¿Qué es la inteligencia contra amenazas?
La inteligencia contra amenazas es un conocimiento basado en evidencia sobre una amenaza o un peligro existentes o emergentes para los activos, la cual se puede utilizar para informar decisiones sobre la respuesta del sujeto a tal amenaza o peligro.
Introducción a la inteligencia contra amenazas
La inteligencia contra amenazas informáticas es un subconjunto de inteligencia centrado en la seguridad de la información. Esta información exclusiva tiene como objetivo ayudarlo a tomar mejores decisiones sobre cómo defenderse a sí mismo y a su empresa de las amenazas informáticas. Algunas de las preguntas que la inteligencia contra amenazas puede responder incluyen las siguientes:
- ¿Quiénes son mis adversarios y cómo podrían atacarme?
- ¿Cómo afectan los vectores de ataque la seguridad de mi empresa?
- ¿A qué deberían prestar atención mis equipos de operaciones de seguridad?
- ¿Cómo puedo reducir el riesgo de un ataque informático contra mi empresa?
La inteligencia contra amenazas es un conocimiento basado en evidencia, que incluye contexto, mecanismos, indicadores, consecuencias y consejos útiles, sobre una amenaza o un peligro existentes o emergentes para los activos, la cual se puede utilizar para informar decisiones sobre la respuesta del sujeto a tal amenaza o peligro.
Generalmente, existen tres “niveles” de inteligencia contra amenazas informáticas: estratégica, operativa y táctica.
Es importante recopilar cada tipo de inteligencia, ya que cumplen funciones diferentes. Los analistas que aprovechan la suma de conocimientos de estos tres tipos de inteligencia pueden determinar mejor qué soluciones de seguridad se deben utilizar, cómo se deben aprovechar y cómo se puede responder de manera proactiva y reactiva a las amenazas.
Utilizaremos el APT29 y el sector de la educación para ilustrar las diferencias entre estos tres tipos de inteligencia.
| Tipo | Frase publicitaria | Período de vida útil (para tipos buenos y malos) | Enfoque | Se basa en el análisis de | Tipos de datos de salida |
|---|---|---|---|---|---|
| Estratégico | ¿Quién? ¿Por qué? | Larga (varios años) | No técnico | Grandes campañas, grupos, intrusiones en múltiples víctimas (e inteligencia operativa) | Texto largo sobre: victimología, metodología interanual, mapeo de intrusiones y campañas según conflictos, eventos y presiones geopolíticas |
| Operativo | ¿Cómo? ¿Dónde? | Media (más de un año) | Combinado (en realidad, ambos) | Familias completas de malware, grupos de amenazas, análisis del comportamiento humano (e inteligencia táctica) | Texto breve, listas con viñetas sobre: técnicas de persistencia y comunicaciones, víctimas, perfiles de grupo, perfiles familiares, descripciones TTP, activadores, patrones y reglas de metodología |
| Táctico | ¿Qué? | Corta (meses) | Técnico | Eventos de seguridad, muestras de malware individuales, correos electrónicos de fraude electrónico, infraestructura de atacante | Indicadores atómicos legibles por máquina, como IP, dominios, IOC, “firmas” |
Levels of threat intelligence
Inteligencia táctica contra amenazas
La inteligencia táctica contra amenazas es la forma más básica de inteligencia contra amenazas. Estos son sus indicadores de compromiso (IOC) comunes. La inteligencia táctica a menudo se utiliza para la detección de amenazas de máquina a máquina y para que el personal de respuesta a incidentes busque artefactos específicos en redes empresariales.
Uso de la inteligencia táctica contra amenazas
La inteligencia táctica contra amenazas y los IOC están diseñados para documentar históricamente los ataques informáticos, lo que sirve como un recopilatorio de evidencia (para estar en conformidad con las normas, el cumplimiento de la ley, investigaciones, propósitos legales, etc.) y también como material de referencia para que los analistas interpreten y extraigan contexto que se utilizará en operaciones defensivas.
Los IOC se proporcionan a los analistas para que sirvan como ejemplos de una amenaza particular, como una muestra de malware, una familia de malware, una campaña de intrusión o un actor de amenazas. Los analistas pueden mejorar las alertas de las soluciones de seguridad con inteligencia táctica contra amenazas para proporcionar más contexto y determinar por cuáles amenazas vale la pena preocuparse y cuáles pueden ignorarse de forma segura.
