¿Qué es la inteligencia sobre amenazas?

La inteligencia sobre amenazas es el conocimiento basado en pruebas sobre una amenaza o peligro existente o emergente para los activos que puede utilizarse para fundamentar las decisiones relativas a la respuesta del sujeto a dicha amenaza o peligro.

Introducción a la inteligencia sobre amenazas

La inteligencia sobre ciberamenazas es un subconjunto de la inteligencia centrada en la seguridad de la información. Esta información curada pretende ayudarle a tomar mejores decisiones sobre cómo defenderse a sí mismo y a su empresa de las amenazas cibernéticas. Algunas de las preguntas a las que puede responder la inteligencia sobre amenazas son:

¿Quiénes son mis adversarios y cómo podrían atacarme?
¿Cómo afectan los vectores de ataque a la seguridad de mi empresa?
¿Qué deben vigilar mis equipos de operaciones de seguridad?
¿Cómo puedo reducir el riesgo de un ciberataque contra mi empresa?

"La inteligencia sobre amenazas es el conocimiento basado en pruebas, incluido el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento procesable, sobre una amenaza o peligro existente o emergente para los activos que puede utilizarse para fundamentar las decisiones relativas a la respuesta del sujeto a dicha amenaza o peligro."

Definición de Gartner de inteligencia sobre amenazas

Niveles de información sobre amenazas

La inteligencia sobre ciberamenazas se considera generalmente en tres niveles:

Estrategia: responder al "quién" y al "por qué".
Operativo: Responder al cómo y al dónde
Táctica: Responder al qué

Utilizar cada instancia de inteligencia es importante porque cumplen funciones diferentes. Los analistas que aprovechan la suma de conocimientos de estos tres tipos de inteligencia son más capaces de determinar qué soluciones de seguridad utilizar, cómo deben aprovecharse y cómo responder de forma proactiva y reactiva a las amenazas.

Estratégico
¿Quién?
¿Por qué?
Largo (varios años)
No técnico
Grandes campañas, grupos, intrusiones con múltiples víctimas (e información operativa)
Escritos de larga duración sobre victimología, metodología YoY, cartografía de intrusiones y campañas en conflictos, acontecimientos y presiones geopolíticas.
Operativo
¿Cómo? ¿Dónde?
Media (más de un año)
Mixto
Familias enteras de malware, grupos de amenazas, análisis del comportamiento humano (e información táctica)
Redacción breve, listas con viñetas, sobre: técnicas de persistencia y comunicación, víctimas, perfiles de grupos, perfiles de familias, descripciones de TTP, desencadenantes, patrones y reglas metodológicas.
Táctica
¿Cómo?
Corto (meses)
Técnico
Eventos de seguridad, muestras individuales de malware, correos electrónicos de phishing, infraestructura de atacantes
Indicadores atómicos y legibles por máquina, como IP, dominios, COI, "firmas"...

Información sobre amenazas tácticas

La inteligencia táctica sobre amenazas es la forma más básica de inteligencia sobre amenazas. Se trata de los indicadores comunes de peligro (IOC). La inteligencia táctica se utiliza a menudo para la detección de amenazas de máquina a máquina y para que el personal de respuesta a incidentes busque artefactos específicos en las redes empresariales.

Utilizar la inteligencia táctica sobre amenazas

La inteligencia táctica sobre amenazas y los IOC tienen por objeto documentar históricamente los ciberataques, sirviendo a la vez como corpus de pruebas (para el cumplimiento de la normativa, la aplicación de la ley, investigaciones, fines legales, etc.) y también como material de referencia para que los analistas interpreten y extraigan el contexto para su uso en operaciones defensivas.

Los IOC se proporcionan a los analistas para que sirvan como ejemplos de una amenaza concreta, como una muestra de malware, una familia de malware, una campaña de intrusión o un actor de amenaza. Los analistas pueden enriquecer las alertas de las soluciones de seguridad con inteligencia táctica sobre amenazas para proporcionar más contexto y determinar de qué amenazas merece la pena preocuparse y cuáles pueden ignorarse con seguridad.

