Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Similar a Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021 (20)
Último
Último (20)
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
- 1. Threat Intelligence Randy varela @Hackingmess
- 2. Red Team Lead @hackingmess Linkedin: https://www.linkedin.com/rvarelac/ @thehackerpub Randy Varela +506 8308-7072 hackingmess@protonmail.com randy.varela@outlook.com
- 3. 3 Agenda • Que es Threat Intel • Conceptos Básicos • Demo de Herramientas Gratuitas. • Preguntas
- 4. 4 Threat Intelligence La inteligencia de amenazas es el análisis de datos utilizando herramientas y técnicas para generar información significativa sobre las amenazas existentes o emergentes dirigidas a la organización que ayuda a mitigar los riesgos. Threat Intelligence ayuda a las organizaciones a tomar decisiones de seguridad más rápidas y mejor fundamentadas y a cambiar su comportamiento de reactivo a proactivo para combatir los ataques.
- 7. 7 Threat Intelligence - Strategic Es menos técnico, principalmente para que los profesionales de seguridad de nivel ejecutivo impulsen una estrategia organizacional de alto nivel basada en los hallazgos de los informes. Idealmente, la inteligencia de amenazas estratégicas proporciona información como vulnerabilidades y riesgos asociados con el panorama de amenazas de la organización con acciones preventivas, actores de amenazas, sus objetivos y la gravedad de los posibles ataques.
- 8. 8 Threat Intelligence - Tactical Consta de detalles más específicos sobre los actores de amenazas TTP y es principalmente para que el equipo de seguridad comprenda los vectores de ataque. La inteligencia les brinda información sobre cómo desarrollar una estrategia de defensa para mitigar esos ataques. El informe incluye las vulnerabilidades en los sistemas de seguridad que los atacantes podrían aprovechar y cómo identificar tales ataques. El hallazgo se utiliza para fortalecer los controles de seguridad / mecanismo de defensa existentes y ayuda a eliminar las vulnerabilidades en la red. Example: https://www.anomali.com/blog/what-is-tactical-threat-intelligence
- 9. 9 Threat Intelligence - Technical Se centra en pistas o pruebas específicas de un ataque y crea una base para analizar dichos ataques. El analista de Threat Intelligence busca el indicador de compromiso (IOC), que incluye direcciones IP notificadas, el contenido de correos electrónicos de phishing, muestras de malware y URL fraudulentas. El tiempo para compartir la inteligencia técnica es muy crítico porque las IOC, como las IP maliciosas o las URL fraudulentas, se vuelven obsoletas en unos pocos días.
- 10. 10 Threat Intelligence - Operational Se centra en el conocimiento sobre los ataques. Brinda información detallada sobre factores como la naturaleza, el motivo, el momento y cómo se lleva a cabo un ataque. Idealmente, la información se recopila de las salas de chat de los piratas informáticos o de su discusión en línea a través de la infiltración, lo que dificulta su obtención.
- 12. 12 Threat Intelligence - APT Una amenaza persistente avanzada es un ataque en el que un usuario no autorizado obtiene acceso a un sistema de red y permanece allí durante mucho tiempo sin ser detectado. Las amenazas persistentes avanzadas son muy amenazadoras para las organizaciones, ya que los atacantes tienen acceso continuo a los datos de la empresa. Las amenazas persistentes avanzadas se llevan a cabo en fases que implican piratear la red, esconderse para acceder a la mayor cantidad de información posible, planificar un ataque, estudiar los sistemas de información de la organización, buscar un acceso fácil a datos confidenciales y exfiltrar esos datos.
- 13. 13 Threat Intelligence - Cyber Kill Chain Cyber kill chain es una serie de pasos que trazan las etapas de un ciberataque desde las primeras etapas de reconocimiento hasta la exfiltración de datos. La cadena de muerte nos ayuda a comprender y combatir el ransomware, las brechas de seguridad y los ataques persistentes avanzados (APT). Cyber kill chain identificó las fases de un ciberataque desde el reconocimiento temprano hasta el objetivo de la exfiltración de datos y se utilizó como herramienta para mejorar la seguridad de una organización.
