Operaciones en el Ciberespacio.

Modelado de Amenazas y Ciclo de

Inteligencia
Enrique Castañeda
 ¿QUIÉN SOY?

Mando Conjunto del Ciberespacio - EMAD

• Jefe de Analistas de Ciber Amenazas del MCCE desde 2018

• Analista de Ciber Amenazas del MCCE desde 2015
• Colaborador/Profesor en el CCD CoE (NATO Cooperative Cyber
Defence Centre of Excellence)
• Teniente Coronel del ET ocupando puestos relacionados con la
administración de sistemas, desarrollo de programas y
seguridad de la información entre otros. Además, de haber
participado en Misiones Internacionales y ocupado puestos
operativos en diversas unidades del ET.
• Ing. Téc. en Informática, Máster en Sistemas de Información
para la Defensa, Máster en Ciberseguridad, varias
certificaciones y formaciones relacionadas con Hacking Ético,
Forense Digital, Malware Analysis e Inteligencia de Amenazas
Índice

• Operaciones en el Ciberespacio
• Amenazas
• Inteligencia de Ciber Amenazas (CTI)
• Modelado de Ciber Amenazas
• Requisitos de Inteligencia
• Difusión de Información
Operaciones en el
Ciberespacio
 Mando Conjunto del Ciberespacio

• Planea, dirige, coordina y ejecuta operaciones en el ciberespacio

• Actuar en el ciberespacio para garantizar la libertad de acción de las
fuerzas propias.
• Protección de la Redes y Sistemas responsabilidad del Ministerio de
Defensa y aquellas otras que se le encomienden.
• Contribuir con el resto de ámbitos (Tierra, Mar y Aire) a la conducción de
operaciones.
• Ejerce la representación del Ministerio de Defensa en materia de
ciberdefensa ante organismos nacionales e internacionales
 El Mando Conjunto del Ciberespacio contribuirá
a la consecución de los objetivos de la Estrategia
de Ciberseguridad Nacional mediante la
coordinación de las acciones de las Fuerzas
Armadas en este ámbito.
Directiva de Defensa Nacional 11 Junio de
2020
El ciberespacio es considerado un ámbito de operaciones militares.
Mediante el uso de capacidades en el ciberespacio se pueden crear efectos
que apoyen todo tipo de operaciones tanto en el propio dominio del
ciberespacio como en el resto de dominios físicos
 OTAN. Ciberespacio como Dominio

Gales - 2014 Varsovia – 2016 Bruselas - 2018

• Ciber defensa parte • Ciber ataques reto • Empleo de todas las
de la Defensa para la seguridad de capacidades militares
colectiva la Alianza para ejercer la
• Énfasis en el carácter disuasión oportuna,
defensivo de la defenderse y
Alianza contrarrestar
• Reconocimiento del cualquier
ciberespacio como ciberamenaza
Dominio de • Integración de
Operaciones capacidades
ofensivas nacionales
(SCEPVA)
Características del Dominio

Artificial Interconectado

¿Localización Capas (Física,

geográfica? Lógica,
¿Soberanía? Ciberpersona)

Riesgos y
Accesibilidad
Vulnerabilidades
Mandos Componentes
Operaciones en el Ciberespacio
CISIO CISRO Operaciones de DCO Operaciones OCO
Operaciones de Preparación
Inteligencia, defensivas de
Infraestructura operacional del
Vigilancia y protección de
CIS entorno
Reconocimiento datos y redes

Recopilación de Proyección de
Diseñar, operar,
información en fuerza mediante
mantener las Detección
y a través del el empleo de
redes
ciberespacio capacidades

Procesado y
Resiliencia Análisis de Respuesta Manipulación
información

Reconocimiento
de TTP e
Recuperación Denegación
infraestructura
adversaria

Entendimiento y
Preparación
Concienciación
operacional del
entorno (CPOE)

Apoyo a otras Asegurar la

operaciones en libertad de
el ciberespacio acción
Descripción de Amenazas
 Agentes de la Amenaza
Características básicas de Una entidad que tiene intención de perseguir sus objetivos
las amenazas Una entidad que tiene capacidades para perseguir y conseguir
los objetivos que ha definido

