CyberThreat Intelligence: el área que toda empresa de seguridad necesitaÁrea de Innovación y Laboratorio de Telefónica Tech 2 mayo, 2019 Hoy en día, los ciberataques son realizados por personas que usan técnicas avanzadas. Es muy difícil predecir tanto las intenciones, como los medios empleados a la hora de realizar el ataque. En este escenario, el enfoque de la ciberseguridad clásica no es suficiente. Las empresas necesitan reclutar ciber profesionales para extraer la Threat Intelligence, y descubrir asínuevas amenazas desconocidas y crear mecanismos avanzados de defensa para proteger los activos IT de las empresas.Definición de Cyber Threat IntelligenceThreat Intelligence, también conocido como CTI, se define como el análisis de la información acerca de la amenaza, adversarios y de los patrones empleados en el ataque para tomar decisiones en base a todo lo anterior para su preparación, prevención y tomar acciones de respuesta contra Ciberataques. En este proceso de descubrimiento de cualquier “Unknow Threat” que una empresa está formada por las siguientes etapas: recogida de información, investigación de los datos recogidos, y análisis de las tendencias a la hora de perpetrar los ataques. El principal objetivo de CTI es que la empresa sea capaz de identificar las amenazas actuales y emergentes y sea capaz de desarrollar una postura proactiva de ciber seguridad, antes de que estas amenazas puedan ser explotadas. Este proceso de transformar una “amenaza desconocida” en “amenaza conocida” se comparte entre todas las áreas de negocio de la empresa para que la empresa pueda anticiparse a los posibles ataques.El proceso de CTI puede ser usado para identificar los factores de riesgo que son responsables de ataquesde malware, SQL injections, ataques de aplicaciones web, debilidad de datos, phishing, ataque de DoS, etc. Tales riesgos, después de ser filtrados, pueden ser puestos en un checklist y ser gestionados de manera correcta. CTI es beneficioso para una empresa ya que permite gestionar ciber amenazas con efectiva planificación y ejecución a través del análisis de la amenaza; también da fortaleza a los sistemas de defensa de las empresas, crea awareness acerca de los impedimentos de riesgos, y ayuda a la respuesta contra tales riesgos.Etapas de Threat IntelligenceExisten tres etapas para lograr Threat Intelligence: “Unknown Unknowns”, “Known Unknowns y Known Knowns.El proceso de CTI comienza enla etapa “Unknown Unknowns”, en la que no se tiene idea acerca de las amenazas y se intenta localizarlas. Después de obtener información acerca de las amenazas, pasamos a la etapa 2 llamada “Known Unknowns”. En esta etapa, se analiza la información y se entiende la naturaleza de las amenazas, y con estos datos se llega a la etapa 3 donde se mitigan las amenazas, a esta etapa se la conoce como “Known Knowns”.Como resumen, nos referimos a CTI como “el proceso de recoger información acerca de los presuntos ataques para entender el motivo que hay detrás de dichos ataques”, luego se analiza esta información recogida para intentar securizar por adelantado las infraestructuras IT de la empresa. De forma gráfica: Características de Threat Intelligence Recoger datos de varias fuentes tanto de código abierto como comerciales, así como de fuentes internas o externas.Crear alertas customizadas y priorizadas sobre la infraestructura IT de la empresa.Ayudar a identificar los Indicadores de compromiso (IoC) para prevenir a los activos de un posible ataque.Dar habilidad para implementar nuevas estrategias de protección.Da un entendimiento de las campañas activas que incluyen who, what, when, where, why y how acerca de las amenazas emergentes.Dar la probabilidad de riesgo y el impacto que tiene el mismo sobre el negocio.Recomendar varias soluciones de mitigación del riesgo. ¿Cómo puede Threat Intelligence ayudar a las empresas?Para disminuir el efecto que tienen las amenazas sobre las empresas, es importante que éstas incorporen CTIA para fortalecer la postura de seguridad. CTIA permite abarcar las siguientes áreas: Identify and Protect. La monitorización de amenazas internas y externas permite revelar amenazas desconocidas y vulnerabilidades que pueden conllevar riesgos para el negocio. CTIA ayuda a adaptar la actual estrategia de seguridad para que los TTPs de los atacantes a disminuir el efecto de las amenazas envolventes. Un assessment preparado ayuda a las empresas a evaluar sus capacidades para etiquetar la operabilidad de CTIA.Detect. La monitorización de amenazas e inteligencia en tiempo real ayuda a las empresas a detectar ataques más con rapidez y de manera más efectiva. CTIA ayuda a los analistas a descubrir los ataques en su etapa más temprana y así reducir las alertas irrelevantes y falsos positivos.Respond. CTIA da información contextual acerca de los ataques que incluyen IoCs, TTPs, etc. Las cuales ayudan a las empresas a prevenir la propagación de los ataques, a reducir el impacto causado, a reducir la duración de ataque y a proporcionar las medidas correspondientes para mitigar estos ataques. CTIA soporta el proceso de toma de decisiones para ayudar a crear las actividades de respuesta a incidentes correspondientes.Recover. CTIA detecta y elimina los mecanismos permanentes usados por los atacantes, como por ejemplo ficheros maliciosos instalados en los sistemas, y proporciona una rápida recuperación ante los ataques. CTIA prioriza la seguridad de los activos y ayuda a mejorar los mecanismos existentes de seguridad de estos. Fernando Palacios EscribanoArquitecto de seguridad del área de oficinas técnicas de ElevenPathswww.elevenpaths.com Y tú, ¿has dejado ya de cambiar las contraseñas periódicamente?Cómo funciona el «antimalware» XProtect para MacOS y por qué detecta poco y mal
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...