Post on 08-Jun-2020
Inteligencia de amenazas ¿Moda o realidad?
John A. Garcia Avianca
johnagr@gmail.com
Agenda
• Retos actuales
• Inteligencia de amenazas – Conceptos y aplicabilidad
• Conclusiones
2
Retos actuales Si conoces al enemigo y a ti mismo, no debes temer el resultado de cientos de batallas.
Sun Tzu – El arte de la guerra.
Las Organizaciones están cambiando…
Conectividad del todo
Móvil
Aumenta la dependencia en
el acceso a la información y
análisis
Información
Mercadeo digital
Social
Provee agilidad y respuesta
rápida al cambio
Nube
Information Cloud
Mobile Social
The Realization of Digital Business and Its Supporting Services – Gartner 2015
Las amenazas evolucionan…
2016 data breach report - verizon
Los adversarios son otros…
Hacktivistas
Crimen Organizado
Terroristas
Patrocinados por el estado
Internos
Cada vez se hace más complejo proteger a la
Empresa …
M-trends 2015 - mandiant
205 días 69% 100% Minutos Es el promedio de días
que un atacacante
permanece en un una red
antes de ser detectado
De las brechas son
reportadas por terceras
partes
De las víctimas tenían
software antivirus
actualizado
Toma para un atacance
vulnerar una red.
Por ende el enfoque de gestión debe transformarse !
Inspirado en el NIST cybersecurity framework
Inteligencia
de
Amenazas
Inteligencia de amenazas Si conoces al enemigo y a ti mismo, no debes temer el resultado de cientos de batallas.
Sun Tzu – El arte de la guerra.
¿Qué es inteligencia de amenazas?
“ Conocimiento basado en evidencia, incluyendo su contexto mecanismos, indicadores, implicaciones y acciones concretas, sobre una amenaza o peligro existente o emergente a los activos y que pueda ser usada para tomar decisiones informadas y acciones de respuesta por parte del afectado por la amenaza o peligro. “ Gartner
“Información sobre las amenazas y los agentes de amenaza que proporciona una comprensión suficiente para mitigar un evento dañino. “ Bank of England Cyber Working Group.
Conocimiento
Información
Datos
Inteligencia
Contexto
Significado
¿Qué tipo de información de inteligencia existe?
Estratégica
Operacional Táctica
Inteligencia acerca de los riesgos y
consecuencias asociadas a las amenazas
que se usa para la toma de decisiones a alto
nivel y direccionamiento de la estrategia
Estratégica
Inteligencia de carácter técnica que
normalmente contiene información específica
de una IP, URL, dominio, hash maliciosa (IOC)
Táctica
Inteligencia que se enfoca en las
técnicas , herramientas y metodologías
de los adversarios (TTP)
Operacional
¿Cuáles son las fuentes de inteligencia ?
Internas Generada de los procesos y tecnologías al interior de la Organización. (incidentes,
forense, SIEM, IPS, network monitoring, etc)
Open Inteligencia derivada de fuentes disponibles públicamente(ej. cymon.io,
haveibeenpwned.com/, intel.criticalstack.com, threatminer.org - reportes de
verizon, fireeye, crowdstrike, etc.)
Comerciales Generada por proveedores especializados y que tiene un valor comercial (ej.
Digitalshadows, isightpartners, recordedfuture, entre otros.)
Organizaciones Derivada de organizaciones con necesidades comunes principalmente de
sectores o industrias similares (ISAC, ISAO)
HUMINT (Human intelligence)
TECHINT (Technical Intelligence )
SIGINT (Signals Intelligence)
OSINT (Open Source Intelligence)
¿Por qué es esencial compartir inteligencia ?
ISAC CERT
SCP
Org. 1
Org. 2
GOV
Cambia el paradigma En el mundo actual no es posible protegerse de amenazas avanzadas si no se busca
un enfoque colaborativo. Estableciendo comunidades y relaciones para compartir
inteligencia todos pueden verse beneficiados para responder efectivamente ante una
amenaza.
Los ataques de hoy en día no solamente van dirigidos a una organización sino
muchas veces a un sector o país. Es clave entender y responder de manera
colaborativa.
Lenguaje y estándar común
Es necesario hacer uso de estándares comunes para compartir, ej: STIX, TAXII,
OPENIOC, OTX, VERIS, TLP, etc.
ISAC/ISAO (Information sharing and analysis center)
Facilitan compartir información de inteligencia de manera anónima y segura con
todos los actores involucrados en un sector o industria. Más
información:nationalisacs.org
Necesidades comunes
Ejemplo de inteligencia OSINT
Ejemplo de inteligencia comercial
Ejemplo de inteligencia SIGINT
Ejemplo de inteligencia ISAC
¿Cuales son los componentes claves de una
estrategia de inteligencia de amenazas?
Herramientas tecnológicas que soportan la gestión y automatizan los procesos.
Tecnología Estructura, habilidades y competencias necesarias para la gestión.
Personas
Ciclo de la gestión que involucra el conjunto de actividades para recopilar, analizar y tomar acciones con base en la información de inteligencia
Procesos
¿Cómo es un proceso de inteligencia de amenazas?
Compartir
Establecer los requerimientos y
necesidades de las partes
interesadas
Identificar oportunidades de mejora y
lecciones aprendidas para mejorar u
optimizar el proceso
Tomar acciones frente a la
información analizada (preventivas,
detectivas, de respuesta)
Determinar y recolectar las fuentes
(datos e información) de inteligencia
Analizar la información recoplida para
dar contexto y significado a la misma.