Inteligencia sobre amenazas tácticas para APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portal.sbn.es
202.28.231.44
hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI\VEN_80EE&DEV_CAF

Inteligencia táctica sobre amenazas para el sector educativo

d9b7b0eda8bd28e8934c5929834e5006
support@securitygrade[.]org
46.244.4.37

Información sobre amenazas operativas

La inteligencia operativa sobre amenazas proporciona información sobre las metodologías de los actores y expone los riesgos potenciales. Impulsa programas de detección, respuesta a incidentes y caza más significativos. Mientras que la inteligencia táctica sobre amenazas proporciona a los analistas un contexto sobre las amenazas ya conocidas, la inteligencia operativa acerca las investigaciones al descubrimiento de amenazas completamente nuevas.

Este tipo de inteligencia es la que utilizan con más frecuencia los investigadores forenses y los responsables de la respuesta a incidentes, y suele incluir los siguientes tipos de elementos:

Herramientas para grupos de amenazas concretos (utilidades, familias de puertas traseras, infraestructura común)
Tácticas, técnicas y procedimientos (TTP) para determinados grupos de amenazas (directorios de almacenamiento, convenciones de denominación de archivos, puertos, protocolos, tipos de archivos favoritos).
TTPs emergentes (nuevos métodos de persistencia, exploits, esquemas de phishing)

Considere lo siguiente desde una perspectiva de respuesta a incidentes: Si estás respondiendo a un evento de intrusión, puedes preguntarte cómo un actor en particular realiza la escalada de privilegios, el movimiento lateral o el robo de datos. Si está buscando actividad maliciosa no descubierta, puede que quiera empezar su búsqueda buscando el comportamiento de un actor específico. Sea cual sea su escenario, necesita responder a la pregunta "¿Cómo buscar a este actor dentro de su entorno?".

Utilización de la inteligencia operativa sobre amenazas

La inteligencia operativa sobre amenazas es el conocimiento obtenido a partir del examen de los detalles de ataques conocidos. Un analista puede construir una imagen sólida de la metodología de los actores reuniendo indicadores y artefactos tácticos y derivándolos a inteligencia operativa. Esto puede ayudar a lograr una serie de objetivos defensivos, como la mejora de los planes de respuesta a incidentes y las técnicas de mitigación para futuros ataques e incidentes.

Los analistas también pueden implementar y reforzar un programa de descubrimiento proactivo ("programa de caza") para identificar archivos y actividades sospechosas que hayan eludido las tecnologías de seguridad tradicionales. A partir de ahí, pueden desarrollar metodologías de detección que no dependan de los COI, garantizando una cobertura más amplia de las amenazas de forma más oportuna.

Ejemplos de inteligencia operativa sobre amenazas

Ejemplo de inteligencia sobre amenazas operativas para APT29
Vector de infección preferido: spear phishing con RAR autoextraíble.
Familias de malware de primera fase: COZYCAR, SWIFTKICK, RENACUAJO
Familias de malware de segunda fase: SEADADDY, MINIDIONIS, SPIKERUSH
Técnicas de persistencia
  • Tareas programadas para la mayoría de las puertas traseras
  • WMI mediante instalación manual para puertas traseras que no tienen persistencia incorporada
  • Sustitución legítima del archivo de informe de errores de Windows (wermgr.exe)
Utilización de la RPT para C2
Uso de Google Docs para C2
Uso de Google Cloud Apps para el reenvío de C2 (como proxy)
Uso de peticiones HTTP POST sobre 443 para C2
Uso de puertas traseras configuradas para los puertos 1, 80, 443, 3389 para C2
Uso de scripts PowerShell
Uso de Py2Exe para modificar y recompilar backdoors con variación en protocolos C2 e infraestructura C2
Ejemplo de inteligencia operativa sobre amenazas para el sector educativo
Los vectores de ataque más comunes son el spear phishing, el watering hole y la inyección SQL.
Spear phishing a profesores universitarios especializados en incorporar las nuevas tecnologías a las aulas
Spear phishing a reclutadores y personas implicadas en procesos de contratación
Los ataques más comunes son el spear-phishing y la inyección SQL (SQLi).
Familias de malware comunes: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Familias comunes de pentesting: Meterpreter, PowerShell Empire, Metasploit Framework
Uso de Dropbox para C2
Uso de HTTPS y protocolos TCP personalizados para C2
Utilización de los dominios .ru y .su para los dominios C2
Uso de yandex.ru y bk.ru para direcciones de correo electrónico
Robo de bases de datos que contienen nombres de estudiantes, credenciales administrativas, información de facturación, números de la seguridad social y otras PII.

