Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Operaciones en el Ciberespacio
• Amenazas
• Inteligencia de Ciber Amenazas (CTI)
• Modelado de Ciber Amenazas
• Requisitos de Inteligencia
• Difusión de Información
Operaciones en el
Ciberespacio
Mando Conjunto del Ciberespacio
Artificial Interconectado
Riesgos y
Accesibilidad
Vulnerabilidades
Mandos Componentes
Operaciones en el Ciberespacio
CISIO CISRO Operaciones de DCO Operaciones OCO
Operaciones de Preparación
Inteligencia, defensivas de
Infraestructura operacional del
Vigilancia y protección de
CIS entorno
Reconocimiento datos y redes
Recopilación de Proyección de
Diseñar, operar,
información en fuerza mediante
mantener las Detección
y a través del el empleo de
redes
ciberespacio capacidades
Procesado y
Resiliencia Análisis de Respuesta Manipulación
información
Reconocimiento
de TTP e
Recuperación Denegación
infraestructura
adversaria
Entendimiento y
Preparación
Concienciación
operacional del
entorno (CPOE)
CUESTIONABLE
THREAT OPORTUNIDAD + MOTIVACIÓN
(despreciable)
POSIBLE
CAPACIDAD + OPORTUNIDAD
(potencial)
ESPERADO
CAPACIDAD + MOTIVACIÓN
(inminente)
Escenarios de Amenazas
El riesgo como motor …
Amenaza
Vulnerab
ilidad
Impacto
Riesgo
Agentes de amenaza
Categorización de ciberamenazas
Estructuradas
No estructuradas
• Bien organizadas
• Individuos o grupos pequeños
• Planeamiento (selección de objetivos + recopilación de
• Poca o ninguna organización
información sobre los objetivos)
• Sin financiación
• Ataques dirigidos
• Fácilmente detectables
• Cuentan con financiación
• Explotación de sistemas empleando
• Pueden recurrir al empleo de insiders
vulnerabilidades documentadas
• Empleo de vulnerabilidades de día cero y cadenas de ataque
• Realizan ataques de oportunidad
complejas o elaboradas
Altamente estructuradas
• Organización extensa, financiación y planeamiento sostenidos
• Objetivos más allá de los datos o sistemas atacados
• Explotación avanzada empleando múltiples vectores de ataque
• Empleo de insiders
• Coordinación con otros grupos
• CYBERWARFARE
Tipos de Ciber Amenazas. Motivación
AMENAZAS
OPORTUNISTAS /
HACTIVISMO CIBERCRIMEN CIBERTERRORISTAS PATROCINADAS INSIDERS
SCRIPT KIDDIES
POR ESTADOS
Política,
Curiosidad,
económica Descontento,
experimentac Ideología,
Beneficio Violencia (información interés
ión, política,
económico ideológica al servicio de económico,
satisfacción activismo
objetivos extorsión
personal
nacionales)
SOFISTICACIÓN, CAPACIDADES
Tipos de Ciber Amenazas
AMENAZAS PATROCINADAS POR ESTADOS
Características
• Actividades relacionadas con inteligencia
• Capacidades técnicas y operativas avanzadas
• Amplios recursos
• Objetivos a largo plazo
Objetivos
• Robo de información
• Modificación de información
• Destrucción de información, servicios o sistemas
Tipos de Ciber Amenazas
CIBERCRIMINALES
Características
• Grupos organizados
• Movidos por el interés económico
• Capacidades heterogéneas
• Mercado negro (MaaS, IaaS, RaaS, Lavado de dinero, etc.)
