¿Qué es la inteligencia de amenazas?

La inteligencia de amenazas es el conocimiento basado en la evidencia sobre una amenaza o peligro existente o emergente para los activos que se puede utilizar para informar las decisiones sobre la respuesta del sujeto a esa amenaza o peligro.

__wf_reserved_heredar__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar

Introducción a la inteligencia de amenazas

La inteligencia de amenazas cibernéticas es un subconjunto de inteligencia centrado en la seguridad de la información. Esta información seleccionada tiene como objetivo ayudarlo a tomar mejores decisiones sobre cómo defenderse a sí mismo y a su empresa de las amenazas cibernéticas. Algunas de las preguntas que la inteligencia sobre amenazas puede responder son:

__wf_reserved_heredar
¿Quiénes son mis adversarios y cómo podrían atacarme?
__wf_reserved_heredar
¿Cómo afectan los vectores de ataque a la seguridad de mi empresa?
__wf_reserved_heredar
¿Qué deben tener en cuenta mis equipos de operaciones de seguridad?
__wf_reserved_heredar
¿Cómo puedo reducir el riesgo de un ciberataque contra mi empresa?

«La inteligencia sobre amenazas es un conocimiento basado en la evidencia, que incluye el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento práctico, sobre una amenaza o peligro existente o emergente para los activos, que puede usarse para informar las decisiones sobre la respuesta del sujeto a esa amenaza o peligro».

Definición de inteligencia de amenazas de Gartner
__wf_reserved_heredar

Niveles de inteligencia sobre amenazas

La inteligencia de amenazas cibernéticas generalmente se considera en tres niveles:

__wf_reserved_heredar
Estratégico: responder al «quién» y al «por qué»
__wf_reserved_heredar
Operacional: responder al cómo y al dónde
__wf_reserved_heredar
Táctico: responder al qué

Utilizar cada instancia de inteligencia es importante porque cumplen diferentes funciones. Los analistas que aprovechan los conocimientos acumulados sobre estos tres tipos de inteligencia están en mejores condiciones de determinar qué soluciones de seguridad utilizar, cómo deben aprovecharse y cómo responder de forma proactiva y reactiva a las amenazas.

Estratégico
¿Quién?
¿Por qué?
Largo (varios años)
No técnico
Grandes campañas, grupos, intrusiones con múltiples víctimas (e información operativa)
Redacción extensa sobre victimología, metodología interanual, mapeo de intrusiones y campañas en función de conflictos, eventos y presiones geopolíticas
Operacional
¿Cómo? ¿Dónde?
Medio (más de un año)
Mixto
Familias completas de malware, grupos de amenazas, análisis del comportamiento humano (e información táctica)
Redacción abreviada, listas con viñetas, sobre: técnicas de persistencia y comunicación, víctimas, perfiles de grupos, perfiles familiares, descripciones de TTP, factores desencadenantes, patrones y reglas metodológicas
Táctica
¿Qué?
Corto (meses)
Técnico
Eventos de seguridad, muestras individuales de malware, correos electrónicos de suplantación de identidad, infraestructura de atacantes
Indicadores atómicos y legibles por máquinas, como direcciones IP, dominios, IOC, «firmas»
__wf_reserved_heredar

Inteligencia táctica sobre amenazas

La inteligencia táctica sobre amenazas es la forma más básica de inteligencia sobre amenazas. Estos son sus indicadores comunes de compromiso (IOC). La inteligencia táctica se utiliza con frecuencia para detectar amenazas de máquina a máquina y para que el personal de respuesta a incidentes busque artefactos específicos en las redes empresariales.

Uso de la inteligencia táctica sobre amenazas

La inteligencia táctica contra amenazas y los IOC tienen por objeto documentar históricamente los ciberataques y servir como corpus de pruebas (para el cumplimiento, la aplicación de la ley, las investigaciones, con fines legales, etc.) y también como material de referencia para que los analistas interpreten y extraigan el contexto para su uso en operaciones defensivas.

Los IOC se proporcionan a los analistas para que sirvan como ejemplos de una amenaza en particular, como una muestra de malware, una familia de malware, una campaña de intrusión o un actor de amenazas. Los analistas pueden enriquecer las alertas de las soluciones de seguridad con información táctica sobre amenazas para ofrecer más contexto y determinar cuáles son las amenazas por las que vale la pena preocuparse y cuáles se pueden ignorar de forma segura.

