Inteligencia de Amenazas Cibernéticas

Ing. Virgilio Fredy Tito Chura

ISO 31000 RM, ISO 27001 LI, ISO 22301 LI, COBIT, ITIL, CEH, CASE JAVA, CCNA
fredytito@cetis-group.com | +51-977275552
 Agenda

 Inteligencia de amenazas
 Amenazas cibernéticas
 Desafíos de la ciberseguridad
 ¿Por qué es importante la inteligencia de amenazas?
 Tipos de inteligencia de amenazas
 Fases del ciclo de vida de la inteligencia de amenazas
 Objetivos de inteligencia de amenazas
 Herramientas y personas
2
"Cada batalla se gana antes de que se pelee".
- Sun Tzu

¿Qué has oído sobre la inteligencia de

amenazas?

3
 Inteligencia de amenazas

El enfoque consiste en la detección temprana y la

prevención de amenazas cibernéticas
Las amenazas cibernéticas son intentos de interrumpir o
infiltrarse en un sistema o red de computadoras.

Provienen de diversas fuentes, y cualquier sitio Web o computadora

puede ser un posible objetivo.

También pueden estar destinadas a personas o empresas en un intento

de obtener información confidencial a través de la Internet o de canales
de comunicación móvil.
Amenazas cibernéticas

Hackeo de tarjetas de
crédito
Las plataformas que registran
tarjetas de crédito al pagar servicios
seguirán siendo un blanco fácil para
robar información y dinero del
consumidor

Smartphones con spyware

Venta de móviles con virus espias
preinstaladas que roban los datos
personales de las victimas
Amenazas cibernéticas

Spyware inteligente
Los programas que se crearon para
atacar gobiernos o grandes
compañías pueden ganar
popularidad, además de la aparición
de nuevos virus

Extorsión web
La mayoría de aplicaciones web no
tienen medidas de seguridad
específicas
Amenazas cibernéticas

Comercio ilegal en deep

web
Incremento del uso de la web
profunda, donde se comercializan
desde personas, drogas y armas,
hasta servicios de hackeo

Pornografía infantil en la
red
Los números de crímenes
relacionados con este delito
aumentan drásticamente
Amenazas cibernéticas

Aumento de adware
Son los anuncios que aparecen al
revisar una página. Aunque no son
una amenaza grave, resultan
molestos y modifican la
configuración del navegador

Troyanos bancarios
Evolucionan y su nuevo enfoque se
centra en el robo a bancos. No sólo
roban dinero, también información
confidencial
Amenazas cibernéticas

Vulnerabilidad en
sistemas android
Por ser masivo, este sistema
operativo es uno de los blancos mas
buscados por los hackers

Malware de IoT
Borrar el firmware e instalar exploits
para ataques DDoS
 Inteligencia de amenazas

 La inteligencia de amenazas es el conocimiento que le permite prevenir o mitigar esos

ataques.
 Enraizada en los datos, la inteligencia de amenazas proporciona un contexto, como
quién lo está atacando, cuáles son sus motivaciones y capacidades, y qué
indicadores de compromiso deben buscar en sus sistemas, que lo ayuda a tomar
decisiones informadas sobre su seguridad.
Desafíos de la ciberseguridad
 Actores de amenazas cada vez más persistentes y tortuosos ,
 Avalancha diaria de datos llenos de información extraña y falsas
alarmas en múltiples sistemas de seguridad desconectados
 Grave escasez de profesionales calificados.

 Las mejores soluciones utilizan el aprendizaje automático para

automatizar:

 La recopilación y el procesamiento de datos

 Integrarse con sus soluciones existentes
 Asimilar datos no estructurados de fuentes dispares y
 Conectar los puntos proporcionando contexto sobre los indicadores
de compromiso (IoC) y las tácticas, técnicas y
procedimientos (TTP) de los actores de amenazas.
 La inteligencia sobre amenazas es accionable, es oportuna, proporciona
contexto y las personas a cargo de la toma de decisiones pueden entenderla.
¿Por qué es importante la
inteligencia de amenazas?
Tipos de inteligencia de
amenazas

13
Fases del ciclo de vida de la
inteligencia de amenazas

14
Fases del ciclo de vida de la inteligencia de amenazas

15
 Dirección
Se establece objetivos para el programa de inteligencia de
amenazas. Esto implica comprender y articular:

 Los activos de información y los procesos comerciales

que deben protegerse.
 Los posibles impactos de perder esos activos o interrumpir
esos procesos
 Los tipos de inteligencia de amenazas que requiere la
organización de seguridad para proteger los activos y responder a
las amenazas.
 Prioridades sobre qué proteger

16
 Colección
La recopilación de información
puede ocurrir orgánicamente a través de una
variedad de medios, que incluyen:

 Extraer metadatos y registros de

redes internas y dispositivos de seguridad
 Suscribirse a fuentes de datos de
amenazas de organizaciones de la
industria y proveedores de ciberseguridad
 Mantener conversaciones y
entrevistas específicas con fuentes
informadas.
 Escaneo de noticias y blogs de
código abierto
 Revisando sitios web y foros
 Infiltración de fuentes cerradas como 17
foros web oscuros
 Tratamiento
 El procesamiento es la transformación de la información
recopilada en un formato utilizable por la organización.
 Casi todos los datos en bruto recopilados deben ser procesados ​de
alguna manera, ya sea por humanos o máquinas.
 Los diferentes métodos de recolección a menudo requieren
diferentes medios de procesamiento.
 Los informes humanos pueden necesitar correlacionarse y
clasificarse, desconfigurarse y verificarse.

