Nombre: Luis Angel Treviño Reyna Matrícula: 1906958

Nombre del curso: Seguridad Informática y Nombre del profesor: Miguel Ángel Gómez
Criptografía Marroquín

Modulo Netacad: 20. Inteligencia Contra Actividad: Resumen del modulo

Amenazas

Fecha: 28/04/2023

Bibliografía (Formato APA)

Modulo 20. Inteligencia Contra Amenazas

Comunidades de Inteligencia de la red

Para proteger eficazmente una red, los profesionales de seguridad deben
mantenerse informados sobre las amenazas y vulnerabilidades a medida que
evolucionan. Hay muchas organizaciones de seguridad que ofrecen servicios de
inteligencia de la red. Proporcionan recursos, talleres y conferencias para
ayudar a los profesionales de seguridad. A menudo, estas organizaciones tienen
la información más reciente sobre amenazas y vulnerabilidades.
En la tabla se mencionan algunas organizaciones importantes de seguridad de
red.

Organización Descripción

Los recursos del Instituto SysAdmin auditoría de seguridad de la

red( SysAdmin Audit Network Security SANS) son en gran medida
gratuitos bajo petición e incluyen:

 El Internet Storm Center - el popular sistema de alerta temprana

de Internet
SANS SysAdmin
 NewsBites, el resumen semanal de artículos de noticias sobre
auditoría de
seguridad informática.
seguridad de la
 @RISK- proporciona un resumen semanal fiable de vectores de
red (SysAdmin
ataque recién descubiertos, nuevas vulnerabilidades activas,
Audit Network
explicaciones detalladas de cómo funcionaron los ataques
Security)
recientes y otros datos valiosos
 Alertas de seguridad Flash
 Sala de lectura - más de 1.200 trabajos de investigación originales
galardonados.
 El SANS también desarrolla cursos de seguridad.
Organización Descripción

La Corporación Mitre mantiene una lista de vulnerabilidades y

Mitre exposiciones comunes (CVE) utilizadas por las organizaciones de
seguridad destacadas.

El Foro de respuesta ante incidentes y equipos de seguridad (FIRST) es

una organización de seguridad que reúne a una variedad de equipos de
respuesta ante incidentes de seguridad informática del gobierno y
FIRST
organizaciones comerciales y educativas para fomentar la colaboración y
la coordinación en la compartición de información, la prevención de
incidentes y la reacción rápida.

Portal de noticias de seguridad que agrega las noticias de última hora

SecurityNewsWire
relacionadas con alertas, ataques y vulnerabilidades.

El Consorcio internacional de certificación de seguridad de los sistemas

informáticos (ISC2) ofrece productos educativos y servicios de carreras
(ISC)2
profesionales neutrales para los proveedores en más de 135 países, a
más de 75 000 profesionales certificados del sector.

El Centro para la Seguridad de Internet (CIS, Center for Internet

Security) es la organización fundamental en la prevención, la protección,
CIS El Centro la respuesta y la recuperación ante amenazas cibernéticas de los
para la Seguridad gobiernos estatales, locales, tribales y territoriales (SLTT, state, local,
de Internet (CIS, tribal, and territorial) de la nación a través de el Centro de análisis e
Center for Internet intercambio de información de varios estados(Multi-State Information
Security Sharing and Analysis Center MS-ISAC). El MS-ISAC ofrece advertencias
y avisos de ciberataques 24/7, identificación de vulnerabilidades, además
de mitigación y respuesta ante incidentes.

Informes sobre Ciberseguridad de Cisco

Algunos recursos para ayudar a los profesionales a estar al tanto de las
amenazas son: El Informe Anual de Ciberseguridad de Cisco y el de Medio Año
de Cisco. Estos informes brindan datos actualizados sobre el estado de
preparación para la seguridad, análisis de expertos sobre las vulnerabilidades
más importantes, los factores detrás de la aparición de ataques mediante
adware y spam, y mucho más.
Los analistas de Ciberseguridad deben suscribirse a estos informes y leerlos
para saber cómo los agentes de amenaza están atacando sus redes, y qué
puede hacerse para mitigar estos ataques.

Blogs y Podcasts de seguridad

Otro método para mantenerse al día sobre las amenazas más nuevas es leer
blogs y escuchar podcasts. Los blogs y podcasts también brindan
asesoramiento, investigación y técnicas de mitigación recomendadas.
Hay varios blogs y podcasts de seguridad disponibles que un analista de
ciberseguridad debería seguir para conocer las últimas amenazas,
vulnerabilidades y ataques.

Cisco Talos
Los servicios de inteligencia de amenazas permiten el intercambio de
información, como vulnerabilidades, indicadores de riesgo (IOC, Indicator of
compromise) y técnicas de mitigación. Esta información no solo se comparte
con el personal, sino también con los sistemas de seguridad. A medida que
surgen las amenazas, los servicios de inteligencia contra amenazas crean y
distribuyen reglas de firewalls e IOC para los dispositivos que se han suscrito al
servicio.
Los productos de Seguridad de Cisco pueden usar la inteligencia contra
amenazas de Talos en tiempo real para brindar soluciones de seguridad rápidas
y efectivas. Cisco Talos también ofrece software, servicios, recursos y datos
gratuitos. Talos mantiene los conjuntos de reglas de detección de incidentes de
seguridad para las herramientas de seguridad de red: Snort.org, ClamAV y
SpamCop.