Inteligencia táctica de amenazas para APT29

__wf_reserved_heredar
628d4f33bd604203d25dbc6a5bb35b90
__wf_reserved_heredar
2aabd78ef11926d7b562fd0d91e68ad3
__wf_reserved_heredar
3d3363598f87c78826c859077606e514
__wf_reserved_heredar
meek-reflect.appspot.com
__wf_reserved_heredar
portal.sbn.co.th
__wf_reserved_heredar
202,28,21,44
__wf_reserved_heredar
hxxps: //files.counseling [.] org/eFax/incoming/150721/5442.zip
__wf_reserved_heredar
googleService.exe
__wf_reserved_heredar
GoogleUpdate.exe
__wf_reserved_heredar
acrotray.exe
__wf_reserved_heredar
PCI\ VEN_80EE Y DEV_CAF

Inteligencia táctica de amenazas para el sector educativo

__wf_reserved_heredar
d9b7b0eda8bd28e8934c5929834e5006
__wf_reserved_heredar
apoya a @securitygrade [.] org
__wf_reserved_heredar
46,244,4,37

Inteligencia de amenazas operativas

La inteligencia de amenazas operativas proporciona información sobre las metodologías de los actores y expone los riesgos potenciales. Impulsa programas de detección, respuesta a incidentes y caza más significativos. Mientras que la inteligencia táctica sobre amenazas brinda a los analistas un contexto sobre las amenazas que ya se conocen, la inteligencia operativa permite que las investigaciones estén más cerca de descubrir amenazas completamente nuevas.

Este tipo de inteligencia lo utilizan con mayor frecuencia los investigadores forenses y el personal de respuesta a incidentes y, por lo general, incluye los siguientes tipos de elementos:

__wf_reserved_heredar
Herramientas para grupos de amenazas particulares (empresas de servicios públicos, familias de puertas traseras, infraestructura común)
__wf_reserved_heredar
Tácticas, técnicas y procedimientos (TTP) para grupos de amenazas particulares (directorios de almacenamiento provisional, convenciones de nomenclatura de archivos, puertos, protocolos, tipos de archivos favoritos)
__wf_reserved_heredar
TTP emergentes (nuevos métodos de persistencia, exploits, esquemas de suplantación de identidad)

Tenga en cuenta lo siguiente desde la perspectiva de la respuesta a un incidente: si está respondiendo a un evento de intrusión, es posible que se pregunte cómo un actor en particular lleva a cabo la escalada de privilegios, el movimiento lateral o el robo de datos. Si estás buscando actividades malintencionadas no descubiertas, tal vez te interese empezar por buscar el comportamiento de un actor específico. Sea cual sea tu escenario, debes responder a la pregunta «¿Cómo buscas a este actor en tu entorno?»

Uso de la inteligencia de amenazas operativas

La inteligencia de amenazas operativas es el conocimiento que se obtiene al examinar los detalles de los ataques conocidos. Un analista puede hacerse una idea sólida de la metodología de los actores reuniendo indicadores y artefactos tácticos y derivándolos para convertirlos en inteligencia operativa. Esto puede ayudar a lograr una serie de objetivos defensivos, como mejorar los planes de respuesta a los incidentes y las técnicas de mitigación para futuros ataques e incidentes.

Los analistas también pueden implementar y reforzar un programa de descubrimiento proactivo («programa de búsqueda») para identificar archivos y actividades sospechosas que hayan pasado por alto las tecnologías de seguridad tradicionales. A partir de ahí, pueden desarrollar metodologías de detección que no dependan de los IOC, lo que garantiza una cobertura más amplia de las amenazas de manera más oportuna.

Ejemplos de inteligencia operativa sobre amenazas

Ejemplo de inteligencia de amenazas operativas para APT29
__wf_reserved_heredar
Vector de infección preferido: suplantación de identidad con RAR autoextraíble
__wf_reserved_heredar
Familias de malware de primera fase: COZYCAR, SWIFTKICK, TADPOLE
__wf_reserved_heredar
Familias de malware de segunda fase: SEADADDY, MINIDIONIS, SPIKERUSH
__wf_reserved_heredar
Técnicas de persistencia
  • Tareas programadas para la mayoría de las puertas traseras
  • WMI mediante instalación manual para puertas traseras que no tienen la persistencia integrada
  • Sustitución legítima del archivo de notificación de errores de Windows (wermgr.exe)
__wf_reserved_heredar
Uso de TOR para C2
__wf_reserved_heredar
Uso de Google Docs para C2
__wf_reserved_heredar
Uso de Google Cloud Apps para el reenvío C2 (como proxy)
__wf_reserved_heredar
Uso de solicitudes HTTP POST superiores a 443 para C2
__wf_reserved_heredar
Uso de puertas traseras configuradas para los puertos 1, 80, 443, 3389 para C2
__wf_reserved_heredar
Uso de scripts de PowerShell
__wf_reserved_heredar
Uso de Py2Exe para modificar y recompilar puertas traseras con variaciones en los protocolos C2 y la infraestructura C2
Ejemplo de inteligencia operativa sobre amenazas para el sector educativo
__wf_reserved_heredar
Los vectores de ataque más comunes son el spear phising, los abrevaderos y la inyección de SQL
__wf_reserved_heredar
Spear phising a profesores universitarios especializados en la incorporación de nuevas tecnologías en las aulas
__wf_reserved_heredar
Difundir la suplantación de identidad dirigida a los reclutadores y a las personas involucradas en los procesos de contratación
__wf_reserved_heredar
Los ataques más comunes son el spear-phising y la inyección de SQL (SQLi)
__wf_reserved_heredar
Familias de malware comunes: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
__wf_reserved_heredar
Familias de pentesting más comunes: Meterpreter, PowerShell Empire, Metasploit Framework
__wf_reserved_heredar
Uso de Dropbox para C2
__wf_reserved_heredar
Uso de protocolos HTTPS y TCP personalizados para C2
__wf_reserved_heredar
Uso de los TLD .ru, .su para dominios C2
__wf_reserved_heredar
Uso de yandex.ru y bk.ru para direcciones de correo electrónico
__wf_reserved_heredar
Robo de bases de datos que contienen nombres de estudiantes, credenciales administrativas, información de facturación, números de seguro social y otra información de identificación personal.