Objetivos
• Robo o secuestro de información para su venta o extorsión
• Fraude
Tipos de Ciber Amenazas
CIBERTERRORISTAS
Características
• Actividad maliciosa de carácter perturbador
• Individuos o grupos organizados
TTPs más comunes
• Defacements
• Filtraciones de información (doxing)
• Exploit kits
Objetivos
• Propaganda
• Obtención de recursos económicos
• Reclutamiento
• Espionaje (recopilación de información sobre
objetivos)
• Actos violentos contra infraestructuras críticas que
atenten contra la vida de las personas
Tipos de Ciber Amenazas
HACKTIVISTAS
Características
• Individuos no ligados a gobiernos
• Empleo de herramientas públicas
TTPs más comunes
• Defacements
• Doxing
• DDoS
Objetivos
• Propaganda
• Publicidad
• Desprestigio
• Desinformación
Tipos de Ciber Amenazas
OPORTUNISTAS / SCRIPT KIDDIES
Características
• Poco dominio técnico
• Sin capacidad financiera
TTPs más comunes
• Scripts
• Programas
Objetivos
• Experimentación
• Curiosidad
• Inconsciencia
• Iniciación
Tipos de Ciber Amenazas
INSIDERS
Características
• Empleados o ex-empleados descontentos
• Socios con acceso a los sistemas
• Empleados inconscientes / descuidados
• Agentes infiltrados
TTPs más comunes
• Abuso de privilegios
• Exfiltración de datos
Objetivos
• Venganza
• Espionaje
• Dinero
• Inconsciencia / Negligencia
Inteligencia de Ciber Amenazas
Inteligencia de Amenazas (CTI)
¿Qué es?
• Aplicación práctica de los procesos de INTELIGENCIA
sobre el mundo “CIBER”
• Objetivos
• Detección de ataques dirigidos
• Detección de campañas de fraude
• Detección y conocimiento de las “AMENAZAS RELEVANTES” que
operan en o a través del ciberespacio
• Conciencia situacional (Situational Awareness)
• Técnicas empleadas
• Cibervigilancia
• Análisis de intrusiones
• Análisis de información compartida
• Análisis de malware
Inteligencia de Amenazas (CTI)
PROCESO
• Disciplina de la ciberseguridad que intenta que las
Como toda actividad relacionada con la
actividades de seguridad de redes e información sean
INTELIGENCIA, CTI es PROCESO + proactivas
PRODUCTO
• Ciclo de Inteligencia
• PLANIFICACIÓN – DIRECCIÓN
• OBTENCIÓN
• PROCESADO y EXPLOTACIÓN
• ANÁLISIS
• DIFUSIÓN
PRODUCTO
• Producción y Entrega de Información Inteligencia
• Relevante
• Precisa
• Oportuna
• Apoyo a la decisión
• Conocimiento y entendimiento de las amenazas
• Motivaciones
• Capacidades
• Oportunidades
Aplicaciones de la Inteligencia de Amenazas
SOC
Business
IR
Strategy
Cyber Threat
Business
Operations Intelligence Fraud
Team
Information
Security
Equipo de Inteligencia de Amenazas
Threat Modeling
SOC
Intelligence Requirements
Cyber Threat
Business
Operations Intelligence Fraud
Proceso de Modelado de
Amenazas como ayuda a la
priorización de recursos y
actividades de inteligencia
Fase 3
• Elaboración de herramientas y TTP (capacidades)
Requisitos de
Inteligencia • Relacionar amenazas con defensas
• Definición de “gaps” de inteligencia
• Definición de requisitos de
obtención
Threat Modeling (Modelado de Amenazas)
FEEDBACK TOP
DOWN
Tipos de Inteligencia de Amenazas
Evaluación
Amenazas
Objetivo de la Producción de Inteligencia de
Informe Anual
Ciber Amenazas de Amenazas
Informe de Grupo o
Campaña de
Amenaza
Objetivo Información de alto nivel relativa al riesgo cambiante Métodos, herramientas y tácticas del atacante
Informar a responsables / directivos para la toma La dirección Arquitectos y Administradores de sistemas
de decisiones
Relación del riesgo y amenazas con el negocio Objetivo
Larga aplicación
Objetivo
Operacional Técnico Contenido
Corta aplicación
Informar a los gerentes / responsables de IoCs (IP, dominio, URL, claves de registro,
operaciones de negocio y de seguridad hashes, emails, etc.) contextualizados
Análisis de escenarios y amenazas Métodos y herramientas utilizadas por los
Contenido atacantes
Grupos que pueden atacar a la organización
Grupos más activos Detalles de un ataque específico en ejecución Indicadores de un malware específico
TTPs, CVEs Defensores Personal de IR/analistas de malware
MITRE ATT&CK
DIAMOND MODEL
• Descripción
de los
métodos
Técnicas empleados
para
conseguir
los objetivos CÓMO
Conocimiento de tácticas y técnicas
Base de datos libre Subtécnicas
Basado en observaciones reales
Contribución de la comunidad de ciberseguridad
MITRE ATT&CK. Técnicas Matriz
Reconocimiento Credenciales de acceso
Preparación operacional del Entorno Descubrimiento
Business
IR
Strategy
Cyber Threat
Business
Operations Intelligence Fraud
Team
Information
Security
Requisitos de Inteligencia
Necesidades informativas que
nuestro cliente o nuestra
organización necesita resolver y que Amenazas
se plantean en forma de pregunta
Superficie de
Ataque
Fuentes de Inteligencia
Fuentes Fuentes Externas
Internas Análisis de
Actores
Análisis de
Fuentes Públicas
Amenazas
Información sobre
Información sobre la
superficie de ataque
Intrusiones
• Malware Analysis
(OSINT, Social
Media, blogs,
• Digital Forensics
noticias, dark
• Logs
web, etc.)
