Este documento presenta una charla sobre inteligencia de amenazas. Se define la inteligencia de amenazas y se discuten los tipos de inteligencia como estratégica, táctica y técnica. También se describen los diferentes tipos de amenazas e interlocutores a los que se les puede proporcionar inteligencia. Finalmente, se discute brevemente el ciclo de inteligencia aplicado a la inteligencia de amenazas.
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm
La recherche d’information dans les logs a toujours été chronophage tant au niveau humain que du traitement informatique : Connexion au serveur, localisation du fichier, choix du bon outil, rappel de la syntaxe, exécution de la commande, etc.
La société Elastic, éditeur du moteur de recherche ElasticSearch, édite dorénavant une pile de produits répondant spécifiquement au traitement des fichiers journaux et se résumant à « Toutes les réponses à vos questions sont dans vos logs ! ».
Cette formation d’initiation a pour objectif de vous apprendre à mettre en place la solution (stack) de monitoring elastic et à comprendre et configurer ses composants, suite Elastic (Beats, Logstash et Kibana).
La suite Elastic, qui se compose à ce jour d'Elasticsearch, Kibana, elasticsearch, APM, Beats, et va être principalement utilisé pour construire des moteurs de recherche, mais aussi agréger et manipuler des données logs.
Dans cette formation suite Elastic, nous aborderons toutes les fonctionnalités permettant de mettre en place une solution de monitoring complète.
Les points forts de la formation
- Formation pratique à hauteur de 80%.
- Formation fonctionnelle qui vous donne des compétences exploitables sur le terrain.
- Formation prenant en considération les besoins du marché.
I'm in ur browser, pwning your stuff - Attacking (with) Google Chrome ExtensionsKrzysztof Kotowicz
This document discusses attacking Chrome extensions through exploiting vulnerabilities in their architecture and code. It begins by explaining the components and permissions model of Chrome extensions. It then describes how to exploit vulnerabilities like DOM XSS in extensions' UI pages under the legacy v1 model. The document outlines fixes made in the v2 model but still finds ways to bypass security restrictions, such as through content script XSS. It introduces tools like XSSChEF and Mosquito for exploiting extensions. The presentation concludes by noting CSP should only be seen as a mitigation rather than prevention for extension vulnerabilities.
A story of the passive aggressive sysadmin of AEMFrans Rosén
# By Frans Rosén
Adobe Experience Manager is an enterprise CMS with a troubled history. It was created with the angle of high customization factor, enabling consulting firms to deploy it all over the world for huge customers.
Then came security.
Frans will go through some terrible default configuration mistakes, Adobe’s love for bad Flash and how a sysadmin accidentialy exposed an international multi billion dollar company using only sad thoughts.
# About speaker
Frans Rosén is a tech entrepreneur, bug bounty hunter and a Security Advisor at Detectify, a security service for developers. He’s a frequent blogger at Detectify Labs and a top ranked participant of bug bounty programs, receiving some of the highest bounty payouts ever on HackerOne.
Frans was recently featured as #2 on Hackread’s list of 10 Famous Bug Bounty Hunters of All Time and the results of his security research has been covered in numerous international publications such as Observer, BBC, Ars Technica, Wired and Mashable.
MindMap - Forensics Windows Registry Cheat SheetJuan F. Padilla
This document summarizes information about the Windows Registry including its structure, tools used to access it, locations of hive files, and types of evidence that can be extracted including search history, recent documents, dialog boxes used, commands executed, and software/OS versions. It explains registry hives like HKEY_LOCAL_MACHINE, keys with MRU lists that track recently used items, and how timestamps and MRU lists can help determine the order and time of user activity on a system.
A Presentation on Registry forensics from one of my lectures. Thanks to Harlan Carvy and Jolanta Thomassen for wonderful researches in the field. The work is based on their researches
This document provides an introduction to Metasploit, a penetration testing platform that enables users to find, exploit, and validate vulnerabilities. It discusses how Metasploit has various interfaces including a console and GUI, and describes some key advantages like its large community and frequent updates. The document then outlines steps to hack an Android device using Metasploit, including creating a payload file, sending it to the target, running Metasploit to exploit the victim's Android.
Objectif général : Découvrir l'un des SGBDs noSQL les plus utilisés
Objectifs spécifiques :
Installer et démarrer un serveur et un client mongo
Créer une base de données dans un serveur mongo
Créer une collection dans une base de données mongo
Connaître les principaux types de données
Insérer des données
Consulter des données
Modifier des données
Supprimer des données
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm
La recherche d’information dans les logs a toujours été chronophage tant au niveau humain que du traitement informatique : Connexion au serveur, localisation du fichier, choix du bon outil, rappel de la syntaxe, exécution de la commande, etc.
La société Elastic, éditeur du moteur de recherche ElasticSearch, édite dorénavant une pile de produits répondant spécifiquement au traitement des fichiers journaux et se résumant à « Toutes les réponses à vos questions sont dans vos logs ! ».
Cette formation d’initiation a pour objectif de vous apprendre à mettre en place la solution (stack) de monitoring elastic et à comprendre et configurer ses composants, suite Elastic (Beats, Logstash et Kibana).
La suite Elastic, qui se compose à ce jour d'Elasticsearch, Kibana, elasticsearch, APM, Beats, et va être principalement utilisé pour construire des moteurs de recherche, mais aussi agréger et manipuler des données logs.
Dans cette formation suite Elastic, nous aborderons toutes les fonctionnalités permettant de mettre en place une solution de monitoring complète.
Les points forts de la formation
- Formation pratique à hauteur de 80%.
- Formation fonctionnelle qui vous donne des compétences exploitables sur le terrain.
- Formation prenant en considération les besoins du marché.
I'm in ur browser, pwning your stuff - Attacking (with) Google Chrome ExtensionsKrzysztof Kotowicz
This document discusses attacking Chrome extensions through exploiting vulnerabilities in their architecture and code. It begins by explaining the components and permissions model of Chrome extensions. It then describes how to exploit vulnerabilities like DOM XSS in extensions' UI pages under the legacy v1 model. The document outlines fixes made in the v2 model but still finds ways to bypass security restrictions, such as through content script XSS. It introduces tools like XSSChEF and Mosquito for exploiting extensions. The presentation concludes by noting CSP should only be seen as a mitigation rather than prevention for extension vulnerabilities.
A story of the passive aggressive sysadmin of AEMFrans Rosén
# By Frans Rosén
Adobe Experience Manager is an enterprise CMS with a troubled history. It was created with the angle of high customization factor, enabling consulting firms to deploy it all over the world for huge customers.
Then came security.
Frans will go through some terrible default configuration mistakes, Adobe’s love for bad Flash and how a sysadmin accidentialy exposed an international multi billion dollar company using only sad thoughts.
# About speaker
Frans Rosén is a tech entrepreneur, bug bounty hunter and a Security Advisor at Detectify, a security service for developers. He’s a frequent blogger at Detectify Labs and a top ranked participant of bug bounty programs, receiving some of the highest bounty payouts ever on HackerOne.
Frans was recently featured as #2 on Hackread’s list of 10 Famous Bug Bounty Hunters of All Time and the results of his security research has been covered in numerous international publications such as Observer, BBC, Ars Technica, Wired and Mashable.
