Introducción a la inteligencia de amenazas

Introducción a la inteligencia de amenazas

Tiempo de lectura estimado: 11 minutos


Esta conferencia magistral pertenece al Módulo 5 “Inteligencia. Fuentes para la investigación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer qué es la ciberinteligencia, por qué es importante, qué tipos existen y cómo se llevaría a cabo un plan de ciberinteligencia.

Qué es la ciberinteligencia

Con el auge de las tecnologías han venido aparejados multitud de riesgos en forma de ciberataques. La ciberinteligencia de amenazas se refiere al conocimiento y a las habilidades basadas en la experiencia de las ciberamenazas.

El objetivo de la ciberinteligencia es ayudar a mitigar los posibles ataques y los eventos dañinos que ocurren en el ciberespacio. Este proceso comienza con una recopilación de datos e información sobre amenazas conocidas a partir de diversas fuentes.

¿Por qué es importante la ciberinteligencia?

Al contar con información sobre amenazas, los organizadores toman un papel proactivo con capacidades predictivas para futuros ataques. Si no se comprenden las vulnerabilidades de seguridad, los indicadores de amenazas y la forma en que éstas se llevan a cabo, es imposible combatir los ciberataques con eficacia.

La seguridad tecnológica cada vez se enfrenta a amenazas más sofisticadas, y junto al aumento de datos, hace casi imposible su análisis manual. Algunas organizaciones añaden bases de datos de amenazas en su red, pero esto le añade más carga de trabajo a la red, que ya era muy alta, si no se sabe qué optimizar o ignorar.

Una solución pasa por utilizar ciberinteligencia, ya que se automatiza la recopilación y el procesamiento de los datos, toman datos estructurados de otras fuentes y proporcionan un contexto a los mismos. Por tanto, si estamos preparados y nos anticipamos a los ataques en vez de esperarlos, podremos ahorrar grandes costes en el futuro por haber aumentado la seguridad de la red.

Un analista de ciberseguridad es capaz de clasificar los datos de los incidentes de seguridad recogidos de diferentes fuentes de inteligencia sobre amenazas y estudian el patrón de los ataques, su metodología, el motivo la gravedad y el panorama de las amenazas.

Indicadores de amenazas

La inteligencia de amenzas nos permite obtener indicadores de dos tipos, unos se centran en el “qué” (IoC) y otro en el “por qué” (IoA).

Indicadores de compromiso (IoC)

Son los indicadores técnicos tradicionales, se centran en la detección de amenazas. Nos demuestran si la red ha sido vulnerada. Algunos de los más comunes son:

  • Dominio o IP hostil.
  • Checksum de archivos sospechosos (por ejemplo, MDS, SHA256).
  • Reglas o firmas para detectar datos sospechosos o conocidos.
  • Datos relacionados con la posible explotación de una vulnerabilidad.
  • Técnicas, Tácticas y Procedimientos (TTPs) asociados con eventos hostiles.

Indicadores de ataque (loA)

Se centran en la detección de la intención del atacante. Algunos ejemplos son:

  • Comportamientos en tiempo real.
  • Metadatos de ejecución de código, DLLs, secuencia de eventos, acciones realizadas, etc.
  • Comportamiento del usuario en relación con la amenaza digital.
  • TTPs vinculados a datos hostiles.
  • Componentes persistentes utilizados en un ataque

Tipos de inteligencia de amenazas

  • Inteligencia estratégica: Proporciona una visión general del panorama de amenazas. Tendencias más amplias, normalmente destinadas a un público no técnico.
  • Inteligencia táctica: Detalla un resumen de las tácticas, técnicas y procedimientos de los actores de las amenazas para un público más técnico.
  • Inteligencia operativa u operacional: detalles técnicos sobre ataques y campañas específicas.

Plan de ciberinteligencia

El plan de ciberinteligencia es el resultado de un proceso que conlleva la recogida y el análisis de los datos. Este proceso, a medida que recogemos más datos evoluciona.

El primer paso es la planificación. Para ello debemos formular la pregunta correcta. Lo ideal es centrarnos en un único evento o actividad que queremos resolver y evitar preguntas amplias o ambiguas. Priorizaremos objetivos de inteligencia basándonos en factores como el grado de adhesión a la organización, la magnitud del impacto de la decisión o el tiempo que nos requerirá.

Debemos conocer quién se beneficiará y consumirá el producto final de la inteligencia, ¿será un equipo de analistas con conocimientos técnicos o un ejecutivo que busca una visión general?

A continuación, se lleva a cabo la recogida de datos en bruto que cumplan requisitos establecidos en la primera etapa. Lo ideal es recopilarlos de una gran cantidad de fuentes internas y externas como los registros de eventos de la infraestructura, redes sociales, listas de indicadores de compromiso, etc. También podemos recoger datos con inteligencia humana, con entrevistas o interrogatorios a los trabajadores, por ejemplo.

Luego, se produce un análisis en el que se debe discriminar a los datos no relevantes. La integración de herramientas y una gestión eficiente de los datos puede agilizar este proceso.

Después, llevamos a cabo el procesamiento y la explotación de los datos. Requiere su estructuración y normalización, para ello se utiliza el muestreo, validación, clasificación, formato o agregación. Los datos los almacenamos en un formato que nos permita obtener información valiosa y generar la inteligencia procesable.

Pueden presentarse en forma de cuadros de mando o gráficos, y con un contexto para que tengan sentido. También hay que filtrarlos, etiquetarlos con metadatos y eliminar datos redundantes y falsos positivos.

Tras ello, se estudian los datos en busca de posibles tendencias y patrones de problemas de seguridad y notificarlo a los equipos pertinentes. Este objetivo es ayudar a los analistas con la interpretación de los resultados y de los propios datos, y generar una inteligencia lo más útil y precisa posible.

A continuación distribuiremos los resultados a los responsables. Para que la inteligencia de amenazas sea procesable debe llegar al resto de las personas en el momento adecuado. También debe haber un seguimiento de la información para ver si da resultado y realizar un informe con aspectos como el impacto económico que podría sufrir la organización, historial de ataques, etc.

La inteligencia de amenazas puede utilizarse para dar respuesta a incidentes, operaciones de ciberseguridad, gestión de vulnerabilidades o análisis de riesgos. En cuanto a las fuentes de ciberinteligencia, en la etapa de recolección, debemos ver de qué fuentes se alimenta el proceso. Algunas fundamentales son las fuentes técnicas, foros que utilizan cibercriminales, dark web, medios de comunicación y redes sociales.

Algunas herramientas y fuentes de Threat Intelligence son Intercambio abierto de amenazas de AlienVault, Cisco Talos Intelligence, El proyecto Spamhaus, Departamento de Seguridad Nacional (DHS), FBI: InfraGard, El instituto SANS o Virustotal.

La inteligencia de ciberamenazas ha demostrado ser muy beneficiosa para distintos niveles de las entidades. La comprensión de las amenazas nos permite una respuesta rápida y específica así como la asignación de los recursos. Además nos proporciona una información muy valiosa para corregir determinados funcionamientos de la organización.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Manuel López Pérez

Pertenece al grupo de investigación BISITE, es analista en ciberseguridad y profesor en el máster de ciberseguridad de la USAL. Además, es miembro de la selección española de ciberseguridad (INCIBE).

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/