FireEye
FireEye es otra empresa de seguridad que ofrece servicios para ayudar a las
empresas a proteger sus redes. FireEye utiliza un enfoque triple que combina la
inteligencia de seguridad, la experiencia en seguridad y la tecnología.
Este sistema bloquea ataques de vectores de ataque web y de correo
electrónico, y malware latente que reside en recursos compartidos de archivos.
Puede bloquear malware avanzado que fácilmente supera las defensas
tradicionales basadas en firmas y pone en riesgo la mayoría de las redes
empresariales. Aborda todas las etapas del ciclo de vida de un ataque con un
motor sin firma que usa análisis de ataques con estado para detectar amenazas
zero-day.

Intercambio automático de indicadores

El Departamento de Seguridad Nacional (The U.S. Department of Homeland
Security DHS) de EE. UU. ofrece un servicio gratuito llamado Intercambio
automático de indicadores (Automated Indicator Sharing AIS). AIS permite el
intercambio en tiempo real de los indicadores de ciberamenazas (por ejemplo,
direcciones IP maliciosas, la dirección del remitente de un correo electrónico de
suplantación de identidad, etc.) entre el gobierno federal de EE. UU. y el sector
privado.
Base de datos de Vulnerabilidades y Exposiciones Comunes (Common
Vulnerabilities and Exposures CVE)
El gobierno de los Estados Unidos patrocinó la Corporación MITRE para crear y
mantener un catálogo de amenazas de seguridad conocidas, denominado
Vulnerabilidades y exposiciones comunes (CVE, Common Vulnerabilities and
Exposures). El CVE funciona como un diccionario de nombres comunes (es
decir, identificadores de CVE) de vulnerabilidades de ciberseguridad
públicamente conocidas.
La Corporación MITRE define Identificadores únicos de CVE para
vulnerabilidades de seguridad de la información públicamente conocidas a fin
de facilitar el uso compartido de datos.

Estándares de Comunicación de Inteligencia contra amenazas

Las organizaciones y los profesionales de redes deben compartir información
para aumentar el conocimiento sobre agentes de amenaza y los activos a los
que desean obtener acceso. Numerosos estándares abiertos de uso compartido
de inteligencia han evolucionado para permitir la comunicación en múltiples
plataformas de redes. Estos estándares permiten el intercambio de inteligencia
de ciberamenazas (CTI, Cyber Threat Intelligence) en un formato legible
automatizado, uniforme y que las máquinas puedan leer.
Tres estándares de uso compartido de inteligencia de amenazas son los
siguientes:
 Expresión estructurada de información sobre Amenazas
(Structured Threat Information Expression STIX) - Es un conjunto
de especificaciones para intercambiar información sobre ciberamenazas
entre organizaciones. El estándar CybOX Expresión ciberobservable
(Cyber Observable Expression) se ha incorporado a STIX.
 Intercambio Confiable de Información sobre Indicadores
Automatizados (Trusted Automated Exchange of Indicator
Information TAXII) - Es la especificación correspondiente a un
protocolo de la capa de aplicación que permite la comunicación de CTI
por HTTPS. TAXII está diseñado para admitir STIX.
 CybOX - Este es un conjunto de esquema estandarizado para
especificar, capturar, caracterizar y comunicar eventos y propiedades de
operaciones de red que admite muchas funciones de ciberseguridad.
Estos estándares abiertos proporcionan las especificaciones que colaboran al
intercambio automatizado de información de inteligencia de ciberamenazas en
un formato estandarizado. Busque en Internet para obtener más información
sobre STIX, TAXII y CybOX.
Plataformas de Inteligencia contra amenazas
Una plataforma de inteligencia contra amenazas centraliza la recopilación de
datos sobre amenazas de numerosas fuentes de datos y formatos. Existen tres
tipos principales de datos de inteligencia sobre amenazas. El primero
corresponde a los Indicadores de Compromiso (IOC, Indicators of Compromise)
El segundo corresponde a Herramientas, Técnicas y Procedimientos (TTP, tools,
techniques, and procedures). El tercero corresponde a la información de
reputación sobre destinos o dominios de Internet. El volumen de datos de
inteligencia sobre amenazas puede ser insmenso, por lo que la plataforma de
inteligencia sobre amenazas está diseñada para agregar los datos en un solo
lugar y, lo que es más importante, presentar los datos en un formato
comprensible y utilizable.
Las organizaciones pueden contribuir a la inteligencia contra amenazas
compartiendo sus datos de intrusión a través de Internet, normalmente a través
de la automatización. Muchos servicios de inteligencia contra amenazas utilizan
datos de suscriptores para mejorar sus productos y mantenerse al día con el
panorama de amenazas inmersas en constante cambio.