MindMap - Forensics Windows Registry Cheat SheetJuan F. Padilla
This document summarizes information about the Windows Registry including its structure, tools used to access it, locations of hive files, and types of evidence that can be extracted including search history, recent documents, dialog boxes used, commands executed, and software/OS versions. It explains registry hives like HKEY_LOCAL_MACHINE, keys with MRU lists that track recently used items, and how timestamps and MRU lists can help determine the order and time of user activity on a system.
A Presentation on Registry forensics from one of my lectures. Thanks to Harlan Carvy and Jolanta Thomassen for wonderful researches in the field. The work is based on their researches
This document provides an introduction to Metasploit, a penetration testing platform that enables users to find, exploit, and validate vulnerabilities. It discusses how Metasploit has various interfaces including a console and GUI, and describes some key advantages like its large community and frequent updates. The document then outlines steps to hack an Android device using Metasploit, including creating a payload file, sending it to the target, running Metasploit to exploit the victim's Android.
Objectif général : Découvrir l'un des SGBDs noSQL les plus utilisés
Objectifs spécifiques :
Installer et démarrer un serveur et un client mongo
Créer une base de données dans un serveur mongo
Créer une collection dans une base de données mongo
Connaître les principaux types de données
Insérer des données
Consulter des données
Modifier des données
Supprimer des données
This document discusses methods for bypassing file upload restrictions on websites, including modifying HTTP headers, embedding malicious code in image files, and using NULL bytes in filenames. It demonstrates how these techniques can allow uploading PHP shells or other code to gain remote command execution or full server control. The document recommends upload logs and secure coding as better security practices than trying to implement perfect input filtering, which is complicated and can still be bypassed.
The document provides an overview of BGA Bilgi Güvenliği A.Ş, a Turkish cybersecurity company that offers strategic security consulting and training. It then outlines BGA's mobile application penetration testing methodology, which involves information gathering, static analysis, dynamic analysis, and examining authentication, authorization, and session management. The methodology describes steps to analyze the mobile app's permissions, network usage, data storage, APIs, libraries, and more to identify potential vulnerabilities.
This presentation will demonstrate how you can use the aggregation pipeline with MongoDB similar to how you would use GROUP BY in SQL and the new stage operators coming 3.4. MongoDB’s Aggregation Framework has many operators that give you the ability to get more value out of your data, discover usage patterns within your data, or use the Aggregation Framework to power your application. Considerations regarding version, indexing, operators, and saving the output will be reviewed.
This document summarizes a presentation about penetration testing with Metasploit. It introduces penetration testing and why organizations use it. It then discusses the basics of Metasploit, including interfaces like MSFconsole. Key concepts in Metasploit like exploits, payloads, and Meterpreter are explained. The presentation demonstrates Metasploit against different operating systems like Windows XP, Windows 7, and Ubuntu. It shows how to find and use appropriate exploits and payloads to gain remote access and post-exploitation activities.
Key loggers are programs or hardware devices that record every keystroke on a computer. They can be used legitimately to monitor employee productivity but are also used illegally to steal sensitive information like passwords, usernames, credit card numbers, and personal details. Key loggers come in both hardware and software forms. Hardware key loggers are small devices that physically attach to keyboards while software key loggers can be installed remotely or hidden in viruses and malware. Common prevention methods include using up-to-date antivirus software, firewalls, automatic form fillers, alternative keyboard layouts, and on-screen keyboards. It is important to be aware of what is installed on your computer and keep security software updated.
OWASP Top 10 Web Application VulnerabilitiesSoftware Guru
This document provides an overview of the OWASP Top 10 Risk Rating Methodology. It explains how risks are rated based on four factors: threat agent, attack vector, technical impact, and business impact. Each factor is given a rating of 1-3 (easy to difficult) and these ratings are multiplied together to calculate an overall weighted risk rating. An example of how this methodology would be applied to an SQL injection vulnerability is also provided.
This document summarizes Anton Babenko's presentation on Terraform 0.12 and Terragrunt. Some key points include:
- Terraform 0.12 includes improvements like HCL2 syntax, loops and dynamic blocks that make configurations easier to write and maintain.
- Terragrunt is useful for orchestrating Terraform modules and enforcing best practices and standards.
- Modules.tf is a tool that can generate Terraform configurations from visual diagrams created in Cloudcraft, potentially providing ready-to-use infrastructure code.
This document provides an overview of malware analysis, including both static and dynamic analysis techniques. Static analysis involves examining a file's code and components without executing it, such as identifying file types, checking hashes, and viewing strings. Dynamic analysis involves executing the malware in a controlled environment and monitoring its behavior and any system changes. Dynamic analysis tools discussed include Process Explorer, Process Monitor, and Autoruns to track malware processes, files accessed, and persistence mechanisms. Both static and dynamic analysis are needed to fully understand malware behavior.
This document discusses pentesting Android apps. It provides an overview of Android architecture and common attack surfaces, including the client software, communications channels, and server-side infrastructure. It describes setting up an environment for app analysis, exploiting vulnerabilities like insecure storage and logical flaws. The document demonstrates capturing network requests, reverse engineering apps, and provides developer tips to improve security like encrypting sensitive data and input sanitization.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Slides for a college course at City College San Francisco. Based on "Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software", by Michael Sikorski and Andrew Honig; ISBN-10: 1593272901.
Instructor: Sam Bowne
Class website: https://samsclass.info/126/126_S17.shtml
This document summarizes a case study of a remote code execution vulnerability in a publicly available web application called BogusVenture. Due to flaws in the application's file upload functionality, an attacker could craft an HTTP request to upload a malicious file like a DLL that would execute code on the server. The vulnerability was possible due to a lack of authentication on internal pages, bypassable file type validation via direct requests, and a bug in filename canonicalization that allowed traversing to other parts of the file system. The case study aims to demonstrate how these flaws could be exploited to achieve remote code execution without any user credentials.
Time based CAPTCHA protected SQL injection through SOAP-webserviceFrans Rosén
Frans Rosén of detectify discusses SQL injection techniques through a SOAP webservice. He provides steps to create a proof of concept attack with as few requests as possible to find vulnerable storefronts. Examples are given of time-based SQL injection payloads using substring, ascii, and sleep functions to retrieve the username and potentially other information about the target host. A link is also provided to a paper on SQL injection optimization and obfuscation techniques.
These slides were presented at GDG MeetUp in Bangalore which was held on 21st September 2013. Uploading the slides to help the people who wanted the slide Deck
Web services are a set of tools available over the internet or intranet networks which use the standardized messaging system to transfer data between applications or systems.
Web services allow interaction between different systems or applications using standard libraries such as HTML, XML, WSDL, and SOAP.
Dynamic ARP inspection (DAI) is a security feature that prevents man-in-the-middle attacks by validating ARP packets. It relies on DHCP snooping to build a database of valid IP-MAC address bindings. When enabled, DAI will drop ARP packets that do not match entries in the DHCP snooping database, preventing ARP poisoning attacks. The document then demonstrates configuring and testing DAI on a switch to block an ARP poisoning attempt by a rogue workstation.
From Zero to OSINT Hero - Universidad de Alcalá de Henares - Ivan Portillo Mo...Wiktor Nykiel ✔
Presentación realizada en la Universidad de Alcalá de Henares para los alumnos de la misma universidad.
