Lo último:
Seguridad

Threat Intelligence – SOC

Gustavo Genez


Cambiando un poco la temática el día de hoy vamos a enfocar mas la entrada del post a la parte de inteligencia.

La Inteligencia sobre Amenazas (Threath Intelligence) es el análisis de datos e información utilizando herramientas y técnicas para generar patrones significativos que mitiguen los riesgos potenciales asociados con amenazas existentes o emergentes dirigidas a organizaciones, industrias, sectores o gobiernos.

Entre los tipos de inteligencia principales tenemos:

  • Estratégica: se trata de monitorizar el panorama de amenazas de una organización y trazar áreas de riesgo basándose en las tendencias y amenazas emergentes que puedan afectar a las decisiones empresariales.
  • Técnica: se trata de analizar las pruebas y herramientas que utiliza un agente malicioso. Los equipos de respuesta de incidentes de las organizaciones pueden utilizar esta información para reproducir los escenarios de ataque y desarrollar mecanismos de defensa contra estos.
  • Táctica: se trata de analizar las tácticas, técnicas y procedimientos (TTP) de los atacantes. Esta información puede reforzar los controles de seguridad de las organizaciones y abordar las vulnerabilidades mediante investigaciones en tiempo real.
  • Operativa: se trata de entender los motivos e intención de un atacante. Con esta información, se puede comprender e identificar los principales activos (personas, procesos y tecnologías) hacia los que pueden ir dirigidos estos ataques.

Este post se centra en la Inteligencia Técnica, con la cual los equipos de seguridad defensiva de las organizaciones pueden entender las principales herramientas que utilizan los atacantes para poder desarrollar medidas de prevención y mitigación de los posibles ataques que sufran en un futuro.

Prevención basada en Threath Intelligence

Hay distintas formas de atender a posibles eventos basándose en la información recogida del ejercicio de Threath Intelligence:

  • Bloqueo de IP firewall: es medida de seguridad bien conocida que consiste en bloquear la entrada o salida de tráfico de red basándose en la dirección IP del dispositivo que intenta iniciar una conexión de red. Una buena medida es bloquear todas aquellas IPs maliciosas que sean conocidas, con el fin de impedir ataques DDoS o impedir los intentos de conexión a la infraestructura del atacante creando una puerta trasera.
Ejemplos de bloqueo vía firewall.


  • Bloqueo de dominios mediante puertas de enlace de correo electrónico: se pueden utilizar listas de bloqueo (similar al firewall) que no permitan la llegada de correos maliciosos. Esto reduce el riesgo de posibles phishing a los empleados de las organizaciones.

Bloqueo de dominios mediante la pasarela de emails

  • DNS Sinkhole (sumidero): esta medida mitiga las conexiones de los activos a dominios potencialmente maliciosos. Consiste en redirigir todas las peticiones DNS de estos dominios maliciosos a un sumidero, impidiendo la resolución de sus direcciones IP.

Sumidero DNS

Detección basada en Threath Intelligence

La implementación de las medidas de prevención mencionadas anteriormente también permite la detección de ataques realizados. Sin embargo, el uso de las reglas de firewalls o las listas de bloqueo de los IOCs (indicador de compromiso), se deben ir actualizando continuamente a medida que también crecen estos IOC.

Adicionalmente, existen varias herramientas que ayudan a la detección de las intrusiones de conexiones maliciosas como pueden ser Sigma, Uncoder o ElastAlert, entre otros.

Conclusión

En este mundo de amenazas en constante evolución, necesitamos utilizar cada gramo de conocimiento para proteger nuestra organización, por eso es muy importante que haya una colaboración mundial con la que podamos proteger y mejorar la seguridad de todas las organizaciones.

Javier Muñoz, analista de ciberseguridad en Zerolynx.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Atacantes explotan una nueva vulnerabilidad de Microsoft Exchange

Gustavo Genez

Vulnerabilidad de seguridad crítica en FortiWAN.

Gustavo Genez

CISOVERSO, nuevo hub de conocimiento y networking para CISOs

Gustavo Genez