Fuentes de
Cerradas y/o de
Pago
Plataformas de
“Malware
Analysis”
Requisitos de Inteligencia
Orientado a tomar
Específico /
acción / decisión
Explícito
(Actionable)
Propiedades de
los requisitos
Una cuestión o
Tantos requisitos
tema en cada
como sea
requisito
necesario
(atómicos)
Requisitos de Inteligencia
Requisitos de Requisitos de Producción
Producción • ¿Qué vulnerabilidades están siendo explotadas
• Lo que se debe entregar actualmente y no podemos detectar o no
podemos defendernos contra ellas?
al cliente o solicitante
de información Requisitos de Obtención
• ¿Qué vulnerabilidades están siendo explotadas
Requisitos de actualmente?
• ¿De qué vulnerabilidades se puede defender mi
obtención organización?
• Lo que necesita obtener • ¿Qué vulnerabilidades están siendo explotadas
el analista para elaborar de las que mi organización puede defenderse?
la respuesta (el • ¿Qué vulnerabilidades están siendo
producto) investigadas por los actores de amenaza?
De los requisitos a la obtención
Ejemplo 1 Enlace con otras
organizaciones dentro
del mismo sector
Monitorización de
foros de explotación
de vulnerabilidades
Ejemplo 2
Monitorización de foros
¿Qué
Requisitos vulnerabilidades Posibles online
están siendo
de investigadas por Tareas de Monitorización de
redes sociales
Asignar la
Requisitos de Obtención tarea a un
Posibles Tareas de Obtención equipo
¿Qué Enlace con otras organizaciones
vulnerabilidades dentro del mismo sector
están siendo Enlace con otros miembros de la
comunidad
explotadas Feeds de fuentes abiertas Obtener la
actualmente? Monitorización de foros de información de
explotación de vulnerabilidades
un proveedor
externo
Fuentes de Inteligencia
Categorías
de Fuentes
Ventajas
• Costes
• Contexto
• Prospectiva
Inconvenientes
• Exceso de información
• Fiabilidad
• Accesibilidad
Capacitación / Entrenamiento
Creatividad – Think out-of-the-box
OSINT. Repositorios de Fuentes y Herramientas
https://osintframework.com/
https://ciberpatrulla.com/links/
https://i-intelligence.eu/resources/osint-toolkit
OSINT. Repositorios de Fuentes y Herramientas
Fuente ≠ Herramienta
• Práctica / Retos
• Aprender de la experiencia de otros
• Recursos:
• https://webbreacher.com/
• https://quantika14.com/category/blog/#page-
content
• https://osintcurio.us/
• https://www.brigadaosint.com/
Threat Intelligence Platforms (TIP)
Tipos
• Plataformas de pago
• Plataformas basadas en proyectos de código abierto
• Plataformas SaaS vs. Plataformas on premise
Objetivo
• Almacenar y organizar la información relativa a
inteligencia de amenazas
• Centralizar fuentes y datos (ingesta de información
de diferentes fuentes y formatos)
• Compartir información entre equipos dentro de la
misma organización y entre organizaciones
diferentes
• Automatizar el proceso de investigación (pivotar,
profundizar y comparar datos) y contextualización
de eventos e incidentes
• Permite la integración de datos en dispositivos de
detección
• Proceso de escalado y respuesta a incidentes
Conclusiones