La presentación pretende cubrir la introducción a la cibertinteligencia focalizando en OSINT, presentar ejemplos casos reales a resolver mediante técnicas y herramientas de inteligencia.
Una vez introducidos los conceptos de la materia para centrar a los alumnos que quieran profundizar en esta materia, hacemos foco en como poder encontrar trabajo ajustando las expectativas salariales. A lo último damos consejos de cómo ser un superhéroe dentro del mundo de la ciberinteligencia y de la tecnología en general.
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
This document discusses methods for bypassing file upload restrictions on websites, including modifying HTTP headers, embedding malicious code in image files, and using NULL bytes in filenames. It demonstrates how these techniques can allow uploading PHP shells or other code to gain remote command execution or full server control. The document recommends upload logs and secure coding as better security practices than trying to implement perfect input filtering, which is complicated and can still be bypassed.
The document provides an overview of BGA Bilgi Güvenliği A.Ş, a Turkish cybersecurity company that offers strategic security consulting and training. It then outlines BGA's mobile application penetration testing methodology, which involves information gathering, static analysis, dynamic analysis, and examining authentication, authorization, and session management. The methodology describes steps to analyze the mobile app's permissions, network usage, data storage, APIs, libraries, and more to identify potential vulnerabilities.
This presentation will demonstrate how you can use the aggregation pipeline with MongoDB similar to how you would use GROUP BY in SQL and the new stage operators coming 3.4. MongoDB’s Aggregation Framework has many operators that give you the ability to get more value out of your data, discover usage patterns within your data, or use the Aggregation Framework to power your application. Considerations regarding version, indexing, operators, and saving the output will be reviewed.
This document summarizes a presentation about penetration testing with Metasploit. It introduces penetration testing and why organizations use it. It then discusses the basics of Metasploit, including interfaces like MSFconsole. Key concepts in Metasploit like exploits, payloads, and Meterpreter are explained. The presentation demonstrates Metasploit against different operating systems like Windows XP, Windows 7, and Ubuntu. It shows how to find and use appropriate exploits and payloads to gain remote access and post-exploitation activities.
Key loggers are programs or hardware devices that record every keystroke on a computer. They can be used legitimately to monitor employee productivity but are also used illegally to steal sensitive information like passwords, usernames, credit card numbers, and personal details. Key loggers come in both hardware and software forms. Hardware key loggers are small devices that physically attach to keyboards while software key loggers can be installed remotely or hidden in viruses and malware. Common prevention methods include using up-to-date antivirus software, firewalls, automatic form fillers, alternative keyboard layouts, and on-screen keyboards. It is important to be aware of what is installed on your computer and keep security software updated.
OWASP Top 10 Web Application VulnerabilitiesSoftware Guru
This document provides an overview of the OWASP Top 10 Risk Rating Methodology. It explains how risks are rated based on four factors: threat agent, attack vector, technical impact, and business impact. Each factor is given a rating of 1-3 (easy to difficult) and these ratings are multiplied together to calculate an overall weighted risk rating. An example of how this methodology would be applied to an SQL injection vulnerability is also provided.
This document summarizes Anton Babenko's presentation on Terraform 0.12 and Terragrunt. Some key points include:
- Terraform 0.12 includes improvements like HCL2 syntax, loops and dynamic blocks that make configurations easier to write and maintain.
- Terragrunt is useful for orchestrating Terraform modules and enforcing best practices and standards.
- Modules.tf is a tool that can generate Terraform configurations from visual diagrams created in Cloudcraft, potentially providing ready-to-use infrastructure code.
This document provides an overview of malware analysis, including both static and dynamic analysis techniques. Static analysis involves examining a file's code and components without executing it, such as identifying file types, checking hashes, and viewing strings. Dynamic analysis involves executing the malware in a controlled environment and monitoring its behavior and any system changes. Dynamic analysis tools discussed include Process Explorer, Process Monitor, and Autoruns to track malware processes, files accessed, and persistence mechanisms. Both static and dynamic analysis are needed to fully understand malware behavior.
This document discusses pentesting Android apps. It provides an overview of Android architecture and common attack surfaces, including the client software, communications channels, and server-side infrastructure. It describes setting up an environment for app analysis, exploiting vulnerabilities like insecure storage and logical flaws. The document demonstrates capturing network requests, reverse engineering apps, and provides developer tips to improve security like encrypting sensitive data and input sanitization.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Slides for a college course at City College San Francisco. Based on "Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software", by Michael Sikorski and Andrew Honig; ISBN-10: 1593272901.
Instructor: Sam Bowne
Class website: https://samsclass.info/126/126_S17.shtml
This document summarizes a case study of a remote code execution vulnerability in a publicly available web application called BogusVenture. Due to flaws in the application's file upload functionality, an attacker could craft an HTTP request to upload a malicious file like a DLL that would execute code on the server. The vulnerability was possible due to a lack of authentication on internal pages, bypassable file type validation via direct requests, and a bug in filename canonicalization that allowed traversing to other parts of the file system. The case study aims to demonstrate how these flaws could be exploited to achieve remote code execution without any user credentials.
Time based CAPTCHA protected SQL injection through SOAP-webserviceFrans Rosén
Frans Rosén of detectify discusses SQL injection techniques through a SOAP webservice. He provides steps to create a proof of concept attack with as few requests as possible to find vulnerable storefronts. Examples are given of time-based SQL injection payloads using substring, ascii, and sleep functions to retrieve the username and potentially other information about the target host. A link is also provided to a paper on SQL injection optimization and obfuscation techniques.
These slides were presented at GDG MeetUp in Bangalore which was held on 21st September 2013. Uploading the slides to help the people who wanted the slide Deck
Web services are a set of tools available over the internet or intranet networks which use the standardized messaging system to transfer data between applications or systems.
Web services allow interaction between different systems or applications using standard libraries such as HTML, XML, WSDL, and SOAP.
Dynamic ARP inspection (DAI) is a security feature that prevents man-in-the-middle attacks by validating ARP packets. It relies on DHCP snooping to build a database of valid IP-MAC address bindings. When enabled, DAI will drop ARP packets that do not match entries in the DHCP snooping database, preventing ARP poisoning attacks. The document then demonstrates configuring and testing DAI on a switch to block an ARP poisoning attempt by a rogue workstation.
From Zero to OSINT Hero - Universidad de Alcalá de Henares - Ivan Portillo Mo...Wiktor Nykiel ✔
Presentación realizada en la Universidad de Alcalá de Henares para los alumnos de la misma universidad.
La presentación pretende cubrir la introducción a la cibertinteligencia focalizando en OSINT, presentar ejemplos casos reales a resolver mediante técnicas y herramientas de inteligencia.
Una vez introducidos los conceptos de la materia para centrar a los alumnos que quieran profundizar en esta materia, hacemos foco en como poder encontrar trabajo ajustando las expectativas salariales. A lo último damos consejos de cómo ser un superhéroe dentro del mundo de la ciberinteligencia y de la tecnología en general.