Si el atacante dispone de … … el ataque es …

CUESTIONABLE
THREAT OPORTUNIDAD + MOTIVACIÓN
(despreciable)
POSIBLE
CAPACIDAD + OPORTUNIDAD
(potencial)
ESPERADO
CAPACIDAD + MOTIVACIÓN
(inminente)
Escenarios de Amenazas
El riesgo como motor …

Amenaza
Vulnerab
ilidad

Impacto

Riesgo
Agentes de amenaza
Categorización de ciberamenazas
Estructuradas
No estructuradas
• Bien organizadas
• Individuos o grupos pequeños
• Planeamiento (selección de objetivos + recopilación de
• Poca o ninguna organización
información sobre los objetivos)
• Sin financiación
• Ataques dirigidos
• Fácilmente detectables
• Cuentan con financiación
• Explotación de sistemas empleando
• Pueden recurrir al empleo de insiders
vulnerabilidades documentadas
• Empleo de vulnerabilidades de día cero y cadenas de ataque
• Realizan ataques de oportunidad
complejas o elaboradas

Altamente estructuradas
• Organización extensa, financiación y planeamiento sostenidos
• Objetivos más allá de los datos o sistemas atacados
• Explotación avanzada empleando múltiples vectores de ataque
• Empleo de insiders
• Coordinación con otros grupos
• CYBERWARFARE
 Tipos de Ciber Amenazas. Motivación

AMENAZAS
OPORTUNISTAS /
HACTIVISMO CIBERCRIMEN CIBERTERRORISTAS PATROCINADAS INSIDERS
SCRIPT KIDDIES
POR ESTADOS

Política,
Curiosidad,
económica Descontento,
experimentac Ideología,
Beneficio Violencia (información interés
ión, política,
económico ideológica al servicio de económico,
satisfacción activismo
objetivos extorsión
personal
nacionales)

SOFISTICACIÓN, CAPACIDADES
Tipos de Ciber Amenazas
AMENAZAS PATROCINADAS POR ESTADOS

Características
• Actividades relacionadas con inteligencia
• Capacidades técnicas y operativas avanzadas
• Amplios recursos
• Objetivos a largo plazo

TTPs más comunes

• Ingeniería social
• Exfiltración de información

Objetivos
• Robo de información
• Modificación de información
• Destrucción de información, servicios o sistemas
Tipos de Ciber Amenazas
CIBERCRIMINALES

Características
• Grupos organizados
• Movidos por el interés económico
• Capacidades heterogéneas
• Mercado negro (MaaS, IaaS, RaaS, Lavado de dinero, etc.)

TTPs más comunes

• Ingeniería social
• Malware
• Botnets
• Ransomware
• Exploit kits

Objetivos
• Robo o secuestro de información para su venta o extorsión
• Fraude
Tipos de Ciber Amenazas
CIBERTERRORISTAS
Características
• Actividad maliciosa de carácter perturbador
• Individuos o grupos organizados
TTPs más comunes
• Defacements
• Filtraciones de información (doxing)
• Exploit kits
Objetivos
• Propaganda
• Obtención de recursos económicos
• Reclutamiento
• Espionaje (recopilación de información sobre
objetivos)
• Actos violentos contra infraestructuras críticas que
atenten contra la vida de las personas
Tipos de Ciber Amenazas
HACKTIVISTAS

Características
• Individuos no ligados a gobiernos
• Empleo de herramientas públicas
TTPs más comunes
• Defacements
• Doxing
• DDoS
Objetivos
• Propaganda
• Publicidad
• Desprestigio
• Desinformación
Tipos de Ciber Amenazas
OPORTUNISTAS / SCRIPT KIDDIES

Características
• Poco dominio técnico
• Sin capacidad financiera
TTPs más comunes
• Scripts
• Programas
Objetivos
• Experimentación
• Curiosidad
• Inconsciencia
• Iniciación
Tipos de Ciber Amenazas
INSIDERS

Características
• Empleados o ex-empleados descontentos
• Socios con acceso a los sistemas
• Empleados inconscientes / descuidados
• Agentes infiltrados
TTPs más comunes
• Abuso de privilegios
• Exfiltración de datos
Objetivos
• Venganza
• Espionaje
• Dinero
• Inconsciencia / Negligencia
Inteligencia de Ciber Amenazas
 Inteligencia de Amenazas (CTI)