Inteligencia táctica contra amenazas para APT29
- 628d4f33bd604203d25dbc6a5bb35b90
- 2aabd78ef11926d7b562fd0d91e68ad3
- 3d3363598f87c78826c859077606e514
- meek-reflect.appspot.com
- portal.sbn.co.th
- 202.28.231.44
- hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
- googleService.exe
- GoogleUpdate.exe
- acrotray.exe
- PCI\VEN_80EE&DEV_CAF
Inteligencia táctica contra amenazas para el sector de la educación
- d9b7b0eda8bd28e8934c5929834e5006
- support@securitygrade[.]org
- 46.244.4.37
Inteligencia operativa contra amenazas
La inteligencia operativa contra amenazas ofrece conocimientos sobre las metodologías de los actores y expone posibles riesgos. Impulsa programas más significativos de detección, respuesta a incidentes y búsqueda. En los casos en que la inteligencia táctica contra amenazas da a los analistas contexto sobre amenazas ya conocidas, la inteligencia operativa acerca las investigaciones para descubrir amenazas completamente nuevas.
Este tipo de inteligencia la utilizan con mayor frecuencia los investigadores forenses y el personal de respuesta a incidentes, y normalmente incluye los siguientes tipos de elementos:
- Herramientas para grupos de amenazas particulares (servicios públicos, conjuntos de puertas traseras, infraestructura común)
- Tácticas, técnicas y procedimientos (TTP) para grupos de amenazas en particular (directorios de montaje, convenciones de nomenclatura de archivos, puertos, protocolos, tipos de archivos favoritos)
- TTP emergentes (nuevos métodos de persistencia, vulnerabilidades, esquemas de fraudes electrónicos)
Tenga en cuenta lo siguiente desde una perspectiva de respuesta a incidentes: si está respondiendo a un evento de intrusión, puede preguntarse cómo un determinado actor realiza el escalamiento de privilegios, el movimiento lateral o el robo de datos. Si está buscando actividad maliciosa no descubierta, puede que desee comenzar su búsqueda mediante la detección de un comportamiento específico del actor. Independientemente de cuál sea la situación, debe responder la pregunta “¿Cómo busca a este actor en su entorno?”.
Uso de la inteligencia operativa contra amenazas
La inteligencia operativa contra amenazas es un conocimiento obtenido a partir de la revisión de los detalles sobre ataques conocidos. Un analista puede crear una imagen sólida de la metodología del actor mediante la combinación de artefactos e indicadores tácticos, lo que deriva en inteligencia operativa. Esto puede ayudar a lograr una serie de objetivos defensivos, como mejorar los planes de respuesta a incidentes y las técnicas de mitigación para futuros ataques e incidentes.
Los analistas también pueden implementar y reforzar un programa de descubrimiento proactivo (“programa de búsqueda”) para identificar actividad y archivos sospechosos que hayan evadido las tecnologías de seguridad tradicionales. A partir de ahí, pueden desarrollar metodologías de detección que no dependen de IOC, lo que garantiza una mayor cobertura de amenazas de manera más oportuna.
Ejemplos de inteligencia operativa contra amenazas
Ejemplo de inteligencia operativa contra amenazas para APT29
- Vector de infección preferido: fraude electrónico focalizado con RAR autoextraíble
- Conjuntos de malware de primera etapa: COZYCAR, SWIFTKICK, TADPOLE
- Conjuntos de malware de segunda etapa: SEADADDY, MINIDIONIS, SPIKERUSH
- Técnicas de persistencia
- Tareas programadas para la mayoría de las puertas traseras
- WMI mediante instalación manual para puertas traseras que no tienen persistencia incorporada
- Reemplazo de archivo legítimo del archivo de informe de errores de Windows (wermgr.exe)
- Uso de TOR para C2
- Uso de Documentos de Google para C2
- Uso de aplicaciones de Google Cloud para el reenvío de C2 (como proxy)
- Uso de solicitudes HTTP POST a través del puerto 443 para C2
- Uso de puertas traseras configuradas para los puertos 1, 80, 443 y 3389 para C2
- Uso de secuencias de comandos de PowerShell
- Uso de Py2Exe para modificar y volver a compilar puertas traseras con varianza en los protocolos de C2 y en la infraestructura C2
Ejemplo de inteligencia operativa contra amenazas para el sector de la educación
- Los vectores de ataque comunes son el fraude electrónico focalizado, los ataques de abrevadero y la inyección SQL
- Profesores universitarios que enseñan sobre el fraude electrónico focalizado y que se especializan en la incorporación de nuevas tecnologías en las salas de clase
- Fraude electrónico focalizado a reclutadores y personas involucradas en procesos de contratación
- Los ataques comunes son el fraude electrónico focalizado y la inyección SQL (SQLi)
- Conjuntos comunes de malware: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT y NETWIRE
- Conjuntos comunes de pruebas de penetración: Meterpreter, PowerShell Empire y Metasploit Framework
- Uso de Dropbox para C2
- Uso de HTTPS y protocolos TCP personalizados para C2
- Uso de TDL .ru y .su para dominios C2
- Uso de yandex.ru y bk.ru para direcciones de correo electrónico
- Robo de bases de datos que contienen nombres de estudiantes, credenciales administrativas, información de facturación, números de seguro social y otro tipo de información de identificación personal (PII).