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
Este documento resume una investigación manual realizada para analizar un hash desconocido. Se buscó el hash en varias bases de datos como IBM X-Force, AlienVault OTX y VirusTotal, donde se encontró que estaba asociado a una amenaza de phishing relacionada con COVID-19 categorizada como de alto riesgo. La investigación también exploró posibles relaciones del hash con otros indicadores de compromiso para comprender mejor la amenaza.
Este documento presenta un análisis de riesgos y seguridad de sistemas de información para una nueva empresa de servicios satelitales. Propone medidas como realizar un inventario de activos, identificar amenazas como robo de datos, y vulnerabilidades como falta de capacitación. También recomienda procedimientos preventivos como copias de seguridad, actualizaciones de antivirus y firewalls, y políticas de seguridad.
Este documento trata sobre la seguridad informática y criptografía. Explica conceptos clave como la definición de información, la teoría de la información de Shannon, la importancia de la información para las empresas y los riesgos a la vulnerabilidad de la información, incluyendo amenazas internas y externas. También describe diferentes tipos de ataques y delitos informáticos como virus, gusanos, caballos de Troya y spam, así como estrategias para proteger los datos como copias de seguridad.
La inteligencia de amenazas analiza datos para generar información sobre amenazas existentes o emergentes que ayuda a las organizaciones a tomar mejores decisiones de seguridad de manera más rápida y proactiva. Existen diferentes tipos de inteligencia de amenazas como estratégica, táctica, técnica y operacional. Además, se describen conceptos como amenazas persistentes avanzadas, cadena de muerte cibernética, indicadores de compromiso y ciclo de vida de la inteligencia de amenazas. Finalmente, se mencionan
Este documento describe un plan de seguridad de la información para una organización. Identifica amenazas internas y externas, y propone objetivos como desarrollar modelos predictivos de amenazas, determinar mecanismos de protección adecuados e identificar la información más valiosa. También incluye un análisis de riesgos, necesidades de recursos, y consideraciones sobre la localización y costos del proyecto.
Este documento presenta los servicios de ciberseguridad de una empresa con 18 años de experiencia. La empresa ofrece auditorías de seguridad, hacking ético, cumplimiento normativo, gestión de procesos corporativos y seguridad de la información conforme a normas ISO. El objetivo es ayudar a las organizaciones a reducir riesgos de ciberamenazas y estar preparadas para responder a incidentes.
Este documento presenta los servicios de ciberseguridad de una empresa. Resume su experiencia de 18 años en el sector de las TIC y su equipo de 50 personas multidisciplinario. Detalla sus servicios de ciberseguridad como auditorías de seguridad, hacking ético, cumplimiento normativo, gestión de procesos corporativos y soluciones de hardware y software. También describe su Security Operation Center las 24 horas los 7 días de la semana.
Este documento presenta los servicios de ciberseguridad de una empresa. Incluye auditorías de seguridad, hacking ético, cumplimiento normativo, gestión de procesos corporativos de seguridad y un centro de operaciones de seguridad las 24 horas. La empresa ofrece servicios integrales de ciberseguridad para proteger a los clientes de amenazas cibernéticas.
Este documento presenta una introducción a la arquitectura de redes de seguridad. Explica que la información es un recurso valioso para las organizaciones que debe estar protegido de amenazas. Identifica tres objetivos clave de seguridad de la información: confidencialidad, integridad y disponibilidad. Además, describe algunas causas por las que aumentan las amenazas a la seguridad de la información como el crecimiento de las redes y usuarios interconectados.
Este documento resume los conceptos clave de la arquitectura de redes de seguridad. Explica que la información es un recurso valioso para las organizaciones que debe protegerse de amenazas. Identifica tres objetivos de seguridad de la información: confidencialidad, integridad y disponibilidad. También describe los 11 dominios de control de ISO 17799 que deben considerarse dentro de un plan de seguridad de la información.
Ponencia en Inictel-Universidad Nacional de Ingenieria, sobre la inteligencia de amenazas, inteligencia, indicadores de compromiso, herramientas y plataformas usadas. Se comento el caso del uso de la plataforma MISP en el Cert Nacional del Perú.
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
El documento describe 7 acciones que las empresas pueden tomar para mejorar su seguridad informática: 1) Proteger los datos en lugar de solo el perímetro, 2) Conocer sus datos mediante auditorías, 3) Crear un plan director de seguridad, 4) Reconocer las amenazas internas mediante educación del personal, 5) Aumentar la vigilancia de sistemas, 6) Controlar dispositivos móviles de empleados, 7) Invertir más tiempo y dinero en seguridad informática.
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
El documento presenta varios puntos clave para gerenciar la seguridad y minimizar riesgos en una organización. Recomienda definir políticas de seguridad únicas, crear un comité de seguridad e implementar la figura de un CISO. También enfatiza la importancia de la comunicación, asignar un presupuesto adecuado y pensar en la seguridad para garantizar la disponibilidad de los servicios. Finalmente, sugiere dimensionar correctamente el perímetro de seguridad teniendo en cuenta que hoy no existen áreas de confianza en
Este documento introduce el tema de la seguridad de la información y el ético hacking. Explica qué es el ético hacking, quiénes son los éticos hackers, los tipos y beneficios del ético hacking, y cómo realizar un ataque de inyección SQL para burlar la seguridad de un sitio web vulnerable.
El documento discute la importancia de la calidad de la información para el éxito de una empresa y los riesgos que enfrenta la información debido a factores internos y externos como delitos cibernéticos. Explica diversas amenazas como virus, gusanos, caballos de Troya y spam, así como medidas de seguridad clave como copias de respaldo, control de acceso, firewalls y actualizaciones de software.
Este documento discute la importancia de la calidad de la información y la seguridad de los datos para el éxito de una empresa. Explica que la información debe mantenerse confidencial, íntegra y disponible. También describe varias amenazas como virus, fraude, robo de datos y sabotaje que pueden comprometer la seguridad de la información de una empresa. Finalmente, ofrece algunas medidas como copias de seguridad, controles de acceso y firewalls para proteger los datos de una organización.
Este documento discute los principios fundamentales de la seguridad informática, incluyendo la confidencialidad, integridad y disponibilidad. Explica que la confidencialidad se refiere a la prevención del acceso no autorizado a la información, la integridad significa que la información no es modificada sin autorización y permanece consistente, y la disponibilidad garantiza que los servicios de seguridad estén disponibles y no causen problemas de acceso a la información. También menciona conceptos como identificación, autenticación, no repudio y autor
El documento presenta un diplomado en seguridad informática sobre la gestión de incidentes impartido por Juan Bosoms. Incluye la información de contacto del instructor, el temario del curso, y una introducción sobre la diferencia entre eventos e incidentes de seguridad, así como ejemplos de cada uno.
Similar a Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago (20)
Uso de las Tics en la vida cotidiana.pptx231485414
Las Tecnologías de la Información y las Comunicaciones (TIC), son el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptxpauca1501alvar
Explica cómo las tecnologías digitales han facilitado e impulsado la globalización al eliminar barreras geográficas y permitir un flujo global sin precedentes de información, bienes, servicios y capital. Se describen los impactos de las herramientas digitales en áreas como la comunicación global, el comercio electrónico internacional, las finanzas y la difusión cultural. Además, se mencionan los beneficios como el crecimiento económico y el acceso a la información, así como los desafíos como la desigualdad y el impacto ambiental. Se concluye que la globalización y las herramientas digitales se refuerzan mutuamente, promoviendo una creciente interdependencia mundial.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
2. telegram.me/giseg 2
Sobre mi
Actualmente es Senior Manager creando soluciones innovadoras de inteligencia de amenazas en una Big4.