¿Qué es?
• Aplicación práctica de los procesos de INTELIGENCIA
sobre el mundo “CIBER”
• Objetivos
• Detección de ataques dirigidos
• Detección de campañas de fraude
• Detección y conocimiento de las “AMENAZAS RELEVANTES” que
operan en o a través del ciberespacio
• Conciencia situacional (Situational Awareness)
• Técnicas empleadas
• Cibervigilancia
• Análisis de intrusiones
• Análisis de información compartida
• Análisis de malware
 Inteligencia de Amenazas (CTI)
PROCESO
• Disciplina de la ciberseguridad que intenta que las
Como toda actividad relacionada con la
actividades de seguridad de redes e información sean
INTELIGENCIA, CTI es PROCESO + proactivas
PRODUCTO
• Ciclo de Inteligencia
• PLANIFICACIÓN – DIRECCIÓN
• OBTENCIÓN
• PROCESADO y EXPLOTACIÓN
• ANÁLISIS
• DIFUSIÓN
PRODUCTO
• Producción y Entrega de Información  Inteligencia
• Relevante
• Precisa
• Oportuna
• Apoyo a la decisión
• Conocimiento y entendimiento de las amenazas
• Motivaciones
• Capacidades
• Oportunidades
Aplicaciones de la Inteligencia de Amenazas
SOC

Business
IR
Strategy

Cyber Threat
Business
Operations Intelligence Fraud

Team

Risk Red Team

Management Operations

Information
Security
 Equipo de Inteligencia de Amenazas
Threat Modeling
SOC

Business Activos - Amenazas

IR
Strategy

Intelligence Requirements
Cyber Threat
Business
Operations Intelligence Fraud

Team Necesidades informativas

Risk Red Team Collection Management

Management Operations Framework
Information Entender la fuentes y
Security
datos disponibles
Threat Modeling (Modelado de Amenazas)
Existen FRAMEWORKS para el MODELADO
DE AMENAZAS desde la perspectiva del
Desarrollo de Software y de la Gestión de
Riesgos
• STRIDE
• OCTAVE
• LINDDUN
• PASTA
NETWORK DEFENSE, THREAT ANALYSIS

Requieren de muchos recursos (tiempo y

personal) para el desarrollo de escenarios
y no están totalmente orientados a los
objetivos de la Inteligencia de Amenazas
 Threat Modeling (Modelado de Amenazas)

Proceso de Modelado de
Amenazas como ayuda a la
priorización de recursos y
actividades de inteligencia

Entender que recursos propios

son de interés para las
amenazas y que este Nosotros Adversarios
entendimiento sirva para una
mejor toma de decisiones para
su defensa
 Threat Modeling (Modelado de Amenazas)
Misión
Estructura
Conocer /
Fase 1
Arquitectura técnica
• Identificación
de Activos Describir TU Procesos
organización Activos críticos
Escenarios de desastre

Analizar actividad pasada,

fuentes abiertas, información de
Fase 2
• Identificación
General ->
/ Selección de organismos referencia
Actores Particular
Encuentra motivaciones /
oportunidades
• Priorización de amenazas
• Modelado basado en MW,

Fase 3
• Elaboración de herramientas y TTP (capacidades)
Requisitos de
Inteligencia • Relacionar amenazas con defensas
• Definición de “gaps” de inteligencia
• Definición de requisitos de
obtención
Threat Modeling (Modelado de Amenazas)

FEEDBACK TOP

DOWN
 Tipos de Inteligencia de Amenazas
Evaluación
Amenazas
Objetivo de la Producción de Inteligencia de
Informe Anual
Ciber Amenazas de Amenazas
Informe de Grupo o
Campaña de
Amenaza

PRODUCCIÓN DE INTELIGENCIA Alertas de Fraude o

Campañas de Ataque
ACCIONABLE PARA CADA UNA DE LAS
AUDIENCIAS OBJETIVO
Reglas de Detección

IoC (feeds, A/V, etc.)

