¿Qué es la inteligencia de amenazas?

La inteligencia de amenazas es el conocimiento basado en la evidencia sobre una amenaza o peligro existente o emergente para los activos que se puede utilizar para informar las decisiones sobre la respuesta del sujeto a esa amenaza o peligro.

Introducción a la inteligencia de amenazas

La inteligencia de amenazas cibernéticas es un subconjunto de inteligencia centrado en la seguridad de la información. Esta información seleccionada tiene como objetivo ayudarlo a tomar mejores decisiones sobre cómo defenderse a sí mismo y a su empresa de las amenazas cibernéticas. Algunas de las preguntas que la inteligencia sobre amenazas puede responder son:

¿Quiénes son mis adversarios y cómo podrían atacarme?

¿Cómo afectan los vectores de ataque a la seguridad de mi empresa?

¿Qué deben tener en cuenta mis equipos de operaciones de seguridad?

¿Cómo puedo reducir el riesgo de un ciberataque contra mi empresa?

«La inteligencia sobre amenazas es un conocimiento basado en la evidencia, que incluye el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento práctico, sobre una amenaza o peligro existente o emergente para los activos, que puede usarse para informar las decisiones sobre la respuesta del sujeto a esa amenaza o peligro».

Definición de inteligencia de amenazas de Gartner

Niveles de inteligencia sobre amenazas

La inteligencia de amenazas cibernéticas generalmente se considera en tres niveles:

Estratégico: responder al «quién» y al «por qué»

Operacional: responder al cómo y al dónde

Táctico: responder al qué

Utilizar cada instancia de inteligencia es importante porque cumplen diferentes funciones. Los analistas que aprovechan los conocimientos acumulados sobre estos tres tipos de inteligencia están en mejores condiciones de determinar qué soluciones de seguridad utilizar, cómo deben aprovecharse y cómo responder de forma proactiva y reactiva a las amenazas.type of intelligence is important because they serve different functions. Analysts leveraging the sum knowledge of these three types of intelligence are better able to determine what security solutions to use, how they should be leveraged, and how to proactively and reactively respond to threats.

Tipo

Lema

Vida media de utilidad

Enfoque

Basado en el análisis de

Tipos de datos de salida

Estratégico

¿Quién?
¿Por qué?

Largo (varios años)

No técnico

Grandes campañas, grupos, intrusiones con múltiples víctimas (e información operativa)

Redacción extensa sobre victimología, metodología interanual, mapeo de intrusiones y campañas en función de conflictos, eventos y presiones geopolíticas

Operacional

¿Cómo? ¿Dónde?

Medio (más de un año)

Mixto

Familias completas de malware, grupos de amenazas, análisis del comportamiento humano (e información táctica)

Redacción abreviada, listas con viñetas, sobre: técnicas de persistencia y comunicación, víctimas, perfiles de grupos, perfiles familiares, descripciones de TTP, factores desencadenantes, patrones y reglas metodológicas

Táctica

¿Qué?

Corto (meses)

Técnico

Eventos de seguridad, muestras individuales de malware, correos electrónicos de suplantación de identidad, infraestructura de atacantes

Indicadores atómicos y legibles por máquinas, como direcciones IP, dominios, IOC, «firmas»

Inteligencia táctica sobre amenazas

La inteligencia táctica sobre amenazas es la forma más básica de inteligencia sobre amenazas. Estos son sus indicadores comunes de compromiso (IOC). La inteligencia táctica se utiliza con frecuencia para detectar amenazas de máquina a máquina y para que el personal de respuesta a incidentes busque artefactos específicos en las redes empresariales.

Uso de la inteligencia táctica sobre amenazas

La inteligencia táctica contra amenazas y los IOC tienen por objeto documentar históricamente los ciberataques y servir como corpus de pruebas (para el cumplimiento, la aplicación de la ley, las investigaciones, con fines legales, etc.) y también como material de referencia para que los analistas interpreten y extraigan el contexto para su uso en operaciones defensivas.

Los IOC se proporcionan a los analistas para que sirvan como ejemplos de una amenaza en particular, como una muestra de malware, una familia de malware, una campaña de intrusión o un actor de amenazas. Los analistas pueden enriquecer las alertas de las soluciones de seguridad con información táctica sobre amenazas para ofrecer más contexto y determinar cuáles son las amenazas por las que vale la pena preocuparse y cuáles se pueden ignorar de forma segura.