Anteriormente fue Responsable Global del Servicio de Ciber Inteligencia en una gran empresa de seguridad.
Fue el co-fundador de Hackdoor, una startup tecnológica enfocada a la innovación dentro del área de Ciber
Inteligencia.
Ha sido profesor en cursos de ciberseguridad en la Universidad de Alcalá de Henares, habiendo sido investigador
de la misma Universidad.
La pasión por la tecnología y la seguridad le motivan a investigar y aprender día a día.
#Creative and #innovative in #threat #intelligence.
IT enthusiast, ɹǝɥɔɹɐǝsǝɹ ʎʇıɹnɔǝs, #entrepreneur.
wiktornykiel
email@wiktornykiel.com
Wiktor Nykiel
3. telegram.me/giseg 3
Definiciones TLP (Traffic Light Protocol )
Se debe utilizar TLP:GREEN cuando la información es útil para todas las organizaciones que participan, así como con terceros de
la comunidad o el sector. Los receptores pueden compartir la información indicada como TLP:GREEN con organizaciones
afiliadas o miembros del mismo sector, pero nunca a través de canales públicos.
TLP:RED
TLP:AMBER
Sin divulgación, restringido solo para participantes.
Se debe utilizar TLP:RED cuando la información está limitada a personas concretas, y podría tener impacto en la privacidad,
reputación u operaciones si es mal utilizada. Los receptores no deben compartir información designada como TLP:RED con
ningún tercero fuera del ámbito donde fue expuesta originalmente.
Divulgación limitada, restringida a las organizaciones participantes.
Se debe utilizar TLP:AMBER cuando la información requiere ser distribuida de forma limitada, pero supone un riesgo para la
privacidad, reputación u operaciones si es compartida fuera de la organización. Los receptores pueden compartir información
indicada como TLP:AMBER únicamente con miembros de su propia organización que necesitan conocerla, y con clientes,
proveedores o asociados que necesitan conocerla para protegerse a sí mismos o evitar daños. El emisor puede especificar
restricciones adicionales para compartir esta
TLP:GREEN Revelación limitada, restringida a la comunidad.
TLP:WHITE
Se debe utilizar TLP:WHITE cuando la información no supone ningún riesgo de mal uso, dentro de las reglas y procedimientos
establecidos para su difusión pública. La información TLP:WHITE puede ser distribuida sin restricciones, sujeta a controles de
Copyright.
La divulgación no está limitada.
https://www.us-cert.gov/tlp
Esquema simple e intuitivo para indicar como compartimos información creado por el US-CERT.
4. telegram.me/giseg 4
Comunicación… ¿Hablamos?
Hashtags Social Media
#Cybercamp17 #giseg
Grupo de Telegram (Público)
https://telegram.me/giseg (Grupo de Inteligencia y SEGuridad)
Canal de noticias de Telegram
https://telegram.me/ThreatIntelligence
5. telegram.me/giseg
Índice
5
1 / Definiciones
Inteligencia
Tipos de amenazas
Actores
Madurez
2 / Colección, uso y compartición de información
Fuentes
Formatos
Plataformas
3 / Agradecimientos, recapitulación y referencias
6. telegram.me/giseg 6
1 / Definiciones
Threat Intelligence
Desde qué es hasta cómo lo hago
• Inteligencia
• Tipos de amenazas
• Actores
• Madurez
7. telegram.me/giseg 7
1 / Definiciones
Threat Intelligence
Desde qué es hasta cómo lo hago
• Inteligencia
• Tipos de amenazas
• Actores
• Madurez
8. telegram.me/giseg 8
Estado del arte ¿Para que necesitamos esto?
• Las motivaciones de los atacantes se están ampliando.
• Las amenazas continúan acelerándose, superando las defensas de seguridad
tradicionales y los enfoques operativos.
Amenazas
• Las defensas tradicionales son cada vez menos efectivas.
• La tecnología está evolucionando, muy rápido, y las empresas que
no la sigan se quedarán atrás.
Tecnología
• La mayoría de las empresas tienen fundamentos de seguridad
deficientes y son reactivas frente a proactivas.
• Las organizaciones están mejorando significativamente su inversión
en ciberseguridad.
Reto
9. telegram.me/giseg 9
Introducción a los tipos de inteligencia
Tipos de InteligenciaDefiniciones
OSINT
HUMINT
SIGINT
CYBINT GEOINT
FININT
INT
10. telegram.me/giseg 10
Relación entre datos, información e inteligencia
Inteligencia
Información elaborada y tratada con
el fin de ayudar al proceso de tomas
de decisiones.
Collección
Procesoyexplotación
Análisisyproducción
InteligenciaDatos Información
Entornooperativo
Información
Material sin evaluar, obtenida de
cualquier fuente, que una vez tratada,
puede generar inteligencia.
Definiciones
11. telegram.me/giseg 11
Threat Intelligence / Inteligencia de Amenazas
Uniendo fuentes internas y externas de información, se consigue afinar las amenazas en
contra de la organización, permitiendo que la inteligencia generada sea accionable.
Es el conocimiento de las amenazas, incluyendo las capacidades, infraestructura,
motivación, objetivos y recursos del atacante.
12. telegram.me/giseg 12
Introducción a la inteligencia de amenazas
Ciclo de inteligencia
Proceso de generación y comunicación de conocimiento ajustado a las necesidades y los requerimientos de un
usuario a partir de la obtención y la transformación de información apropiada.
Secuencia de actividades mediante las que se obtiene información que se convierte en conocimiento
(inteligencia) que se pone a disposición de un usuario.
CIA CNI
HUMINT
OSINT
CYBINT
SIGINT
Deep Web
Con origen en el ciclo
de inteligencia militar.
Generación de conocimiento
Generaciónyentregade
informedeinteligencia
13. telegram.me/giseg 13
Ciclo de inteligencia aplicado a TI
• Monitorizar feeds.
• Investigar amenazas / desarrollos.
• Agregar y consolidar información:
• Correlación de tendencias.
• Evaluar la relevancia de los requisitos.
• Determine la priorización para la
producción.
• Identificar información de valor.
• Intención clave de la amenaza.
• Amenazas clave TTPs.
• Caminos de ataque
vulnerables.
• Evaluar y priorizar el riesgo.
• Productos diseñados para cumplir con los requisitos.
• Información analizada fusionada en productos.
• Modelado de amenazas
• Escenarios de alto riesgo.
• Brechas de control priorizadas.
• Árbol de ataque.
• Perfil de amenaza
• Resumen ejecutivo.
• Objetivos de operaciones de seguridad.
• Definir / refinar requisitos.
• Entregar procesos / productos para cumplir con los requisitos.
• Integración técnica de la inteligencia de amenazas
derivadas (por ejemplo, STIX / TAXII).
• Información / informes de la audiencia.
• Utilice el desarrollo de casos por analistas de seguridad.
• Implementación del caso.
• Seguimiento de casos.
• Comentarios de proceso / producto.