 Tipos de Inteligencia de Amenazas

Objetivo Información de alto nivel relativa al riesgo cambiante Métodos, herramientas y tácticas del atacante
Informar a responsables / directivos para la toma La dirección Arquitectos y Administradores de sistemas
de decisiones
Relación del riesgo y amenazas con el negocio Objetivo
Larga aplicación

Contenido Proporcionar contexto sobre alertas a equipos

Capacidades, Motivaciones de monitorización antes de activar IR
Probabilidad de convertirse en víctima Entender comportamientos adversarios para
Posibles impactos al negocio
Estratégico Táctico identificar amenazas que impactan contra la
organización

Objetivo
Operacional Técnico Contenido
Corta aplicación

Informar a los gerentes / responsables de IoCs (IP, dominio, URL, claves de registro,
operaciones de negocio y de seguridad hashes, emails, etc.) contextualizados
Análisis de escenarios y amenazas Métodos y herramientas utilizadas por los
Contenido atacantes
Grupos que pueden atacar a la organización
Grupos más activos Detalles de un ataque específico en ejecución Indicadores de un malware específico
TTPs, CVEs Defensores Personal de IR/analistas de malware

Alto nivel Bajo nivel

Frameworks y Herramientas
para el Modelado de Ciber
Amenazas
Frameworks Análisis de Ciber Amenazas

CYBER KILL CHAIN

MITRE ATT&CK

DIAMOND MODEL

THE COMMON CYBER THREAT FRAMEWORK (US GOVERNMENT)

 Cyber Kill Chain Framework

Desarrollado por Lockheed Martin

Basado en las acciones a desarrollar para un ataque aéreo
Integrable en los modelos de defensa basados en inteligencia
Identifica los pasos a seguir por un adversario para completar sus objetivos

Preparación Intrusión Brecha

Acciones sobre
Reconocimiento Entrega Instalación el Objetivo

Weaponization / Explotación Mando y

Armado Control
 MITRE ATT&CK Proporciona un leguaje común para
estructurar, comparar y analizar inteligencia
de amenazas
• Objetivos
Tácticas del
adversario a QUÉ
corto plazo

• Descripción
de los
métodos
Técnicas empleados
para
conseguir
los objetivos CÓMO
Conocimiento de tácticas y técnicas
Base de datos libre Subtécnicas
Basado en observaciones reales
Contribución de la comunidad de ciberseguridad
 MITRE ATT&CK. Técnicas Matriz
Reconocimiento Credenciales de acceso
Preparación operacional del Entorno Descubrimiento

Acceso inicial Movimiento lateral

Ejecución Recopilación de información

Persistencia Mando y control

Escalada de privilegios Exfiltración

Evasión de defensas Impacto

MITRE ATT&CK
Superposición de Modelos

Esta superposición de modelos

permite hacer recomendaciones
informadas sobre controles y
técnicas de mitigación
CKC & MITRE ATT&CK
 CKC & MITRE ATT&CK

La unión de ambos frameworks se puede

utilizar para entender las capacidades del
adversario relacionadas con una intrusión
determinada
Caso de Uso el análisis de una intrusión a
través de un reporte emitido por un tercero

Enfocado al análisis de una intrusión, a la

extracción de conclusiones y presentación
de casos a alto nivel
 CKC & MITRE ATT&CK

La unión de ambos frameworks se puede

utilizar para entender las capacidades del
adversario relacionadas con una intrusión
determinada
Caso de Uso el análisis de una intrusión a
través de un reporte emitido por un tercero

Enfocado al análisis de una intrusión, a la

extracción de conclusiones y presentación
de casos a alto nivel
 Diamond Model
Eje socio - político

Para cada evento relacionado con una Eje tecnológico

intrusion existe un adversario que está
dando pasos para conseguir un objetivo
mediante el uso de una capacidad, sobre
una infraestructura, contra una víctima para
producer un resultado

Los adversarios buscan comprometer los

sistemas o redes para conseguir sus
objetivos y satisfacer sus necesidades. Para
ello desarrollan y emplean capacidades,
utilizan infraestructura para atacar a sus
víctimas

Las capacidades son las herramientas y

técnicas (arsenal) que emplean para
conseguir los objetivos (tácticos y
operacionales)
 Diamond Model
Eje socio - político

La infraestructura es la capa lógica y física Eje tecnológico

empelada para las comunicaciones, el
despliegue de las capacidades, la actividad
de C2 y las acciones sobre la víctima. La
infraestructura puede ser controlada por el
adversario, por un intermediario o por un
proveedor de servicio