Inteligencia táctica de amenazas para APT29

628d4f33bd604203d25dbc6a5bb35b90

2aabd78ef11926d7b562fd0d91e68ad3

3d3363598f87c78826c859077606e514

meek-reflect.appspot.com

portal.sbn.co.th

202,28,21,44

hxxps: //files.counseling [.] org/eFax/incoming/150721/5442.zip

googleService.exe

GoogleUpdate.exe

acrotray.exe

PCI\ VEN_80EE Y DEV_CAF

Inteligencia táctica de amenazas para el sector educativo

d9b7b0eda8bd28e8934c5929834e5006

apoya a @securitygrade [.] org

46,244,4,37

Inteligencia de amenazas operativas

La inteligencia de amenazas operativas proporciona información sobre las metodologías de los actores y expone los riesgos potenciales. Impulsa programas de detección, respuesta a incidentes y caza más significativos. Mientras que la inteligencia táctica sobre amenazas brinda a los analistas un contexto sobre las amenazas que ya se conocen, la inteligencia operativa permite que las investigaciones estén más cerca de descubrir amenazas completamente nuevas.

Este tipo de inteligencia lo utilizan con mayor frecuencia los investigadores forenses y el personal de respuesta a incidentes y, por lo general, incluye los siguientes tipos de elementos:

Herramientas para grupos de amenazas particulares (empresas de servicios públicos, familias de puertas traseras, infraestructura común)

Tácticas, técnicas y procedimientos (TTP) para grupos de amenazas particulares (directorios de almacenamiento provisional, convenciones de nomenclatura de archivos, puertos, protocolos, tipos de archivos favoritos)

TTP emergentes (nuevos métodos de persistencia, exploits, esquemas de suplantación de identidad)

Tenga en cuenta lo siguiente desde la perspectiva de la respuesta a un incidente: si está respondiendo a un evento de intrusión, es posible que se pregunte cómo un actor en particular lleva a cabo la escalada de privilegios, el movimiento lateral o el robo de datos. Si estás buscando actividades malintencionadas no descubiertas, tal vez te interese empezar por buscar el comportamiento de un actor específico. Sea cual sea tu escenario, debes responder a la pregunta «¿Cómo buscas a este actor en tu entorno?»

Uso de la inteligencia de amenazas operativas

La inteligencia de amenazas operativas es el conocimiento que se obtiene al examinar los detalles de los ataques conocidos. Un analista puede hacerse una idea sólida de la metodología de los actores reuniendo indicadores y artefactos tácticos y derivándolos para convertirlos en inteligencia operativa. Esto puede ayudar a lograr una serie de objetivos defensivos, como mejorar los planes de respuesta a los incidentes y las técnicas de mitigación para futuros ataques e incidentes.

Los analistas también pueden implementar y reforzar un programa de descubrimiento proactivo («programa de búsqueda») para identificar archivos y actividades sospechosas que hayan pasado por alto las tecnologías de seguridad tradicionales. A partir de ahí, pueden desarrollar metodologías de detección que no dependan de los IOC, lo que garantiza una cobertura más amplia de las amenazas de manera más oportuna.

Ejemplos de inteligencia operativa sobre amenazas

Ejemplo de inteligencia de amenazas operativas para APT29

Vector de infección preferido: suplantación de identidad con RAR autoextraíble

Familias de malware de primera fase: COZYCAR, SWIFTKICK, TADPOLE

Familias de malware de segunda fase: SEADADDY, MINIDIONIS, SPIKERUSH

Técnicas de persistencia

Tareas programadas para la mayoría de las puertas traseras
WMI mediante instalación manual para puertas traseras que no tienen la persistencia integrada
Sustitución legítima del archivo de notificación de errores de Windows (wermgr.exe)

Uso de TOR para C2

Uso de Google Docs para C2

Uso de Google Cloud Apps para el reenvío C2 (como proxy)

Uso de solicitudes HTTP POST superiores a 443 para C2

Uso de puertas traseras configuradas para los puertos 1, 80, 443, 3389 para C2

Uso de scripts de PowerShell

Uso de Py2Exe para modificar y recompilar puertas traseras con variaciones en los protocolos C2 y la infraestructura C2

Ejemplo de inteligencia operativa sobre amenazas para el sector educativo

Los vectores de ataque más comunes son el spear phising, los abrevaderos y la inyección de SQL

Spear phising a profesores universitarios especializados en la incorporación de nuevas tecnologías en las aulas