- 14. 14 Threat Intelligence - Cyber Kill Chain
- 15. 15 Threat Intelligence - IOC Los Indicadores de Compromiso (IOC) son pruebas como URL, direcciones IP, registros del sistema y archivos de malware que se pueden utilizar para detectar futuros intentos de infracción mediante sistemas de detección de intrusos (IDS) y software antivirus. https://github.com/sroberts/awesome-iocs
- 16. 16 Threat Intelligence El programa Cyber Threat Intelligence combina miles de Threat Intelligence Feeds en un solo feed, en lugar de verlos por separado para permitir una caracterización y categorización coherentes de los eventos de ciberamenazas, e identificar tendencias o cambios en las actividades de los ciberdelincuentes. El programa describe consistentemente la actividad de las amenazas cibernéticas de una manera que permite el intercambio de información y el análisis de amenazas de manera eficiente. Ayuda al equipo de inteligencia de amenazas comparando el feed con la telemetría interna y crea alertas. https://blog.eccouncil.org/how-to-build-a-robust-cyber-threat- intelligence-program/
- 18. 18 Threat Intelligence - Lifecycle
- 19. 19 Threat Intelligence - Feeds Los feeds o las fuentes de informacion sobre amenazas son flujos de datos continuos llenos de información sobre amenazas recopilada por inteligencia artificial. Estos feeds brindan información sobre amenazas y tendencias de ciberseguridad en tiempo real, lo que permite a las organizaciones defenderse de manera proactiva contra ataques. Los equipos de seguridad también pueden utilizar esta información para comprender mejor las tácticas, técnicas y procedimientos de los Hacker potenciales y mejorar su postura de seguridad en consecuencia. Existe una multitud de fuentes de inteligencia de amenazas de código abierto, que incluyen las siguientes: ● Intercambio automatizado de indicadores (AIS) de la Agencia de seguridad de infraestructura y ciberseguridad ● InfraGard del FBI ● SANS Internet Storm Center ● Navegación segura de Google La integración de estas fuentes en una plataforma de seguridad también permite aprovechar la inteligencia sobre amenazas y convertirla en información procesable.
- 20. 20 Threat Intelligence - Paid feeds https://www.anomali.com/marketplace/threat-intelligence-feeds
- 21. 21 Threat Intelligence - Open source • Abuse.ch: Es un proyecto de investigación de la Universidad de Ciencias Aplicadas de Berna (BFH). • Alienvault: The World’s First Truly Open Threat Intelligence Community. • MITRE Framework : The one and Only.
- 22. 22 Threat Intelligence - Open source • CISCO TALOS: Threat intelligence from Cisco • Blocklist.de: Uno de las listas negras mas grandes del mundo • CINS Score: Blacklist del army • Proofpoint Emerging threats: Integraciones con IDS
- 23. 23 Threat Intelligence - SandBoxing • Virus Total: La base de datos de malware mas grande del mundo • Joe Sandbox : IoC database • Cuckoo: Open Source Sandbox
- 24. Integrations documentation How Do I Add Any Threat Intelligence From the Internet to Splunk Enterprise Security? | Splunk https://www.splunk.com/en_us/blog/security/how-do-i-add-covid-threat-intelligence-from-the-internet-to-enterprise- security.html https://docs.splunk.com/Documentation/ES/6.6.2/Admin/Downloadthreatfeed Plug-ins https://splunkbase.splunk.com/app/5422/ https://splunkbase.splunk.com/app/4336/ 24
- 25. 25 Questions / Contact +506 8308-7072 hackingmess@protonmail.com randy.varela@outlook.com Linkedin: https://www.linkedin.com/rvare lac/ @thehackerpub
- 26. Threat Intelligence Randy varela @Hackingmess