18
 Análisis
Es un proceso humano que convierte la información procesada
en inteligencia que puede informar las decisiones.

Dependiendo de las circunstancias, las decisiones pueden involucrar si

investigar una amenaza potencial, qué acciones tomar
inmediatamente para bloquear un ataque, cómo fortalecer
los controles de seguridad o cuánta inversión en recursos
de seguridad adicionales está justificada.

La forma en que se presenta la información es especialmente

importante. Es inútil y derrochador recopilar y procesar
información y luego entregarla en una forma que el tomador
de decisiones no pueda entender y usar. Por ejemplo, si desea
comunicarse con líderes no técnicos, su informe debe:

19
 Diseminación
La difusión implica llevar la información de inteligencia terminada
a los lugares donde necesita ir.
La mayoría de las organizaciones de ciberseguridad tienen al menos seis
equipos que pueden beneficiarse de la inteligencia de amenazas.

Para cada una de estas audiencias, debe preguntar:

 ¿Qué inteligencia sobre amenazas necesitan y cómo puede

la información externa respaldar sus actividades?
 ¿Cómo debe presentarse la inteligencia para que sea fácilmente
comprensible y procesable para ese público?
 ¿Con qué frecuencia debemos proporcionar actualizaciones y
otra información?
 ¿A través de qué medios se debe difundir la inteligencia?
 ¿Cómo deberíamos hacer un seguimiento si tienen preguntas?
20
 Realimentación
Creemos que es de vital importancia comprender sus prioridades
generales de inteligencia y los requisitos de los equipos de
seguridad que consumirán la inteligencia de amenazas. Sus
necesidades guían todas las fases del ciclo de vida de la inteligencia y le
dicen:

 Qué tipos de datos recopilar

 Cómo procesar y enriquecer los datos para convertirlos en información
útil
 Cómo analizar la información y presentarla como inteligencia
procesable
 A quién se debe diseminar cada tipo de inteligencia, qué tan rápido se
necesita diseminar y qué tan rápido responder a las preguntas

21
Objetivos de inteligencia de
amenazas

22
Objetivos

Operaciones de seguridad
• Incidentes de exposición de datos
• Familias de malware de alto riesgo
• Riesgo de reputación

Gestión de vulnerabilidades
• Kits de explotación
• Vulnerabilidades de alto riesgo
• Vulnerabilidades no reveladas

Análisis de riesgo
• Competencia de seguridad de terceros
• Terceros con riesgo elevado
• Investigación competitiva

Respuesta al incidente
• Incidentes de exposición de datos

23
Objetivos
Liderazgo de seguridad
• Riesgo elevado con terceros
• Planificación de ataque
• Tendencias de ataque de la industria
• Riesgo de infraestructura
• Tendencia de la campaña de phishing y spam
• Riesgo de reputación
• Investigación de campaña dirigida
• Amenaza dirigida a la investigación de actores

Prevención del fraude

• Descubrimiento de activos robados

24
Herramientas y personas

25
Herramientas

Las herramientas son esenciales para automatizar los pasos de

recopilación, procesamiento y difusión en el ciclo de vida
de la inteligencia y para respaldar y acelerar el análisis. Sin las
herramientas adecuadas, los analistas dedicarán todo su tiempo a los
aspectos mecánicos de estas tareas y nunca tendrán tiempo para un análisis
real.

Los grupos de inteligencia de amenazas más maduros aprovechan dos

tipos de herramientas:
 Soluciones de inteligencia de amenazas diseñadas para recopilar,
procesar y analizar todo tipo de datos de amenazas de
fuentes internas, técnicas y humanas.
 Herramientas de seguridad existentes, como SIEM y herramientas
de análisis de seguridad, que recopilan y correlacionan eventos
de seguridad y datos de registro
26
Herramientas

• OpenIOC: estándar publicado bajo licencia Apache 2, que permite

describer las características técnicas que identifican una amenaza.
• Oasis Cyber Threat Intelligence: esta iniciativa está respaldada por
algunos de los principales fabricantes de soluciones de seguridad del
mercado. Compuesta por tres subcomités:
• STIX: Structured Threat Information Expression
• TAXII: Trusted Automated Exchange of indicator Information
• CybOX: Cyber Observable Expressión
• Maec (Malware attribute Enumeration and Charecterization):
Enumeración y caracterización de atributos de software malintencionado
• IODEF (Incident Description Exchange Format) RFC 5070
• bases de datos de IOCs como IOC BUCKET, Citizen Lab Malware
Indicator, Openioc DB 27
 Personas
• Los analistas humanos son igualmente importantes.
• No puede confiar en las herramientas para entrevistar a expertos en
seguridad y explorar foros web cerrados y oscuros, y necesita personas que
analicen y sinteticen inteligencia para las personas de la
organización y administración de seguridad que la consumirán.
• Si bien alguien necesita tener una visión de toda la organización de la
tomar decisiones sobre
función de inteligencia de amenazas,
recursos y prioridades y realizar un seguimiento del
progreso.
• Podría tener un grupo central con analistas de inteligencia de amenazas
organizaciones de
dedicados, o un pequeño grupo dentro de las
respuesta a incidentes (IR) o centro de operaciones de
seguridad (SOC).

28
Caso de uso: alertas correlacionadas y
enriquecedoras.

29
www.cetis-group.com
30