Inteligencia estratégica contra amenazas
La inteligencia estratégica contra amenazas proporciona un panorama general de cómo las amenazas y los ataques cambian con el tiempo. La inteligencia estratégica contra amenazas puede ser capaz de identificar tendencias históricas, motivaciones o atribuciones sobre quién está detrás de un ataque. Conocer el qué y el porqué de sus adversarios también proporciona pistas sobre sus operaciones y tácticas futuras. Esto hace que la inteligencia estratégica sea un punto de partida sólido para decidir qué medidas defensivas serán más eficaces.
La inteligencia estratégica contra amenazas podría incluir información sobre las siguientes áreas temáticas:
- Atribución para intrusiones y filtraciones de datos
- Tendencias de grupos de actores
- Tendencias de focalización para sectores industriales y zonas geográficas
- Mapeo de ataques informáticos según conflictos y eventos geopolíticos (mar de China Meridional, Primavera Árabe, relación entre Rusia y Ucrania)
- Estadísticas globales sobre filtraciones, malware y robo de información
- Principales cambios de TTP del atacante con el paso del tiempo
Uso de la inteligencia estratégica contra amenazas
La inteligencia estratégica contra amenazas se basa en un enorme conjunto de conocimientos e incluye opiniones e información de expertos que se basan en la incorporación de inteligencia tanto operativa como táctica contra amenazas de ataques informáticos conocidos. Esta inteligencia es particularmente útil para las personas en funciones de liderazgo, como los directores de seguridad de la información (CISO) y el equipo de liderazgo ejecutivo, quienes deben justificar presupuestos y tomar decisiones de inversión mejor fundamentadas. Entre los usos de la inteligencia estratégica contra amenazas se incluyen los siguientes:
- Informar al equipo de liderazgo ejecutivo sobre los actores de amenazas de alto riesgo, las situaciones de riesgo relevantes y la exposición a amenazas en la esfera de tecnología orientada al público y en el movimiento clandestino delictual.
- Realizar análisis exhaustivos de los riesgos y una revisión de toda la cadena de suministro de tecnología.
- Conocer qué empresas comerciales, proveedores, empresas asociadas y productos tecnológicos tienen más probabilidades de aumentar o disminuir el riesgo para su entorno empresarial.
Ejemplos de inteligencia estratégica contra amenazas
Inteligencia estratégica contra amenazas para APT29
- APT29 es un actor con sede en Rusia que normalmente se dedica al espionaje informático con el fin de robar datos.
- Las víctimas de APT29 incluyen numerosas organizaciones mundiales de gobiernos, de educación, de alta tecnología, de finanzas, sin fines de lucro, farmacéuticas y de la Base Industrial de Defensa.
- APT29 es un grupo adaptable y sofisticado con la capacidad de desarrollar herramientas de ataque personalizadas, una infraestructura complicada de comando y control y, a diferencia de los históricos comportamientos de los actores patrocinados por el estado de Rusia, este grupo tiene la osadía de continuar funcionando mucho después de haber sido detectado.
- Históricamente, APT29 tiene la tarea de perseguir operaciones en torno a asuntos de políticas de gobiernos extranjeros, especialmente aquellos que involucran el conflicto entre Rusia y Ucrania. Además, el grupo se ha enfocado en varios organismos gubernamentales nacionales del oeste, contratistas de defensa y gobierno, e instituciones académicas.
Ejemplo de inteligencia estratégica contra amenazas para el sector de la educación
- La infraestructura educativa de TI tiene una diversa base de usuarios y, por lo tanto, se compone normalmente de una gran variedad de sistemas operativos, tipos de computadoras, software y un sinfín de servidores y sitios web a los que se puede acceder públicamente desde Internet. Esto hace que las universidades y las instalaciones académicas de investigación sean el objetivo principal para los atacantes, ya que son lugares desde los que se pueden robar datos valiosos y que, además, pueden servir como puntos de conexión para otras operaciones de intrusión.