Inteligencia estratégica sobre amenazas

La inteligencia estratégica de amenazas ofrece una visión general de cómo las amenazas y los ataques cambian con el tiempo. La inteligencia estratégica de amenazas puede identificar tendencias históricas, motivaciones o atribuciones en cuanto a quién está detrás de un ataque. Conocer el quién y el por qué de tus adversarios también proporciona pistas sobre sus operaciones y tácticas futuras. Esto convierte a la inteligencia estratégica en un punto de partida sólido para decidir qué medidas defensivas serán más eficaces.

La inteligencia estratégica sobre amenazas puede incluir información sobre las siguientes áreas temáticas:

__wf_reserved_heredar
Atribución de intrusiones y filtraciones de datos
__wf_reserved_heredar
Tendencias de los grupos de actores
__wf_reserved_heredar
Tendencias de segmentación para sectores industriales y geografías
__wf_reserved_heredar
Mapeo de los ciberataques a conflictos y acontecimientos geopolíticos (Mar de China Meridional, Primavera Árabe, Rusia-Ucrania)
__wf_reserved_heredar
Estadísticas mundiales sobre infracciones, malware y robo de información
__wf_reserved_heredar
El TTP del atacante principal cambia con el tiempo

Uso de inteligencia estratégica sobre amenazas

La inteligencia estratégica sobre amenazas se basa en un enorme conjunto de conocimientos e incluye opiniones y puntos de vista de expertos que se basan en la agregación de información sobre amenazas operativas y tácticas de ciberataques conocidos. Esta información es particularmente útil para las personas que desempeñan funciones de liderazgo, como los CISO y los líderes ejecutivos, que deben justificar los presupuestos y tomar decisiones de inversión mejor informadas. Algunos usos de la inteligencia estratégica sobre amenazas incluyen:

__wf_reserved_heredar
Informe a sus líderes ejecutivos sobre los actores de amenazas de alto riesgo, los escenarios de riesgo relevantes y la exposición a amenazas en el ámbito tecnológico público y en la clandestinidad criminal.
__wf_reserved_heredar
Realice un análisis de riesgos exhaustivo y una revisión de toda la cadena de suministro de tecnología.
__wf_reserved_heredar
Descubra qué empresas comerciales, proveedores, empresas asociadas y productos tecnológicos tienen más probabilidades de aumentar o reducir el riesgo para su entorno empresarial.

Ejemplos de inteligencia estratégica sobre amenazas

Inteligencia estratégica de amenazas para APT29
__wf_reserved_heredar
APT29 es un actor con sede en Rusia que normalmente se dedica al ciberespionaje con el propósito de robar datos.
__wf_reserved_heredar
Entre las víctimas del APT29 se encuentran muchas organizaciones mundiales del gobierno, la educación, la alta tecnología, las finanzas, las organizaciones sin fines de lucro, las farmacéuticas y la Base Industrial de Defensa.
__wf_reserved_heredar
El APT29 es un grupo sofisticado y adaptable con la capacidad de desarrollar herramientas de ataque personalizadas, una intrincada infraestructura de mando y control y, a diferencia de los comportamientos históricos de los actores patrocinados por el estado ruso, este grupo tiene la audacia de seguir operando mucho después de haber sido detectado.
__wf_reserved_heredar
Históricamente, al APT29 se le ha encomendado la tarea de llevar a cabo operaciones relacionadas con cuestiones de política gubernamental exterior, especialmente aquellas relacionadas con el conflicto entre Rusia y Ucrania. Además, el grupo ha atacado a varias agencias gubernamentales nacionales occidentales, contratistas gubernamentales y de defensa e instituciones académicas.
Inteligencia estratégica sobre amenazas para el sector educativo
__wf_reserved_heredar
La infraestructura de TI educativa tiene una base de usuarios diversa y, por lo tanto, generalmente está compuesta por una miríada de sistemas operativos, tipos de computadoras, software y toneladas de servidores y sitios web a los que se puede acceder públicamente desde Internet. Esto convierte a las universidades y los centros de investigación académica en los principales objetivos de los atacantes, ya que son lugares desde los que robar datos valiosos y también como puntos de partida para futuras operaciones de intrusión.
__wf_reserved_heredar
La industria de la educación seguirá siendo testigo de actividades de ciberespionaje en un futuro próximo. Esperamos que los actores de amenazas de China, Rusia, Irán y otros países lleven a cabo operaciones de espionaje para el robo de datos, la información comercial, la inteligencia económica y la vigilancia de la diáspora.
__wf_reserved_heredar
Se ha observado a varios grupos realizando operaciones de intrusión que han afectado a instituciones académicas, incluidas universidades y centros de investigación:
  • APT10 también conocido como «MenuPass Group»
  • APT22 también conocido como «Barista Team»
  • APT29 también conocido como «The Dukes»
__wf_reserved_heredar

