Categories
Inglés

Threat Intelligence – First Release

Threat Intelligence

2020

NOV 6

panamá

First Release

Threat Intelligence

Over the past decade, we have seen a significant increase in cyberattacks. Cybercriminals are using an ever-growing set of techniques, tactics, and tools to compromise their victims’ systems.

Understanding the motivations of the adversaries, their tactics and techniques has become a fundamental strategy of the organizations, mainly the defenders better known as blue team members.

In this series of articles, our goal is to share with you the foundations of the effective management of cyber threat intelligence and then guide you in the process of converting threat information into intelligence information, that is, information that is actionable to significantly improve the security posture. of the organization you defend.

In this first article we will talk about the fundamental concepts that every defender must be clear about. We will start by defining threat, threat information, then we will deep dive into intelligence and finally close with clarifying the difference between threat intelligence and cyber threat intelligence.

Threats

In terms of information security, a threat is a possible negative action or event facilitated due to a vulnerability that gives rise to an unwanted impact on a computer system or application.

A threat can be an “intentional” negative event (for example, hacking: an individual cracker or a criminal organization) or an “accidental” negative event (for example, the possibility of a computer malfunction, or the possibility from a natural disaster such as an earthquake, fire, or tornado). 

Threat actor

It is an individual or group that can take the action of the threat, such as exploiting a vulnerability to make a negative impact. Some examples of actors are:

Cyberterrorists, Actors sponsored by the government / state, Organized Crime / Cybercrime, Hacktivists, Script Kiddies, “Insiders”, in a next installment we will define each actor, their motivations.

Information threats

Threat information from external sources or the famous “Threat Feeds” often consist of an updated list of URLs, IP addresses and domains known to have in common that were compromised and / or used by the actors of the threat. But they have almost no context. To go deeper into this topic, I recommend reading about the pyramid of pain created by David Bianco. https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html. It is important to remember that useful information is also generated from our organization, both technical and business. In a future installment, we will detail the sources that allow us to obtain this information.

Intelligence

When we speak of intelligence, we generally refer to information that has been enriched and analyzed to make it actionable. In a future installment we will detail the following types of intelligence: HUMINT, SIGINT, FININT, GEOINT, CYBINT, and OSINT.

Threat intelligence

Threat intelligence is the analysis of adversaries, their motivations, tactics and techniques and how they are carrying out crimes that could be replicated in our organization. The value is obtained when it is capable of generating actions.

Cyber threat intelligence

The analysis of how adversaries or cybercriminals use their strategies since they use the capabilities offered by the Internet. Like threat intelligence whose value is to be able to convert information about threats into actions to strengthen the security posture, not only including a set of atomic compromise indicators, but also learning from external and internal information and implementing effective controls.

Organizations increasingly recognize the value of threat intelligence, however, there is a difference between recognizing the value and receiving the value. Most organizations today focus their efforts on the most basic use cases, such as integrating threat data with the existing network at the firewall level without taking full advantage of the insights that intelligence can provide.

In this first installment we have covered the fundamentals to start our journey on this interesting and fascinating topic, in the next installment we will talk about what are the benefits that a company obtains when it adopts a threat intelligence process, where it is suggested that the function of threat intelligence within organizations, the type of companies that are rapidly moving to this model, which is not new but which in recent years has taken on great relevance.

If you want to receive the deliveries of the cyber threat intelligence series directly to your email, I invite you to register for our newsletter.

For more information on how we can help you effectively use threat intelligence, you can write to us at info@remosblueteam.com

At REMOS Consulting We are specialists in defensive security (Blueteam). We offer collaboration services for strategic and operational information security management; we focus on promoting information security as a strategic pillar and enhancing the capabilities of its technical teams and business areas.

Categories
Español

Inteligencia de Amenazas – Primera entrega

Inteligencia de Amenazas

2020

NOV 6

panamá

Primera entrega

Inteligencia de Amenazas

Durante la última década, hemos visto un incremento significativo en los ciberataques. Los cibercriminales están utilizando un cada vez más creciente conjunto de técnicas, tácticas y herramientas para comprometer sistemas de sus víctimas.

Entender las motivaciones de los adversarios, sus tácticas y técnicas se ha convertido en una estrategia fundamental de las organizaciones, principalmente los defensores de los miembros del blueteam.

En esta serie de artículos, buscamos compartir contigo las bases de la gestión efectiva de las ciber inteligencia de amenaza para luego guiarte en el proceso de convertir información de amenazas en información de inteligencia, es decir información que sea accionable para mejorar significativamente la postura de seguridad de la organización que defiendes.

