Threat Intelligence – SOC
Cambiando un poco la temática el día de hoy vamos a enfocar mas la entrada del post a la parte de inteligencia.
La Inteligencia sobre Amenazas (Threath Intelligence) es el análisis de datos e información utilizando herramientas y técnicas para generar patrones significativos que mitiguen los riesgos potenciales asociados con amenazas existentes o emergentes dirigidas a organizaciones, industrias, sectores o gobiernos.
Entre los tipos de inteligencia principales tenemos:
- Estratégica: se trata de monitorizar el panorama de amenazas de una organización y trazar áreas de riesgo basándose en las tendencias y amenazas emergentes que puedan afectar a las decisiones empresariales.
- Técnica: se trata de analizar las pruebas y herramientas que utiliza un agente malicioso. Los equipos de respuesta de incidentes de las organizaciones pueden utilizar esta información para reproducir los escenarios de ataque y desarrollar mecanismos de defensa contra estos.
- Táctica: se trata de analizar las tácticas, técnicas y procedimientos (TTP) de los atacantes. Esta información puede reforzar los controles de seguridad de las organizaciones y abordar las vulnerabilidades mediante investigaciones en tiempo real.
- Operativa: se trata de entender los motivos e intención de un atacante. Con esta información, se puede comprender e identificar los principales activos (personas, procesos y tecnologías) hacia los que pueden ir dirigidos estos ataques.
Este post se centra en la Inteligencia Técnica, con la cual los equipos de seguridad defensiva de las organizaciones pueden entender las principales herramientas que utilizan los atacantes para poder desarrollar medidas de prevención y mitigación de los posibles ataques que sufran en un futuro.
Prevención basada en Threath Intelligence
Hay distintas formas de atender a posibles eventos basándose en la información recogida del ejercicio de Threath Intelligence:
- Bloqueo de IP firewall: es medida de seguridad bien conocida que consiste en bloquear la entrada o salida de tráfico de red basándose en la dirección IP del dispositivo que intenta iniciar una conexión de red. Una buena medida es bloquear todas aquellas IPs maliciosas que sean conocidas, con el fin de impedir ataques DDoS o impedir los intentos de conexión a la infraestructura del atacante creando una puerta trasera.
- Bloqueo de dominios mediante puertas de enlace de correo electrónico: se pueden utilizar listas de bloqueo (similar al firewall) que no permitan la llegada de correos maliciosos. Esto reduce el riesgo de posibles phishing a los empleados de las organizaciones.
- DNS Sinkhole (sumidero): esta medida mitiga las conexiones de los activos a dominios potencialmente maliciosos. Consiste en redirigir todas las peticiones DNS de estos dominios maliciosos a un sumidero, impidiendo la resolución de sus direcciones IP.
Detección basada en Threath Intelligence
Conclusión
Powered by WPeMatico