Difundir la suplantación de identidad dirigida a los reclutadores y a las personas involucradas en los procesos de contratación

Los ataques más comunes son el spear-phising y la inyección de SQL (SQLi)

Familias de malware comunes: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE

Familias de pentesting más comunes: Meterpreter, PowerShell Empire, Metasploit Framework

Uso de Dropbox para C2

Uso de protocolos HTTPS y TCP personalizados para C2

Uso de los TLD .ru, .su para dominios C2

Uso de yandex.ru y bk.ru para direcciones de correo electrónico

Robo de bases de datos que contienen nombres de estudiantes, credenciales administrativas, información de facturación, números de seguro social y otra información de identificación personal.

Inteligencia estratégica sobre amenazas

La inteligencia estratégica de amenazas ofrece una visión general de cómo las amenazas y los ataques cambian con el tiempo. La inteligencia estratégica de amenazas puede identificar tendencias históricas, motivaciones o atribuciones en cuanto a quién está detrás de un ataque. Conocer el quién y el por qué de tus adversarios también proporciona pistas sobre sus operaciones y tácticas futuras. Esto convierte a la inteligencia estratégica en un punto de partida sólido para decidir qué medidas defensivas serán más eficaces.

La inteligencia estratégica sobre amenazas puede incluir información sobre las siguientes áreas temáticas:

Atribución de intrusiones y filtraciones de datos

Tendencias de los grupos de actores

Tendencias de segmentación para sectores industriales y geografías

Mapeo de los ciberataques a conflictos y acontecimientos geopolíticos (Mar de China Meridional, Primavera Árabe, Rusia-Ucrania)

Estadísticas mundiales sobre infracciones, malware y robo de información

El TTP del atacante principal cambia con el tiempo

Uso de inteligencia estratégica sobre amenazas

La inteligencia estratégica sobre amenazas se basa en un enorme conjunto de conocimientos e incluye opiniones y puntos de vista de expertos que se basan en la agregación de información sobre amenazas operativas y tácticas de ciberataques conocidos. Esta información es particularmente útil para las personas que desempeñan funciones de liderazgo, como los CISO y los líderes ejecutivos, que deben justificar los presupuestos y tomar decisiones de inversión mejor informadas. Algunos usos de la inteligencia estratégica sobre amenazas incluyen:

Informe a sus líderes ejecutivos sobre los actores de amenazas de alto riesgo, los escenarios de riesgo relevantes y la exposición a amenazas en el ámbito tecnológico público y en la clandestinidad criminal.

Realice un análisis de riesgos exhaustivo y una revisión de toda la cadena de suministro de tecnología.

Descubra qué empresas comerciales, proveedores, empresas asociadas y productos tecnológicos tienen más probabilidades de aumentar o reducir el riesgo para su entorno empresarial.

Ejemplos de inteligencia estratégica sobre amenazas

Inteligencia estratégica de amenazas para APT29

APT29 es un actor con sede en Rusia que normalmente se dedica al ciberespionaje con el propósito de robar datos.

Entre las víctimas del APT29 se encuentran muchas organizaciones mundiales del gobierno, la educación, la alta tecnología, las finanzas, las organizaciones sin fines de lucro, las farmacéuticas y la Base Industrial de Defensa.

El APT29 es un grupo sofisticado y adaptable con la capacidad de desarrollar herramientas de ataque personalizadas, una intrincada infraestructura de mando y control y, a diferencia de los comportamientos históricos de los actores patrocinados por el estado ruso, este grupo tiene la audacia de seguir operando mucho después de haber sido detectado.

Históricamente, al APT29 se le ha encomendado la tarea de llevar a cabo operaciones relacionadas con cuestiones de política gubernamental exterior, especialmente aquellas relacionadas con el conflicto entre Rusia y Ucrania. Además, el grupo ha atacado a varias agencias gubernamentales nacionales occidentales, contratistas gubernamentales y de defensa e instituciones académicas.

Inteligencia estratégica sobre amenazas para el sector educativo

La infraestructura de TI educativa tiene una base de usuarios diversa y, por lo tanto, generalmente está compuesta por una miríada de sistemas operativos, tipos de computadoras, software y toneladas de servidores y sitios web a los que se puede acceder públicamente desde Internet. Esto convierte a las universidades y los centros de investigación académica en los principales objetivos de los atacantes, ya que son lugares desde los que robar datos valiosos y también como puntos de partida para futuras operaciones de intrusión.