La víctima es el objetivo explotado. Puede

ser una persona, una organización o un
recurso
Diamond Model y CKC
Evento Hipotésis Descripción
/ Real
2 Real El adversario durante el
reconocimiento ha buscado el
contacto de los administradores
de red (AR) de la organización
objetivo
3 Real El adversario envía correos
spearphishing con ficheros
adjuntos troyanizados a los
administradores de red de la
organización objetivo
descubiertos en el Evento 2
4 Real Uno de los AR ha abierto y
ejecutado el fichero malicioso
permitiendo la ejecución del
código
Grupos de Actividad PASOS PARA LA CREACIÓN Y ANÁLISIS DE
GRUPOS DE ACTIVIDAD

1. Plantear el problema a resolver

mediante el agrupamiento de eventos
2. Selección de las características para
realizar el agrupamiento y clasificación
de los eventos
3. Creación de los grupos de actividad
desde los conjuntos de eventos y
cadenas de intrusión analizadas
4. Utilizar este modelo para la clasificación
de nuevos eventos que se incluyan en el
modelo
5. Análisis de los grupos de actividad para
la extracción de conclusiones
(atribución, identificación de patrones
de ataque, relaciones entre campañas,
enumeración de capacidades, etc.)
6. Redefinición del modelo para la
realización de ajustes
Cursos de Acción
The Common Cyber Threat Framework (DHS)
Desarrollo de Requisitos de
Inteligencia
Aplicaciones de la Inteligencia de Amenazas
SOC

Business
IR
Strategy

Cyber Threat
Business
Operations Intelligence Fraud

Team

Risk Red Team

Management Operations

Information
Security
Requisitos de Inteligencia
Necesidades informativas que
nuestro cliente o nuestra
organización necesita resolver y que Amenazas
se plantean en forma de pregunta

Superficie de
Ataque
Fuentes de Inteligencia
Fuentes Fuentes Externas
Internas Análisis de
Actores
Análisis de
Fuentes Públicas

Amenazas
Información sobre
Información sobre la
superficie de ataque

Intrusiones
• Malware Analysis
(OSINT, Social
Media, blogs,
• Digital Forensics
noticias, dark
• Logs
web, etc.)
Fuentes de
Cerradas y/o de
Pago
Plataformas de
“Malware
Analysis”
 Requisitos de Inteligencia

Orientado a tomar
Específico /
acción / decisión
Explícito
(Actionable)
Propiedades de
los requisitos
Una cuestión o
Tantos requisitos
tema en cada
como sea
requisito
necesario
(atómicos)
Requisitos de Inteligencia
Requisitos de Requisitos de Producción
Producción • ¿Qué vulnerabilidades están siendo explotadas
• Lo que se debe entregar actualmente y no podemos detectar o no
podemos defendernos contra ellas?
al cliente o solicitante
de información Requisitos de Obtención
• ¿Qué vulnerabilidades están siendo explotadas
Requisitos de actualmente?
• ¿De qué vulnerabilidades se puede defender mi
obtención organización?
• Lo que necesita obtener • ¿Qué vulnerabilidades están siendo explotadas
el analista para elaborar de las que mi organización puede defenderse?
la respuesta (el • ¿Qué vulnerabilidades están siendo
producto) investigadas por los actores de amenaza?
 De los requisitos a la obtención
Ejemplo 1 Enlace con otras
organizaciones dentro
del mismo sector

Enlace con otros

Requisitos ¿Qué
vulnerabilidades
Posibles miembros de la
comunidad
de están siendo Tareas de
explotadas
Obtención actualmente? Obtención Feeds de fuentes
abiertas

Monitorización de
foros de explotación
de vulnerabilidades
Ejemplo 2

Monitorización de foros
¿Qué
Requisitos vulnerabilidades Posibles online

están siendo
de investigadas por Tareas de Monitorización de
redes sociales

Obtención los actores de

amenaza?
Obtención Monitorización de blogs
 Tareas de Obtención

Asignar la
Requisitos de Obtención tarea a un
Posibles Tareas de Obtención equipo
¿Qué Enlace con otras organizaciones
vulnerabilidades dentro del mismo sector
están siendo Enlace con otros miembros de la
comunidad
explotadas Feeds de fuentes abiertas Obtener la
actualmente? Monitorización de foros de información de
explotación de vulnerabilidades
un proveedor
externo
Fuentes de Inteligencia

Categorías
de Fuentes

HUMINT SIGINT GEOINT OSINT INTERNAS TERCEROS

Fuentes de Inteligencia. Fuentes Abiertas

Ventajas
• Costes
• Contexto
• Prospectiva

Inconvenientes
• Exceso de información
• Fiabilidad
• Accesibilidad

Capacitación / Entrenamiento
Creatividad – Think out-of-the-box
 OSINT. Repositorios de Fuentes y Herramientas
https://osintframework.com/

https://ciberpatrulla.com/links/
https://i-intelligence.eu/resources/osint-toolkit
OSINT. Repositorios de Fuentes y Herramientas

Fuente ≠ Herramienta

Cada ámbito de investigación ¡¡¡ REQUISITOS DE

requiere sus fuentes INTELIGENCIA !!!

