuerte
Acceso OSINT , Web /
Análisis de la Red
Programa de
amenazas insider
Defensa
Dinámica ,
OPSEC
Acciones Programa de
amenazas Insider
Acceso basado en
Roles
QoS Honey Pot
Evaluación Análisis WEB ,
Medios Sociales Honeypot
Reintentos OSINT, Análisis
de la Red
Defensa Dinámica Honeypot
23. Niveles operacionales de ciberinteligencia
Niveles de ciberactividades
Táctico: En el nivel táctico se llevan a cabo
todas las acciones en la red;
Se enfrenta el atacante con la información
recabada con el fin de cumplir el objetivo de
vulnerar la red y el defensor en
Ciberseguridad basado en el análisis que
realiza al momento de detectar un evento
malicioso emplea las mecanismos para
proteger la red y mitigar los posibles efectos
del ataque.
57. ¿En qué podemos mejorar?
Listado de blancos potenciales de ataques
Crear un ranking de los portales y servicios
informáticos más críticos ante un eventual ataque, en
el que se tenga en cuenta:
● Nivel de vulnerabilidad.
● Nivel de criticidad de la información almacenada.
● Impacto de la caída del servicio que proporciona.
● Entre otros
A partir de allí identificar los targets con mayor interés
para los atacantes, y enfocar esfuerzos para su
protección.
58. ¿En qué podemos mejorar?
Mapeo geográfico de puntos de conexión
inalámbrica
Existen herramientas que permiten la geolocalización
de diferentes puntos de conexión Wireless en el país.
Un mapeo de este estilo, además de dar una idea de
qué zonas tienen mayor demanda de servicios
informáticos, también permite identificar desde qué
lugares se podría conectar un potencial atacante.