EXTERNO
• Información de inteligencia
de amenaza
• Casos de uso de
operaciones de seguridad
INTERNO
• Datos de incidentes y
eventos empresariales
• Controlar brechas y
vulnerabilidades
• Datos de activos críticos
Analizar
Recoger
Integrar
Producir
14. telegram.me/giseg
Tipos de inteligencia e interlocutores
Información relevante que se convierte en cyber inteligencia a través de un ciclo dinámico de
colección, análisis, integración y producción.
Es importante ajustar el mensaje al interlocutor adecuado, proporcionando la información clave
con el nivel exacto de detalles para cada una de las partes receptoras de la inteligencia.
14
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Esta inteligencia puede ser consumida por los equipos de seguridad así como por altos cargos.
15. telegram.me/giseg
Tipos de inteligencia e interlocutores
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Es información de alto nivel. Es poco probable que
sea técnico y puede abarcar aspectos como el
impacto financiero de la actividad cibernética, las
tendencias de ataque y las áreas que pueden
afectar las decisiones comerciales de alto nivel.
Junta directiva / CEO.
Otros altos responsables en la toma de
decisiones
Threat Intelligence Estratégica
Es información sobre ataques específicos que
llegan a la organización.
• Personal de seguridad y defensa.
Se trata de datos o información sobre
indicadores de malware específico. La
inteligencia de amenaza técnica generalmente
alimenta las funciones de investigación o
supervisión de una empresa.
• Analistas SOC, IR e IT Staff.
Threat Intelligence Operacional
Threat Intelligence Táctica
Threat Intelligence Técnico
15
Tácticas, técnicas y procedimientos (TTP, por
sus siglas en inglés) es información sobre cómo
los actores pretender o están realizando sus
ataques.
• Arquitectos y Sysadmins.
16. telegram.me/giseg
Tipos de inteligencia e interlocutores
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Es información de alto nivel. Es poco probable que
sea técnico y puede abarcar aspectos como el
impacto financiero de la actividad cibernética, las
tendencias de ataque y las áreas que pueden
afectar las decisiones comerciales de alto nivel.
Junta directiva / CEO.
Otros altos responsables en la toma de
decisiones
Tácticas, técnicas y procedimientos (TTP, por
sus siglas en inglés) es información sobre cómo
los actores pretender o están realizando sus
ataques.
• Arquitectos y Sysadmins.
Threat Intelligence Estratégica
Es información sobre ataques específicos que
llegan a la organización.
• Personal de seguridad y de defensa.
Se trata de datos o información sobre
indicadores de malware específico. La
inteligencia de amenaza técnica generalmente
alimenta las funciones de investigación o
supervisión de una empresa.
• Analistas SOC, IR e IT Staff.
Threat Intelligence Operacional
Threat Intelligence Táctica
Threat Intelligence Técnico
16
17. telegram.me/giseg
Tipos de inteligencia e interlocutores
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Es información de alto nivel. Es poco probable que
sea técnico y puede abarcar aspectos como el
impacto financiero de la actividad cibernética, las
tendencias de ataque y las áreas que pueden
afectar las decisiones comerciales de alto nivel.
Junta directiva / CEO.
Otros altos responsables en la toma de
decisiones
Threat Intelligence Estratégica
Es información sobre ataques específicos que
llegan a la organización.
• Personal de seguridad y de defensa.
Se trata de datos o información sobre
indicadores de malware específico. La
inteligencia de amenaza técnica generalmente
alimenta las funciones de investigación o
supervisión de una empresa.
• Analistas SOC, IR e IT Staff.
Threat Intelligence Operacional
Threat Intelligence Táctica
Threat Intelligence Técnico
17
Tácticas, técnicas y procedimientos (TTP, por
sus siglas en inglés) es información sobre cómo
los actores pretender o están realizando sus
ataques.
• Arquitectos y Sysadmins.
18. telegram.me/giseg
Tipos de inteligencia e interlocutores
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Es información de alto nivel. Es poco probable que
sea técnico y puede abarcar aspectos como el
impacto financiero de la actividad cibernética, las
tendencias de ataque y las áreas que pueden
afectar las decisiones comerciales de alto nivel.
Junta directiva / CEO.
Otros altos responsables en la toma de
decisiones
Threat Intelligence Estratégica
Es información sobre ataques específicos que
llegan a la organización.
• Personal de seguridad y de defensa.
Se trata de datos o información sobre
indicadores de malware específico. La
inteligencia de amenaza técnica generalmente
alimenta las funciones de investigación o
supervisión de una empresa.
• Analistas SOC, IR e IT Staff.
Threat Intelligence Operacional
Threat Intelligence Táctica
Threat Intelligence Técnico
18
Tácticas, técnicas y procedimientos (TTP, por
sus siglas en inglés) es información sobre cómo
los actores pretender o están realizando sus
ataques.
• Arquitectos y Sysadmins.
19. telegram.me/giseg 19
Tipos de información de amenazas
TTPs Alertas de seguridad
Informes de inteligencia de
amenazas
Información automática
de herramientas
Indicadores
20. telegram.me/giseg 20
Threat Intelligence útil
Oportuno: aborda los problemas que están sucediendo o están a punto de suceder.
Preciso: debe ser representativo de la actividad vista analizada.
Procesable: Una empresa debe comprender qué puede hacer con ella / ser capaz de utilizarla.
Relevante: El contenido tratado debe ser de valor (adaptado) para el negocio.
21. telegram.me/giseg 21
1 / Definiciones
Threat Intelligence
Desde qué es hasta cómo lo hago
• Inteligencia
• Tipos de amenazas
• Actores
• Madurez
25. telegram.me/giseg 25
Amenazas vs Riesgos
Los riesgos y las amenazas son
conceptos relacionados pero
diferentes.
El Riesgo es directamente
proporcional a las amenazas, a las
vulnerabilidades y los impactos.
Todos los factores configuran la
ecuación del riesgo.
1
2
3
26. telegram.me/giseg 26
Amenazas y vulnerabilidades en crecimiento
28%
29%
32%
43%
22%
33%
8%
50%
10%
25%
21%
16%
8%
28%
22%
36%
22%
17%
20%
18%
22%
16%
23%
6%
18%
9%
18%
15%
17%
12%
16%
22%
23%
17%
21%
19%
19%
15%
22%
20%
22%
14%
18%
21%
20%
21%
20%
21%
25%
22%
24%
11%
13%
11%
10%
16%
11%
21%
8%
21%
15%
17%
16%
20%
12%
15%
7%
17%
23%
19%
19%
10%
24%
14%
43%
9%
43%
20%
28%
30%
40%
22%
16%
13%
20%
0% 20% 40% 60% 80% 100%
Threat — cyber attacks to disrupt or deface the organization
Threat — cyber attacks to steal financial information (credit card numbers,…
Threat — cyber attacks to steal intellectual property or data
Threat — espionage (e.g., by competitors)
Threat — fraud
Threat — internal attacks (e.g., by disgruntled employees)
Threat — malware (e.g., viruses, worms and Trojan horses
Threat — natural disasters (storms, flooding, etc.)