En esta primera entrega hablaremos de los conceptos fundamentales que todo defensor debe tener claro. Empezaremos por definir amenaza, información de amenazas, luego tocaremos la inteligencia y cerraremos con la aclarar la diferencia entre inteligencias de amenazas y la ciber inteligencia de amenazas.

Amenazas

En materia de seguridad de la información, una amenaza es una posible acción o acontecimiento negativo facilitado por una vulnerabilidad que da lugar a un impacto no deseado en un sistema o aplicación informática.

Una amenaza puede ser un evento negativo “intencional” (por ejemplo, la piratería informática: un cracker individual o una organización criminal) o un evento negativo “accidental” (por ejemplo, la posibilidad de un mal funcionamiento de la computadora, o la posibilidad de un desastre natural como un terremoto, un incendio o un tornado).

Un actor de la amenaza

Es un individuo o grupo que puede realizar la acción de la amenaza, como explotar una vulnerabilidad para realizar un impacto negativo. Algunos ejemplos de actores son:

Ciberterroristas, Actores patrocinados por el gobierno/estado, Crimen Organizado/Criminalidad Cibernética, Hacktivistas, Script Kiddies, “Insiders”, en una próxima entrega definiremos cada actor, sus motivaciones.

Información de amenazas

La información de amenazas de fuentes externas o los famosos “Threat Feeds” muchas veces están compuestas por una lista actualizada de URLs, direcciones IP y dominios conocidos que tienen en común que fueron comprometidas y/o utilizadas por los actores de la amenaza. Pero casi no tienen contexto. Para profundizar más en este tema recomiendo leer sobre la pirámide del dolor creada por David Bianco. https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html. Es importante recordar que también se genera información útil desde nuestra organización tanto técnicas como del negocio. En una entrega futura detallaremos las fuentes que nos permiten obtener esta información.

Inteligencia

Cuando hablamos de inteligencia nos referimos generalmente a información que ha sido enriquecida y analizada para convertirla en accionable. En una próxima entrega detallaremos los siguientes tipos de inteligencia: HUMINT, SIGINT, FININT, GEOINT, CYBINT Y OSINT.

Inteligencia de amenaza

La inteligencia de amenaza es el análisis de los adversarios, sus motivaciones, tácticas y técnicas y como están realizando crímenes que podrían replicarse en nuestra organización. EL valor se obtiene cuando se es capaz de generar acciones.

Ciber inteligencia de amenaza

El análisis de cómo los adversarios o cibercriminales usan sus estrategias desde que utilizan las capacidades que ofrece Internet. Al igual que la inteligencia de amenaza cuyo valor es lograr poder convertir la información sobre amenazas en acciones para fortalecer la postura de seguridad, no solo incluyendo un conjunto de indicadores de compromiso atómicos, sino aprendiendo de la información externa e interna e implementando controles efectivos.

Las organizaciones reconocen cada vez más el valor de la inteligencia sobre las amenazas.

Sin embargo, hay una diferencia entre reconocer el valor y recibir el valor. La mayoría de las organizaciones hoy en día centran sus esfuerzos en los casos de uso más básicos, como la integración de los datos de amenazas con la red existente a nivel de firewall sin aprovechar al máximo los conocimientos que la inteligencia puede ofrecer.

En esta primera entrega hemos cubierto los fundamentos para empezar nuestro recorrido sobre este interesante y fascinante tema, en la próxima entrega hablaremos de cuáles son los beneficios que obtiene una empresa cuando adopta un proceso de inteligencia de amenazas, donde se sugiere puede colocarse la función de inteligencia de amenazas dentro de la organización, el tipo de empresas que están moviéndose rápidamente a este modelo, que no es nuevo pero que en los últimos años ha tomado una gran relevancia.

Si quieres recibir directamente a tu correo electrónico las entregas de las series de ciber inteligencia de amenaza te invito a registrarte a nuestro newsletter.

Para mayor información sobre cómo podemos ayudarte a utilizar de forma efectiva la inteligencia de amenazas nos puedes escribir a info@remosblueteam.com

Somos REMOS Consulting, especialistas en seguridad defensiva (Blueteam). Ofrecemos servicios de colaboración para gestión estratégica y operativa de seguridad de la información, nos enfocamos en promover a la seguridad de la información como un pilar estratégico y a potenciar las capacidades de sus equipos técnicos y de las áreas de negocios.