Inteligencia sobre amenazas estratégicas

La inteligencia estratégica sobre amenazas ofrece una visión global de la evolución de las amenazas y los ataques a lo largo del tiempo. La inteligencia estratégica sobre amenazas puede identificar tendencias históricas, motivaciones o atribuciones sobre quién está detrás de un ataque. Conocer el quién y el por qué de sus adversarios también proporciona pistas sobre sus futuras operaciones y tácticas. Esto convierte a la inteligencia estratégica en un sólido punto de partida para decidir qué medidas defensivas serán más eficaces.

La inteligencia estratégica sobre amenazas podría incluir información sobre las siguientes áreas temáticas:

Atribución de intrusiones y violaciones de datos
Tendencias de los grupos de actores
Tendencias de orientación por sectores industriales y zonas geográficas
Vinculación de los ciberataques a conflictos y acontecimientos geopolíticos (Mar del Sur de China, Primavera Árabe, Rusia-Ucrania)
Estadísticas mundiales sobre filtraciones, programas maliciosos y robos de información
El TTP de los principales atacantes cambia con el tiempo

Utilizar la inteligencia estratégica sobre amenazas

La inteligencia sobre amenazas estratégicas se basa en un enorme corpus de conocimientos e incluye opiniones y puntos de vista de expertos que se basan en la agregación de inteligencia sobre amenazas operativas y tácticas procedentes de ciberataques conocidos. Esta inteligencia es especialmente útil para las personas que desempeñan funciones de liderazgo, como los CISO y la dirección ejecutiva, que deben justificar los presupuestos y tomar decisiones de inversión mejor informadas. Algunos usos de la inteligencia estratégica sobre amenazas incluyen:

Informe a su dirección ejecutiva sobre los actores de amenazas de alto riesgo, los escenarios de riesgo relevantes y la exposición a amenazas en la esfera tecnológica de cara al público y en la clandestinidad criminal.
Realizar un análisis y una revisión exhaustivos de los riesgos de toda la cadena de suministro tecnológico.
Conozca qué empresas comerciales, proveedores, empresas asociadas y productos tecnológicos tienen más probabilidades de aumentar o reducir el riesgo para su entorno empresarial.

Ejemplos de inteligencia estratégica sobre amenazas

Inteligencia sobre amenazas estratégicas para APT29
APT29 es un actor con base en Rusia que suele dedicarse al ciberespionaje con el fin de robar datos.
Entre las víctimas de APT29 se encuentran muchas organizaciones mundiales de los sectores público, educativo, de alta tecnología, financiero, sin ánimo de lucro, farmacéutico y de la base industrial de defensa.
APT29 es un grupo adaptable y sofisticado con capacidad para desarrollar herramientas de ataque personalizadas, una enrevesada infraestructura de mando y control y, a diferencia de los comportamientos históricos de los actores rusos patrocinados por el Estado, este grupo tiene la audacia de seguir operando mucho después de haber sido detectado.
A APT29 se le ha encomendado históricamente la realización de operaciones en torno a cuestiones de política de gobiernos extranjeros, especialmente las relacionadas con el conflicto entre Rusia y Ucrania. Además, el grupo ha tenido como objetivo varias agencias gubernamentales nacionales occidentales, contratistas de defensa y gubernamentales e instituciones académicas.
Inteligencia estratégica sobre amenazas para el sector educativo
La infraestructura informática educativa tiene una base de usuarios muy diversa y, por tanto, suele estar compuesta por una miríada de sistemas operativos, tipos de ordenadores, software y montones de servidores y sitios web accesibles públicamente desde Internet. Esto convierte a las universidades y centros de investigación académica en objetivos privilegiados para los atacantes, tanto como lugares desde los que robar datos valiosos como puntos de salto para posteriores operaciones de intrusión.
El sector de la educación seguirá siendo testigo de actividades de ciberespionaje en un futuro próximo. Esperamos que los actores de amenazas de China, Rusia, Irán y otros países lleven a cabo operaciones de espionaje para el robo de datos, información comercial, inteligencia económica y vigilancia de la diáspora.
Se han observado varios grupos realizando operaciones de intrusión que han afectado a instituciones académicas, incluidas universidades y centros de investigación:
  • APT10 alias "Grupo MenuPass"
  • APT22 alias "Equipo Barista"
  • APT29 alias "Los Duques"