¿Cómo identificar las necesidades?
Defina objetivos claros y considere los requerimientos de las partes interesadas (CEO, CISO, CTO, Risk, SOC, etc.) con el fin de priorizar las acciones de inteligencia (estratégico, táctico y/o operativo – detectar, proteger, y/o responder).
Planes de negocio (nuevos servicios, adquisiciones, estrategias)
Activos de alto valor (joyas de la corona) e informes de riesgos
Amenazas y sus agentes (ej. Perfil de amenazas. )
Incidentes (Experiencias pasadas en los incidentes de la Organización)
Fuentes de inteligencia(phishing, divulgación de bases de datos, contraseñas, IOCs, etc)
Necesidades – Ejemplo de perfil de amenazas
Building an effective corporate cyber threat intelligence practice – Delta Risk
¿Qué recurso humano se requiere ?
Dedicado Recursos dedicados a la función
mejor práctica
Compartido Comparte funciones con otras áreas
de la seguridad (ej. Opsec,
arquitectura seg.)
Outsourcing Servicios gestionados por terceros
ej: recursos externos , SOC externo ,
SeCaaS
Interno Contratación directa por la empresa
Dificultad para conseguir personal
calificado
El estado actual de la tecnología…
Internas
Open
Comerciales
Organizaciones
Fuentes de
inteligencia
Tecnologías de
seguridad
Firewall
IPS
Endpoint
Web filtering
WAF
SIEM
DLP
Analista
El estado ideal de la tecnología…
Internas
Open
Comerciales
Organizaciones
Fuentes de
inteligencia
Tecnologías de
seguridad
Firewall
IPS
Endpoint
Web filtering
WAF
SIEM
DLP
Plataforma de
inteligencia
Analista
Plataformas open source y de uso «gratuito»
Open Threat Exchange alienvault.com/open-threat-exchange
CRITs crits.github.io
Soltra edge soltra.com
IntelMQ github.com/certtools/intelmq
CSIRT Gadgets CIF, Bearded Avenger
csirtgadgets.org
Threatconnect github.com/certtools/intelmq
MISP misp-project.org
Recomendaciones para la adquisición de tecnologías
y feeds comerciales
Entienda claramente el tipo de
tecnología que necesita
basado en las necesidades
(casos de uso)
Realice inversiones
inteligentes. La mayoría de
los productos usan modelos
por suscripción.
Evalue los productos con una
prueba de concepto (POC)
con proveedores pre-
seleccionados
Considere reportes
comparativos generados
por fuentes reputables
ej.Gartner,Forrester, etc.
Considere clave el nivel de
integración con otras
tecnologías y estándares que
soporta.
Evalue las capacidades
analíticas del producto
ofrecido y la dependecia
de análisis humano.
Conclusiones Si conoces al enemigo y a ti mismo, no debes temer el resultado de cientos de batallas.
Sun Tzu – El arte de la guerra.
Caso de la vida real y su aplicabilidad
Banco ACME Con mayor información de
inteligencia que permite
identificar el agente , su TTPs y
los IOCs del ataque , el Banco
toma acciones preventivas para
mitigar la posible amenaza.
Banco del Austro Se hace público un nuevo ataque
muy similar al de BCB usando
SWIFT. El robo es de 12 millones y
fue identificado en 2015. Se conoce
más información del tipo de ataque.
Banco ACME Mediante una fuente de
inteligencia OSINT el Banco
se enterá del ataque e inicia
el análisis de la amenaza y
su impacto.
Banco central Bangladesh Se hace público un ciber ataque
al Banco por robo de 81 millones
a través del sotfware SWIFT.
Beneficios y retos de la inteligencia de amenazas
Ayuda al negocio a entender mejor los
riesgos y las implicaciones de las
amenazas con el fin de tomar mejores
decisiones para la protección de activos.
Fortalece la postura de seguridad
focalizando esfuerzos en controles costo
eficientes y que protegen a la
organización.
Habilita una detección y respuesta
temprana a incidentes complejos y de
impacto al negocio.
Estratégico
Protección
Respuesta
Es una disciplina joven en el campo de
la infosec.No hay criterios ni prácticas
estándarizadas. La tecnología es
inmadura.
El alto nivel de especialización a nivel de
competencias y habilidades; así como la
disponibilidad de recursos puede dificultar
una adecuada gestión.
La privacidad se vuelve un factor sensible
al momento de compartir información con
terceros.
Madurez
Recurso humano
Confianza
Otros recursos
http://www.bankofengland.co.uk/financialstability/fsc/Documents/cbestthreatintelligenceframework.pdf http://www.sei.cmu.edu/about/organization/etc/citp-training-and-education.cfm https://www.verisign.com/en_US/forms/reportforrestervendor.xhtml https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/etl2015/enisa-threat-taxonomy-a-tool-for-structuring-threat-information http://h20195.www2.hp.com/V2/getpdf.aspx/4aa4-9200enuc.pdf http://csrc.nist.gov/publications/drafts/800-150/sp800_150_second_draft.pdf https://www.sans.org/reading-room/whitepapers/analyst/cyberthreat-intelligence-how-35767 https://zeltser.com/malicious-ip-blocklists/ https://zeltser.com/lookup-malicious-websites/ http://www.spiderfoot.net/info/#sources
GRACIAS
John A. Garcia johnagr@gmail.com