Practicar = Mejorar = Entender

 Procedimientos de Trabajo

Creación de flujos de trabajo para tener una visión general del

objetivo a conseguir con el procedimiento que se pretende
aplicar (punto de partida – pasos intermedios – objetivo)

Transformar los procedimientos en checklists para incrementar la

eficacia a la hora de investigar

Creación de flujos de trabajo alternativos

Adaptar los flujos a las capacidades del propio analista

Ejemplo de “workflow” desarrollado por Michael Bazzell

(inteltechniques)
 Aprendiendo a Investigar

• Práctica / Retos
• Aprender de la experiencia de otros
• Recursos:
• https://webbreacher.com/
• https://quantika14.com/category/blog/#page-
content
• https://osintcurio.us/
• https://www.brigadaosint.com/
Threat Intelligence Platforms (TIP)
Tipos
• Plataformas de pago
• Plataformas basadas en proyectos de código abierto
• Plataformas SaaS vs. Plataformas on premise
Objetivo
• Almacenar y organizar la información relativa a
inteligencia de amenazas
• Centralizar fuentes y datos (ingesta de información
de diferentes fuentes y formatos)
• Compartir información entre equipos dentro de la
misma organización y entre organizaciones
diferentes
• Automatizar el proceso de investigación (pivotar,
profundizar y comparar datos) y contextualización
de eventos e incidentes
• Permite la integración de datos en dispositivos de
detección
• Proceso de escalado y respuesta a incidentes
 Conclusiones

• La vertiente de la Amenaza como motor de la actividad de

Inteligencia
• Objetivos del equipo de Inteligencia de Ciber Amenazas
alineados con las necesidades de la organización
• Modelado de Amenazas
• Desarrollo de Requisitos y Necesidades de Inteligencia
• Compartición de Información
 Referencias y Recursos
1) A. Dalmjin, V. Banse, L. Lumiste, J. Teixeira, A. Balci (Eds.), "Cyber Commanders’ Handbook", CCD CoE Publications, 2020
2) https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020
3) https://enterprise.verizon.com/resources/reports/insider-threat-report/
4) https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp2_0.pdf
5) https://www.synopsys.com/glossary/what-is-threat-modeling.html
6) https://study.com/academy/lesson/stride-threat-model-example-overview.html
7) https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/
8) https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html
9) https://redcanary.com/blog/threat-modeling/
10) https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=524448
11) https://www.csa.gov.sg/-/media/Csa/Documents/Legislation_Supplementary_References/Guide-to-Cyber-Threat-
Modelling---Feb-2021.pdf
12) https://www.sophos.com/en-us/labs/security-threat-report.aspx
13) https://media.kasperskycontenthub.com/wp-
content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf
14) https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
15) https://medium.com/mitre-attack/using-att-ck-to-advance-cyber-threat-intelligence-part-1-c5ad14d59724
16) https://medium.com/katies-five-cents/a-cyber-threat-intelligence-self-study-plan-part-1-968b5a8daf9a?s=09
 Referencias y Recursos
13) https://attack.mitre.org/
14) S. Caltagirone, A. Pendergast, and C. Betz, “The Diamond Model of Intrusion Analysis,” Threat Connect, vol. 298, no. 0704,
pp. 1–61, 2013.
15) https://intel471.com/blog/cyber-threat-intelligence-requirements-what-are-they-what-are-they-for-and-how-do-they-fit-in-
the
16) https://www.dni.gov/files/ISE/documents/DocumentLibrary/ITACG_Guide_2ed.pdf
17) https://i-intelligence.eu/resources/osint-toolkit
18) https://webbreacher.com/
19) https://quantika14.com/category/blog/#page-content
20) https://osintcurio.us/
21) https://www.brigadaosint.com/
22) https://github.com/MISP/MISP
23) https://www.circl.lu/doc/misp/misp-objects/
GRACIAS