Threat — phishing
Threat — spam
Threat — zero-day attacks
Vulnerability — outdated information security controls or architecture
Vulnerability — careless or unaware employees
Vulnerability — related to cloud computing use
Vulnerability — vulnerabilities related to mobile computing use
Vulnerability — related to social media use
Vulnerability — unauthorized access (e.g., due to location
Least Low Moderate High Most
Amenazas y vulnerabilidades que han incrementado la exposición al riesgo en los 12 últimos meses. Encuesta GISS
27. telegram.me/giseg 27
1 / Definiciones
Threat Intelligence
Desde qué es hasta cómo lo hago
• Inteligencia
• Tipos de amenazas
• Actores
• Madurez
28. telegram.me/giseg 28
Motivaciones ¿Quién, porqué, que?
Más bajo Más sofisticado
Atacantes
oportunistas, por
hobby
Hacktivistas,
grupos tipo
Anonymous
Criminales
organizados
Amenazas
persistentes
avanzadas
Estados
Curiosidad,
malicia
Disrupción,
humillación,
política
Beneficio
económico a
través de fraude,
extorsión
Robo de
propiedad
intelectual,
beneficio
económico a
través de
espionaje
Disrupción de
infraestructuras
críticas
Hacking
ocasional,
defacement
Denegaciones de
servicio, brechas
de seguridad
Malware,
troyanos,
ransomware
Malware dirigido,
espionaje
corporativo
Espionaje
diplomático,
ciber sabotaje
Quién
Porqué
Que
Como
Amenazas que la mayoría de empresas reconoce necesitar
prevenir, detectar y reaccionar
Necesidad de detectar y reaccionar
29. telegram.me/giseg
29
Kill chain: La cadena de la muerte
Reconocimiento
Proactivo(Protecciónydetección)Reactivo(RespuestayRecuperación)
Preparación
Entrega
C&C
Objetivos de la acción
Instalación
Explotación
30. telegram.me/giseg 30
Pirámide del dolor (afectación)
TTPs
Herramientas
Artefactos de red
Y Host
Nombres de dominio
Direcciones IP
Valores Hash
Molesto
Inocente
Superficial
Sin afectación
Desafiante
Malvado
Relación entre los tipos de indicadores que se puede usar para detectar las actividades de un adversario y
cuánta afectación le causará, cuando sea posible negarles esos indicadores.
31. telegram.me/giseg
Ejemplos TTPs
31
Conexión Proxy: usar otras víctimas como proxies para retransmitir el tráfico de comando, por
ejemplo, utilizando un servidor de correo electrónico militar georgiano comprometido como un
punto de salto para las víctimas de la OTAN. El grupo también ha utilizado una herramienta que
actúa como proxy para permitir C2 incluso si la víctima está detrás de un enrutador.
Protocolo de capa de aplicación estándar: utilizar SMTP como un canal de comunicación en varios
implantes, inicialmente utilizando cuentas de Google Mail auto-registradas y luego comprometer
servidores de correo electrónico de las víctimas. Los implantes posteriores como CHOPSTICK usan
una combinación de HTTP y otros canales legítimos, según la configuración del módulo.
Copia remota de archivos: después de que los dispositivos de seguridad bloquearan una versión del
implante ADVSTORESHELL, los actores compilan y entregan otra puerta trasera ADVSTORESHELL x64.
También se usa un descargador de primera etapa para contactar al servidor C2 para obtener el
implante de segunda etapa.
Rundll32: ejecutar CHOPSTICK utilizando comandos rundll32 como rundll32.exe "C: Windows
twain_64.dll" . También ejecutar una .dll para un cuentagotas de primera etapa usando rundll32.exe.
Técnicas usadas
35. telegram.me/giseg 35
APT: Grupos y Operaciones
https://cse.google.com/cse/publicurl?cx=003248445720253387346:turlh5vi4xc
http://bit.ly/2BChFpm
36. telegram.me/giseg 36
1 / Definiciones
Threat Intelligence
Desde qué es hasta cómo lo hago
• Inteligencia
• Tipos de amenazas
• Actores
• Madurez
37. telegram.me/giseg 37
Modelo de madurez de un programa CTI
Optimizar
Definido
Desarrollando
Inicial
Identificación de requisitos
Recopilación de
datos
Intercambio de
información
Análisis
de los datos
Informando las
decisiones
empresariales
Refinar los procesos
Defensa activa
Administrado
38. telegram.me/giseg 38
https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/MWR_Threat_Intelligence_whitepaper-2015.pdf#page=31
Some awareness of threats, focusing on one or
several of the more commonly discussed actors.
No tracking of motivations or development of threats
Deeper insight into trends of traditional cyber threats;
consideration of – and some understanding of – less commonly
discussed threats
Some analysis of sources and verification of
content of overview articles. Some attempt made to
map to general businesses
Robust analysis of sources, leading to insight, particularly
where a threat Isn’t discussed in the open press: i.e. surpassing
publically available reviews
Threat intelligence considered but generally disregarded
Threat intelligence generally used in the implementation
of decision, such as increased security budget to
mitigate risk.
Attempts made to find an activity or event correlated to
attack types
Activity-related attacks regularly predicted, but
no coordinated response
Key staff identified, who will be alerted to an incoming incident
A rehearsal has been conducted for an incoming
incident, involving all relevant staff
Report prepared, identifying how many alerts were
produced by operational threat intelligence and
whether they were plausible
Formal process defined for evaluating the success and
failure of individual cases
StrategicOperational
Awareness of
threats
Analysis
Evaluation
Activity
attacks
Communication
with staff
Evaluation
Madurez
39. telegram.me/giseg 39
https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/MWR_Threat_Intelligence_whitepaper-2015.pdf#page=31
Awareness of the most common Remote Access Tools
(RATs) used, such as name and capabilities
In-house analysis of RATs used to complement and
expand third-party knowledge; focus given to RATs used by
groups that are expected to target the company
Understanding of the fact that different attack
groups favour different methodologies. Specific
examples of methodologies canbe provided
Detailed knowledge base maintained, including cross
references between reports, possibly including interna
l reports
Key issues exploited by attackers triaged by likelihood and impact
Timeline prepared for mitigating most significant or
likely issues exploited by attackers. Monitoring put in
place for exploitation of key issues that cannot be
addressed
Indicators stored in a central
repository that might be ad-hoc
(e.g. an Excel spreadsheet)
Indicators curated and higher-
value indicators prioritized; output
machine-generated for consumption
by detection or investigation tools
Indicators are manually actioned
by a staff member, e.g. by logging
onto hosts to check for registry
paths or looking at firewall logs
Automatic searching for host-
based indicators across the
whole estate, probably utilizing
third-party software
Monthly report prepared of how
many alerts were a result of
indicators from specific sources
Monthly report identifies whether
verified alerts were generated as a
result of an indicator that was also
detected by other mechanisms.
TacticalTechnical
Awareness of
RATs
Knowledge of
Modus
Operandi
Application of
Modus
Operandi
Analysis of
indicators
Application of
indicators
Evaluation of
indicators
Madurez
Si,elinglesesmuyimportante.
Mejóralocadadía.
40. telegram.me/giseg 40
Madurez de las organizaciones en TI
28%
29%
25%
12%
6%
0% 10% 20% 30% 40%
Muy bajo — No tenemos un programa de inteligencia de amenazas.