Inteligencia sobre amenazas y objetivos empresariales

La inteligencia sobre amenazas siempre tiene un propósito : informar la toma de decisiones e impulsar la acción. Sin embargo, no es raro que las empresas tengan dificultades a la hora de determinar el valor de su equipo, procesos y herramientas de inteligencia sobre amenazas. La terminología de la inteligencia sobre amenazas no suele ser compatible con el léxico empresarial, lo que lleva a malentendidos sobre su propósito y valor.

Las empresas pueden ayudar a obtener valor de sus programas de inteligencia alineándolos con un conjunto genérico de prioridades a nivel macro, como puede verse a continuación (no se incluyen todas):

Aumentar los ingresos
Gastos más bajos
Reducir y mitigar los riesgos
Satisfacción y retención de clientes
Satisfacción y retención de los empleados
Cumplimiento de la normativa

Una vez que el equipo de inteligencia sobre amenazas comprende los objetivos empresariales, puede alinear sus operaciones y esfuerzos para apoyar al negocio. No todas las prioridades empresariales se alinearán perfectamente con las capacidades de inteligencia de amenazas, y eso está bien. Puede desarrollar granularidad y matices a medida que construye sus requisitos. He aquí algunos objetivos iniciales para cualquier equipo de inteligencia sobre amenazas:

Reducir los gastos relacionados con el fraude y la ciberdelincuencia
  • Colabore con el equipo de Fraude para determinar los 3-5 principales tipos de fraude y pregunte qué información les ayudaría a detectarlo y prevenirlo en el futuro.
Evitar la pérdida de datos
  • ¿Qué revela el análisis de las entradas de incidentes sobre la naturaleza y el tipo de datos objeto de las anteriores violaciones de datos?
  • ¿Qué vulnerabilidades se han explotado y por qué medios?
Proteger la IIP
  • ¿Qué sistemas almacenan PII y cómo se alinean las vulnerabilidades de esos sistemas con los vectores de explotación conocidos?
Reducir el riesgo empresarial
  • TI puede centrarse en reducir el riesgo derivado de la pérdida de datos y las amenazas externas identificando a los actores y obteniendo información sobre las amenazas externas dirigidas a su sector, asegurándose de que existen técnicas y mecanismos de detección capaces de detectar estas amenazas.

Evolución de la inteligencia sobre amenazas

La inteligencia sobre amenazas seguirá evolucionando y será una función de seguridad clave. La integración de la inteligencia sobre amenazas tácticas, operativas y estratégicas proporcionará información valiosa sobre los COI y las metodologías de los actores de amenazas. Esto conducirá a entornos más seguros en los que se podrá identificar a los adversarios. Cada vez son más las organizaciones de los sectores público y privado que utilizan inteligencia sobre ciberamenazas. Una investigación reciente publicada por el Ponemon Institute reveló que el 80% de las organizaciones la utilizan y que un porcentaje aún mayor la considera crítica.

Las organizaciones que utilizan inteligencia sobre ciberamenazas están superando numerosos retos de seguridad. Detectan y responden a amenazas avanzadas. Evitan la filtración de datos y protegen la información confidencial. Reducen los costes de la ciberdelincuencia y el fraude. Y lo que es más importante, están reduciendo el riesgo empresarial global.