Inteligencia de Amenazas
2020
NOV 6
panamá
Primera entrega
Inteligencia de Amenazas
Durante la última década, hemos visto un incremento significativo en los ciberataques. Los cibercriminales están utilizando un cada vez más creciente conjunto de técnicas, tácticas y herramientas para comprometer sistemas de sus víctimas.
Entender las motivaciones de los adversarios, sus tácticas y técnicas se ha convertido en una estrategia fundamental de las organizaciones, principalmente los defensores de los miembros del blueteam.
En esta serie de artículos, buscamos compartir contigo las bases de la gestión efectiva de las ciber inteligencia de amenaza para luego guiarte en el proceso de convertir información de amenazas en información de inteligencia, es decir información que sea accionable para mejorar significativamente la postura de seguridad de la organización que defiendes.
En esta primera entrega hablaremos de los conceptos fundamentales que todo defensor debe tener claro. Empezaremos por definir amenaza, información de amenazas, luego tocaremos la inteligencia y cerraremos con la aclarar la diferencia entre inteligencias de amenazas y la ciber inteligencia de amenazas.
Amenazas
En materia de seguridad de la información, una amenaza es una posible acción o acontecimiento negativo facilitado por una vulnerabilidad que da lugar a un impacto no deseado en un sistema o aplicación informática.
Una amenaza puede ser un evento negativo “intencional” (por ejemplo, la piratería informática: un cracker individual o una organización criminal) o un evento negativo “accidental” (por ejemplo, la posibilidad de un mal funcionamiento de la computadora, o la posibilidad de un desastre natural como un terremoto, un incendio o un tornado).
Un actor de la amenaza
Es un individuo o grupo que puede realizar la acción de la amenaza, como explotar una vulnerabilidad para realizar un impacto negativo. Algunos ejemplos de actores son:
Ciberterroristas, Actores patrocinados por el gobierno/estado, Crimen Organizado/Criminalidad Cibernética, Hacktivistas, Script Kiddies, “Insiders”, en una próxima entrega definiremos cada actor, sus motivaciones.
Información de amenazas
La información de amenazas de fuentes externas o los famosos “Threat Feeds” muchas veces están compuestas por una lista actualizada de URLs, direcciones IP y dominios conocidos que tienen en común que fueron comprometidas y/o utilizadas por los actores de la amenaza. Pero casi no tienen contexto. Para profundizar más en este tema recomiendo leer sobre la pirámide del dolor creada por David Bianco. https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html. Es importante recordar que también se genera información útil desde nuestra organización tanto técnicas como del negocio. En una entrega futura detallaremos las fuentes que nos permiten obtener esta información.
Inteligencia
Cuando hablamos de inteligencia nos referimos generalmente a información que ha sido enriquecida y analizada para convertirla en accionable. En una próxima entrega detallaremos los siguientes tipos de inteligencia: HUMINT, SIGINT, FININT, GEOINT, CYBINT Y OSINT.
Inteligencia de amenaza
La inteligencia de amenaza es el análisis de los adversarios, sus motivaciones, tácticas y técnicas y como están realizando crímenes que podrían replicarse en nuestra organización. EL valor se obtiene cuando se es capaz de generar acciones.
Ciber inteligencia de amenaza
El análisis de cómo los adversarios o cibercriminales usan sus estrategias desde que utilizan las capacidades que ofrece Internet. Al igual que la inteligencia de amenaza cuyo valor es lograr poder convertir la información sobre amenazas en acciones para fortalecer la postura de seguridad, no solo incluyendo un conjunto de indicadores de compromiso atómicos, sino aprendiendo de la información externa e interna e implementando controles efectivos.
Las organizaciones reconocen cada vez más el valor de la inteligencia sobre las amenazas.
Sin embargo, hay una diferencia entre reconocer el valor y recibir el valor. La mayoría de las organizaciones hoy en día centran sus esfuerzos en los casos de uso más básicos, como la integración de los datos de amenazas con la red existente a nivel de firewall sin aprovechar al máximo los conocimientos que la inteligencia puede ofrecer.
En esta primera entrega hemos cubierto los fundamentos para empezar nuestro recorrido sobre este interesante y fascinante tema, en la próxima entrega hablaremos de cuáles son los beneficios que obtiene una empresa cuando adopta un proceso de inteligencia de amenazas, donde se sugiere puede colocarse la función de inteligencia de amenazas dentro de la organización, el tipo de empresas que están moviéndose rápidamente a este modelo, que no es nuevo pero que en los últimos años ha tomado una gran relevancia.
Si quieres recibir directamente a tu correo electrónico las entregas de las series de ciber inteligencia de amenaza te invito a registrarte a nuestro newsletter.
Para mayor información sobre cómo podemos ayudarte a utilizar de forma efectiva la inteligencia de amenazas nos puedes escribir a info@remosblueteam.com
Somos REMOS Consulting, especialistas en seguridad defensiva (Blueteam). Ofrecemos servicios de colaboración para gestión estratégica y operativa de seguridad de la información, nos enfocamos en promover a la seguridad de la información como un pilar estratégico y a potenciar las capacidades de sus equipos técnicos y de las áreas de negocios.