- La industria de la educación continuará experimentando actividad de espionaje informático en el futuro próximo. Prevemos que los actores de amenazas de China, Rusia, Irán y otros países realicen operaciones de espionaje para robo de datos, información comercial, inteligencia económica y monitoreo de la distribución.
- Se han observado varios grupos que realizan operaciones de intrusión que afectan instituciones académicas, que incluyen universidades y centros de investigación:
- APT10, también conocido como “MenuPass Group”
- APT22, también conocido como “Barista Team”
- APT29, también conocido como “The Dukes”
Inteligencia contra amenazas y objetivos comerciales
La inteligencia contra amenazas siempre tiene un objetivo: informar la toma de decisiones e impulsar la toma de medidas. Sin embargo, no es poco común que las empresas tengan dificultades para determinar el valor de su equipo de inteligencia contra amenazas, sus procesos y sus herramientas. La terminología de la inteligencia contra amenazas generalmente no es compatible con el léxico de la empresa, lo que genera malentendidos en torno a su propósito y valor.
Las empresas pueden ayudar a obtener valor de sus programas de inteligencia alineándolos con un conjunto de prioridades genérico a nivel macro, tal y como se puede ver a continuación (no con todo incluido):
- Crecimiento de los ingresos
- Reducción de los gastos
- Reducción y mitigación del riesgo
- Satisfacción y retención de clientes
- Satisfacción y retención de empleados
- Regulación del cumplimiento
Una vez que el equipo de inteligencia contra amenazas comprenda los objetivos empresariales, puede alinear sus operaciones y esfuerzos para fortalecer el negocio. No todas las prioridades de la empresa se alinearán perfectamente con las capacidades de inteligencia contra amenazas, y esto está bien. Puede desarrollar particularidad y sutileza a medida que desarrolla sus requisitos. Estos son algunos objetivos iniciales de cualquier equipo de inteligencia contra amenazas:
- Reducción de gastos por fraude y delito informático
- Colabore con el equipo de Fraude para determinar los 3 a 5 tipos principales de fraude y pregunte qué información lo ayudaría a detectar o evitar esto en el futuro.
- Prevención de la pérdida de datos
- ¿Qué revela el análisis de los tickets de incidentes acerca de la naturaleza y el tipo de datos contemplados en eventos anteriores de filtración de datos?
- ¿Qué vulnerabilidades se explotaron y por qué?
- Protección de la información de identificación personal (PII)
- ¿Qué sistemas almacenan PII y cómo las vulnerabilidades de esos sistemas se alinean con los vectores de explotación conocidos?
- Reducción de riesgos empresariales
- La TI (inteligencia contra amenazas) puede enfocarse en reducir el riesgo debido a la pérdida de datos y las amenazas externas mediante la identificación de actores y la obtención de inteligencia en amenazas externas que se focalizan en su sector, lo que garantiza que haya técnicas y mecanismos de detección implementados capaces de encontrar estas amenazas.
Evolución de la inteligencia contra amenazas
La inteligencia de amenazas continuará evolucionando y será una función de seguridad clave. La integración de la inteligencia táctica, operativa y estratégica contra amenazas proporcionará análisis valiosos sobre los IOC y las metodologías de los actores de amenaza. Esto generará entornos más seguros en los que se puede identificar a sus adversarios. Una cantidad cada vez mayor de organizaciones del sector público y privado utiliza la inteligencia contra amenazas informáticas. Una investigación reciente publicada por el Ponemon Institute reveló que el 80 % de las organizaciones la están usando y que un porcentaje aún más alto la considera fundamental.
Las organizaciones que utilizan inteligencia contra amenazas informáticas cumplen con numerosos desafíos de seguridad. Detectan y responden a amenazas avanzadas. Evitan filtraciones de datos y protegen la información confidencial. Reducen los costos del delito informático y del fraude. Y, más importante aún, disminuyen el riesgo general del negocio.
La información de esta página le proporcionará una comprensión sólida acerca de qué es la inteligencia contra amenazas informáticas y cuál es el valor que ofrece. Sin embargo, este es solo un punto de partida. Además de esta información, Anomali proporciona numerosos recursos que pueden ayudarlo a tomar una decisión inteligente sobre por qué debería agregar capacidades de inteligencia contra amenazas informáticas a su conjunto de seguridad y cómo integrarlas con mínima fricción.