Muy alto — Contamos con una función avanzada de inteligencia de amenazas con
feeds internos y externos, analistas de inteligencia dedicados y asesores externos que
evalúan la información en busca de credibilidad, relevancia y exposición frente a los
actores amenazantes.
Alto — Contamos con un equipo de inteligencia de amenazas que recopila información
sobre amenazas y vulnerabilidades internas y externas para analizar la credibilidad y la
relevancia en nuestro entorno.
Moderado — Tenemos un programa formal de inteligencia contra amenazas que
incluye feeds de amenaza de suscripción de proveedores externos y fuentes internas,
como un incidente de seguridad y una herramienta de gestión de eventos.
Bajo — Contamos con un programa informal de inteligencia contra amenazas que
incorpora información de terceros confiables y listas de distribución de correo
electrónico.
Como los centros de operaciones de seguridad se mantienen informados de las ultimas amenazas. Encuesta GISS.
41. telegram.me/giseg 41
2 /
Threat Intelligence
Desde qué es hasta cómo lo hago
Colección, uso y compartición
de información
• Fuentes
• Formatos
• Plataformas
42. telegram.me/giseg 42
2 /
Threat Intelligence
Desde qué es hasta cómo lo hago
Colección, uso y compartición
de información
• Fuentes
• Formatos
• Plataformas
43. telegram.me/giseg 43
Profundidad en la obtención de información
para generar inteligencia
Conceptualmente, podríamos distinguir tres niveles de la web, cada uno representando diferentes características:
Surface web
Deep web
Dark web
• Indexado por los motores de búsqueda clásicos.
• En su mayoría de acceso abierto, pero a veces detrás de las pago por
descarga.
• El contenido es accesible desde la fuente durante mucho tiempo.
• Basado en las BD y por lo tanto, en su mayoría no indexados por motores
de búsqueda típicos.
• A menudo necesario inicios de sesión, pero accesible a cualquier persona
que se registre. Algunas veces solo por invitación.
• No indexado por los motores de búsqueda típicos.
• Redes no comunes: TOR, Freenet, I2P, etc.
• Acceso frecuente solo por invitación.
• Volátil: contenido que a veces solo permanece disponible durante
unos minutos / horas.
52. telegram.me/giseg 52
2 /
Threat Intelligence
Desde qué es hasta cómo lo hago
Colección, uso y compartición
de información
• Fuentes
• Formatos
• Plataformas
53. telegram.me/giseg 53
Formatos
• Collective Intelligence Framework (CIF)
• Cyber Observable eXpression (CybOX)
• Incident Object Description and Exchange Format (IODEF)
• Open Indicators of Compromise (OpenIOC)
• Open Threat Exchange (OTX)
• Structured Threat Information Expression (STIX)
• Trusted Automated eXchange of Indicator Information (TAXII)
• Vocabulary for Event Recording and Incident Sharing (VERIS)
54. telegram.me/giseg 54
Structured Threat Information Expression
https://oasis-open.github.io/cti-documentation/stix/intro
STIX™ es un formato de lenguaje y serialización utilizado para intercambiar
inteligencia de amenazas cibernéticas (CTI).
Permite a las organizaciones compartir CTI entre sí de forma coherente y legible por
máquinas, lo que facilita a las comunidades de seguridad comprender mejor qué
ataques informáticos tienen más probabilidades de ver y anticipar y / o responder a
esos ataques de manera más rápida y efectiva.
STIX está diseñado para mejorar muchas capacidades diferentes, como el análisis de
amenazas colaborativas, el intercambio automatizado de amenazas, la detección y
respuesta automáticas, y más.
55. telegram.me/giseg 55
Como lo representamos
Atómico (IP)
Error en software
TTP Comportamiento Respuesta al ataque Organizaciones o grupos Patrón de detección (IoC)
Grupo de recursos
Software legitimo
Intenciones maliciosasCódigo malicioso Informes
57. telegram.me/giseg 57
Trusted Automated Exchange of
Intelligence Information
https://oasis-open.github.io/cti-documentation/taxii/intro
TAXII ™ es un protocolo de capa de aplicación para la comunicación de información de
amenazas cibernéticas de una manera simple y escalable.
TAXII es un protocolo utilizado para intercambiar inteligencia de amenaza cibernética
(CTI) sobre HTTPS. Permite a las organizaciones compartir CTI definiendo una API que se
alinee con los modelos comunes de intercambio.
TAXII está específicamente diseñado para admitir el intercambio de CTI representado en
STIX.
58. telegram.me/giseg 58
TAXII
Una Colección es una interfaz para un repositorio de objetos CTI proporcionado por
un servidor TAXII que permite a un productor alojar un conjunto de datos CTI que
pueden ser solicitados por los consumidores: los clientes y servidores TAXII
intercambian información en un modelo de solicitud y respuesta.
Colección
Canal
Mantenido por un servidor TAXII, un canal permite a los productores enviar datos a
muchos consumidores y a los consumidores para recibir datos de muchos
productores: los clientes de TAXII intercambian información con otros clientes de
TAXII en un modelo de suscripción de publicación.
59. telegram.me/giseg 59
2 /
Threat Intelligence
Desde qué es hasta cómo lo hago
Colección, uso y compartición
de información
• Fuentes
• Formatos
• Plataformas
60. telegram.me/giseg
Externa
Interna
60
Correlación de información para detección de amenazas
Equipo
Cyber Threat Intelligence
Ataque / equipos de
penetración
Terceras partes
confiables
►CrowdStrike
►Cyveillance
►Kaspersky
►Surbl
►VirusTotal
►iSIGHT Partners
►National Vulnerability Database
►Abuse.ch
►Malware Domain List
►Tor
Inteligencia de
Amenazas
Equipos de
investigaciones forenses
►Blueliv
►Dark web
►Carbon Black
►APWG
Algunosejemplos
61. telegram.me/giseg 61
Ejemplos de Herramientas / Threat Intelligence Platforms
Libre uso / Comerciales
Open Source
Malware Information Sharing Platform (MISP) http://www.misp-project.org/
Open Threat Intelligence https://cymon.io/
Your Everyday Threat Intelligence (YETI) https://yeti-platform.github.io/
Open Threat Exchange (OTX) https://www.alienvault.com/open-threat-exchange
X-Force https://www.ibm.com/security/xforce
IntelMQ https://github.com/certtools/intelmq
71. telegram.me/giseg 72
Compartición de información de amenazas
29%
36%
41%
39%
27%
37%
0% 10% 20% 30% 40% 50%
Como los centros de operaciones de seguridad se mantienen informados de las ultimas amenazas. Encuesta GISS
Nuestro SOC colabora y comparte información con otros SOC públicos.
Nuestro SOC colabora y comparte información con otros SOC en
nuestra industria.
Nuestro SOC tiene analistas lo cuales leen y se suscriben a recursos
open-source.
Nuestro SOC ha pagado su suscripción a fuentes de CTI.
Nuestro SOC tiene individuos dedicados que se centran exclusivamente
en la amenaza.
Ninguna de la anteriores.
76. telegram.me/giseg 77
¿Preguntas?
Hashtag Social Media
#giseg
Grupo de Telegram (Público)
https://telegram.me/giseg
Canal de noticias de Telegram
https://telegram.me/ThreatIntelligence
Continuemos explorando…