La industria de la educación seguirá siendo testigo de actividades de ciberespionaje en un futuro próximo. Esperamos que los actores de amenazas de China, Rusia, Irán y otros países lleven a cabo operaciones de espionaje para el robo de datos, la información comercial, la inteligencia económica y la vigilancia de la diáspora.

Se ha observado a varios grupos realizando operaciones de intrusión que han afectado a instituciones académicas, incluidas universidades y centros de investigación:

APT10 también conocido como «MenuPass Group»
APT22 también conocido como «Barista Team»
APT29 también conocido como «The Dukes»

Inteligencia de amenazas y objetivos empresariales

La inteligencia de amenazas siempre tiene un propósito — para informar la toma de decisiones e impulsar la acción. Sin embargo, no es raro que las empresas tengan dificultades para determinar el valor de su equipo, procesos y herramientas de inteligencia de amenazas. La terminología de la inteligencia de amenazas no suele ser compatible con el léxico empresarial, lo que lleva a malentendidos sobre su propósito y valor.

Las empresas pueden ayudar a obtener valor de sus programas de inteligencia al alinearlos con un conjunto genérico de prioridades a nivel macro, como se puede ver a continuación (no lo incluyen todo):

Aumente los ingresos

Menores gastos

Reduzca y mitigue el riesgo

Satisfacción y retención de clientes

Satisfacción y retención de los empleados

Regulación de cumplimiento

Una vez que el equipo de inteligencia de amenazas comprenda los objetivos empresariales, podrá alinear sus operaciones y esfuerzos para respaldar la empresa. No todas las prioridades empresariales se alinearán perfectamente con las capacidades de inteligencia de amenazas, y no pasa nada. Puede desarrollar la granularidad y los matices a medida que desarrolla sus requisitos. Estos son algunos de los objetivos iniciales para cualquier equipo de inteligencia de amenazas:

Reduzca los gastos relacionados con el fraude y la ciberdelincuencia

Colabore con el equipo de fraude para determinar los 3 a 5 tipos principales de fraude y pregunte qué información les ayudaría a detectarlos y prevenirlos en el futuro.

Prevenir la pérdida de datos

¿Qué revela el análisis de los tickets de incidentes sobre la naturaleza y el tipo de datos objeto de las filtraciones de datos anteriores?
¿Qué vulnerabilidades se explotaron y por qué medios?

Proteja la PII

¿Qué sistemas almacenan la PII y cómo se alinean las vulnerabilidades de esos sistemas con los vectores de explotación conocidos?

Reduzca el riesgo empresarial

La TI puede centrarse en reducir el riesgo debido a la pérdida de datos y las amenazas externas mediante la identificación de los actores y la obtención de información sobre las amenazas externas dirigidas a su industria, garantizando que las técnicas y los mecanismos de detección estén implementados y sean capaces de detectar estas amenazas.

Evolución de la inteligencia de amenazas

La inteligencia sobre amenazas seguirá evolucionando y será una función de seguridad clave. La integración de la inteligencia de amenazas táctica, operativa y estratégica proporcionará información valiosa sobre las metodologías de los IOC y de los actores de amenazas. Esto conducirá a entornos más seguros en los que podrá identificar a sus adversarios. Un número creciente de organizaciones del sector público y privado utilizan ahora la inteligencia de ciberamenazas. Una investigación reciente publicada por el Instituto Ponemon reveló que el 80% de las organizaciones lo utilizan y que un porcentaje aún mayor lo considera fundamental.

Las organizaciones que utilizan la inteligencia de ciberamenazas se enfrentan a numerosos desafíos de seguridad. Están detectando amenazas avanzadas y respondiendo a ellas. Previenen las filtraciones de datos y protegen la información confidencial. Están reduciendo los costos de la ciberdelincuencia y el fraude. Y lo que es más importante, están reduciendo el riesgo empresarial general.

Más información sobre la inteligencia de amenazas

Manténgase por delante de sus adversarios con más guías y consejos sobre inteligencia de amenazas de Anomali.

Ver todos los recursos

BLOG

Las principales fuentes de inteligencia sobre ciberamenazas

Aprenda más

BLOG

Mejorando la inteligencia de amenazas y las operaciones de seguridad con las últimas innovaciones de Anomali

Aprenda más

BLOG

Novedades de ThreatStream: fuentes de inteligencia sobre amenazas de Certego

Aprenda más