Inteligencia de amenazas y objetivos empresariales

La inteligencia de amenazas siempre tiene un propósito para informar la toma de decisiones e impulsar la acción. Sin embargo, no es raro que las empresas tengan dificultades para determinar el valor de su equipo, procesos y herramientas de inteligencia de amenazas. La terminología de la inteligencia de amenazas no suele ser compatible con el léxico empresarial, lo que lleva a malentendidos sobre su propósito y valor.

Las empresas pueden ayudar a obtener valor de sus programas de inteligencia al alinearlos con un conjunto genérico de prioridades a nivel macro, como se puede ver a continuación (no lo incluyen todo):

__wf_reserved_heredar
Aumente los ingresos
__wf_reserved_heredar
Menores gastos
__wf_reserved_heredar
Reduzca y mitigue el riesgo
__wf_reserved_heredar
Satisfacción y retención de clientes
__wf_reserved_heredar
Satisfacción y retención de los empleados
__wf_reserved_heredar
Regulación de cumplimiento

Una vez que el equipo de inteligencia de amenazas comprenda los objetivos empresariales, podrá alinear sus operaciones y esfuerzos para respaldar la empresa. No todas las prioridades empresariales se alinearán perfectamente con las capacidades de inteligencia de amenazas, y no pasa nada. Puede desarrollar la granularidad y los matices a medida que desarrolla sus requisitos. Estos son algunos de los objetivos iniciales para cualquier equipo de inteligencia de amenazas:

__wf_reserved_heredar
Reduzca los gastos relacionados con el fraude y la ciberdelincuencia
  • Colabore con el equipo de fraude para determinar los 3 a 5 tipos principales de fraude y pregunte qué información les ayudaría a detectarlos y prevenirlos en el futuro.
__wf_reserved_heredar
Prevenir la pérdida de datos
  • ¿Qué revela el análisis de los tickets de incidentes sobre la naturaleza y el tipo de datos objeto de las filtraciones de datos anteriores?
  • ¿Qué vulnerabilidades se explotaron y por qué medios?
__wf_reserved_heredar
Proteja la PII
  • ¿Qué sistemas almacenan la PII y cómo se alinean las vulnerabilidades de esos sistemas con los vectores de explotación conocidos?
__wf_reserved_heredar
Reduzca el riesgo empresarial
  • La TI puede centrarse en reducir el riesgo debido a la pérdida de datos y las amenazas externas mediante la identificación de los actores y la obtención de información sobre las amenazas externas dirigidas a su industria, garantizando que las técnicas y los mecanismos de detección estén implementados y sean capaces de detectar estas amenazas.
__wf_reserved_heredar

Evolución de la inteligencia de amenazas

La inteligencia sobre amenazas seguirá evolucionando y será una función de seguridad clave. La integración de la inteligencia de amenazas táctica, operativa y estratégica proporcionará información valiosa sobre las metodologías de los IOC y de los actores de amenazas. Esto conducirá a entornos más seguros en los que podrá identificar a sus adversarios. Un número creciente de organizaciones de los sectores público y privado utilizan ahora la inteligencia sobre ciberamenazas. Una investigación reciente publicada por el Instituto Ponemon reveló que el 80% de las organizaciones la utilizan y que un porcentaje aún mayor la considera crítica.

Las organizaciones que utilizan la inteligencia de ciberamenazas se enfrentan a numerosos desafíos de seguridad. Están detectando amenazas avanzadas y respondiendo a ellas. Previenen las filtraciones de datos y protegen la información confidencial. Están reduciendo los costos de la ciberdelincuencia y el fraude. Y lo que es más importante, están reduciendo el riesgo empresarial general.

__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar