Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTELIGENCIA DE AMENAZAS
Nuestra Experiencia
Los equipos de Investigación de Amenazas (Threat Research) e Investigación & Análisis Global (Global Research & Analysis – GReAT)
están ubicados estratégicamente en todo el mundo, proporcionando una profundidad de análisis y comprensión sin precedentes para todo
tipo de amenazas.
Investigación de ataques dirigidos 3
Cycldek
Zebrocy
SixLittleMonkeys
Metel (También conocido
como Microcin)
ProjectSauron DarkTequila Topinambour
CactusPete
StoneDrill
Adwind
Lazarus BlueNoroff
MATA
WannaCry
StrongPity Skygofree SneakyPastes
ExPetr/NotPetya TransparentTribe
Lurk
GCMan ATMitch
Moonlight TwoSail Junk
Ghoul Maze ZooPark DarkUniverse
ShadowPad MontysThree
Poseidon
Dropping
Elephant WildPressure
AppleJeus
PhantomLance
Retos
Reto #1: Amenazas Avanzadas
~ 60% malware-less
• PowerShell
• Windows Management Interface (WMI)
• Netsh
• CertUtil
• Windows Task Manager
• …..
4k-10k 52-80%
alertas/día falsos
promedio positivos
SOC
Kaspersky | Kaspersky for Security Operations Center
La Evolución de un SOC
CACERIA DE
ALERTAMIENTO AMENAZAS
BASADO EN BASADA EN
INCIDENTES INTELIGENCIA
DETECCION DETECCION
BASADA EN BASADA EN
HERRAMIENTAS ANALISTAS
RESPUESTA AUTOMATIZACION
MANUAL Y ORQUESTACIÓN
Estadísticas,
detecciones
Reportes de
Estadísticas de
Diagnóstico de Reporteo Incidentes y KPI
Vulnerabilidades
SOC:
TECNOLOGIAS
SOC: Tecnologías
TI
Gestion de response
Vulnerabilidades Seguridad de
feeds, intel reports EDR
Endpoint
logs detects
assets info
Plataforma
de logs
Inteligencia IOCs SIEM
detects
de logs
Amenazas
various TI automation VM
reports Anti APT
IOCs
Fuentes de
Gestión de Incidentes
automation
SOAR response
Información, Activos
Objetivo
response
Respuesta a response
Incidentes
aggregated info Reporteo y
Visualización
response
Productos y Servicios revisado
Gestión de
Vulnerabilidades
información
de activos
SIEM registros
Fuentes de datos,
(security information and
event management) detecta
activos objetivo
Informes
de GV
Gestión de casos
Informes &
visualización
SIEM: KUMA
Kaspersky Unified Monitoring
and Analysis Platform
KUMA architecture 19
Alerts and response Inventory Enrichment
Response DNS,
Interaction SMTP
actions LDAP
Correlated events
Normalized and
Normalized data
"raw" data
Control center
Web interface
Data collection
(passive/active mode)
Network
Data sources Applications information Workstations
security tools
Productos y Servicios revisado
TI
Gestión de
Kaspersky Data feeds
Vulnerabilidades
información
de activos
SOAR
automatización
Eventos
enviados
2
1
Orígenes de registros Registros sin
3 Fuentes de datos sobre amenazas de
Kaspersky (Kaspersky Threat Data
procesar Eventos de Feeds), fuentes comerciales, fuentes
SIEM detección CyberTrace
de OSINT, fuentes personalizadas
Orígenes de las
fuentes internas
Adición, desduplicación,
normalización, intercambio de datos
Gráfico de investigación
Etiquetado de indicadores
de compromiso
FUENTE DE REPUTACIÓN DE
IP
FUENTES DE DATOS DE
DIRECCIONES URL (maliciosas,
phishing y C&C)
FUENTES DE DIRECCIONES
URL DE RANSOMWARE
Endpoints
FUENTES DE IOC DE APT
SIEM/SOAR/PLATA
Kaspersky
FUENTE DE FORMA DE TI
VULNERABILIDADES Threat Data
FUENTE DE DATOS DE DNS Feeds
PASIVOS (pDNS)
FUENTE DE REGLAS DE
SURICATA
Productos y Servicios revisado
TI
Gestión de
Kaspersky Data feeds
Vulnerabilidades
información
de activos
SOAR
automatización
respuesta
Incident
Response
información Informes &
agregada
visualización
respuesta
Servicios:
Respuesta a Incidentes
29
30
Productos y Servicios revisado
TI
Gestión de respuesta
Kaspersky EDR Kaspersky Endpoint
Kaspersky Data feeds
Vulnerabilidades (Endpoint Detection &
Response) Security
registros detección
información
de activos
Kaspersky SIEM
IOCs (security information and MDR
CyberTrace event management)
SOAR
automatización
respuesta
Incident
Response
información Informes &
agregada
visualización
respuesta
SEGURIDAD
ENDPOINT | MDR
Kaspersky
Endpoint Security for Business The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark
of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved.
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-
user reviews, ratings, and data applied against a documented methodology; they neither
represent the views of, nor constitute an endorsement by, Gartner or its affiliates. *All reviews
and ratings are current as of February 12, 2019.
AD instances
cloud/on-premises
Servidores locales
WAN/LAN
Dispositivos móviles Especialista
Equipos móviles y
locales
Kaspersky | Lorem ipsum dolor sit amet
Managed
Detection and
Response
(MDR)
Cómo funciona 37
TI
Gestión de respuesta
Kaspersky EDR Kaspersky Endpoint
Kaspersky Data feeds
Vulnerabilidades (Endpoint Detection &
Response) Security
registros detección
información
de activos
Kaspersky
varios TI automatización Informes
de GV Anti Targeted
IOCs
Attack
SOAR
automatización
respuesta
Incident
Response
información Informes &
agregada
visualización
respuesta
XDR
Kaspersky XDR – today
43
Kaspersky
Protection at the
Endpoint protection
network level
Kaspersky
Symphony
Kaspersky
Unified Monitoring
and Analysis
Kaspersky
Symphony User training
Threat Intelligence
Integration with third-party
solutions
Productos y Servicios revisado
TI
Gestión de respuesta
Kaspersky EDR Kaspersky Endpoint
Kaspersky Data feeds
Vulnerabilidades (Endpoint Detection &
Response) Security
registros detección
información
de activos
respuesta
Incident
Response
información Informes & Objetos Kaspersky Research
agregada
visualización sospechosos
Sandbox
respuesta
45
Kaspersky
APT Intelligence
Reporting
Kaspersky APT Intelligence Reporting 46
Perfiles de cibercriminales
Asignación a MITRE ATT&CK
Resumen ejecutivo
• Información orientada al nivel C
Y las recomendaciones
Inteligencia y Cacería de Amenazas Forensia Digital Análisis de Malware Inteligencia de Amenazas Diagnóstico de
Seguridad
Forensia Digital 5
Potenciar la “primera
línea de defensa” en la
respuesta a los incidentes
de ciberseguridad
Disminuir el número
de incidentes causados por
los errores de configuración
Desarrollar el pensamiento
crítico de los equipos de TI en
materia de ciberseguridad
Capacitación en línea sobre la concienciación en seguridad
para los especialistas de TI (soporte de TI, servicio de atención
al cliente, etc.)
Ciberseguridad para TI en línea: cuatro módulos, aproximadamente 30 ejercicios prácticos; 52
en la nube o en las instalaciones
SOLUCIONES
ESPECIFICAS
NIVEL
3
ATAQUES
Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky
DIRIGIDOS Threat Cybersecurity Endpoint Detection Anti Targeted Incident Security
Capacidad madura de seguridad Intelligence Training and Response Expert Attack Platform Response Assessment
Kaspersky de TI o equipo SOC
Fraud
Prevention
NIVEL
Kaspersky
Industrial
2 Kaspersky
AMENAZAS Managed
Cybersecurity EVASIVAS Kaspersky Kaspersky Kaspersky Kaspersky Detection and
Sandbox Endpoint Detection Threat Intelligence Security Awareness Response
Seguridad and Response Portal
informática Optimum
Kaspersky
NIVEL
for Security
Operations
Center 1
PANORAMA Kaspersky Kaspersky Kaspersky
Kaspersky Kaspersky Kaspersky Kaspersky
DE Endpoint Security Embedded Hybrid Cloud
Security for Security Security Premium Support
for Business Systems Security Security
AMENAZAS Información
Mail Server for Internet for Storage and Professional
Gateway Services
MÁS AMPLIO Tecnológica