La inteligencia de amenazas juega un papel fundamental en la prevención de ciberataques, puesto que permite a las organizaciones conocer amenazas emergentes y prepararse adecuadamente contra estas ante futuros ataques.
Estas amenazas pueden surgir tanto internamente como externamente en una organización, lo que genera la necesidad de que las organizaciones puedan proteger sus activos mediante la identificación y mitigación de los riesgos asociados a nuevas amenazas.
Esta inteligencia se enfoca principalmente en los indicadores de amenaza (IoA) sobre los recursos con los que cuenta un actor de amenaza para realizar un ataque (vectores de ataque). Esta inteligencia puede ser integrada en diferentes soluciones como IXDR (Inteligencia de detección de amenazas) para la monitorización, detección y análisis.
Es la inteligencia que proporciona información relacionada con ataques específicos y las capacidades que tiene un actor de amenaza. Los equipos de Respuesta a Incidentes (Incident Response) y los analistas de monitorización usan esta inteligencia para determinar si una alerta detectada puede hacer parte de un ataque.
Es la inteligencia que evalúa el impacto financiero y de decisiones comerciales en una organización. Es utilizada por los CISO y los gerentes de Ciberseguridad con el fin de comprender las tendencias en seguridad y tomar decisiones para la adquisición de nuevas tecnologías y mitigar los posibles impactos.
El framework Cyber Kill Chain describe las 7 etapas de un ataque con el objetivo de generar medidas preventivas. Permite a los analistas comprender cómo un atacante se puede desplazar por las redes internas, identificando y explotando diferentes vulnerabilidades existentes.
Es la primera etapa, donde los actores de amenaza recolectan toda la información posible de su objetivo antes de iniciar con un ataque. Esta información puede incluir vulnerabilidades públicas, entre otros detalles, que pueden funcionar como vector de entrada inicial.
En esta etapa, los actores de amenaza generan una carga útil maliciosa personalizada teniendo en cuenta la información recolectada en la primera etapa. La carga útil puede incluir un malware o herramientas existentes que pueden ser usadas en el ciberataque.
En esta etapa, los actores de amenaza utilizan diferentes métodos para la distribución de la carga útil maliciosa, como el spear phishing (phishing dirigido a objetivos específicos) que puede contener información diseñada para incitar a los usuarios a realizar click para la descarga de la carga útil.
En esta fase, los actores de amenaza desencadenan la carga útil maliciosa con el fin de explotar las vulnerabilidades descubiertas en etapas anteriores, infiltrarse en la red del objetivo y moverse lateralmente en esta.
En esta etapa, los actores de amenaza instalan otras variantes de malware y software malicioso que les permita obtener el control de los sistemas y extraer información confidencial.
Esta etapa consiste en la implementación de un canal bidireccional de comando y control (C2) por parte de los actores de amenaza, que les permite comunicarse con el malware y controlar a los equipos infectados (botnets).
Una vez que los actores de amenaza toman el control de la red pueden realizar diferentes tareas dependiendo de sus objetivos, por ejemplo, pueden interrumpir servicios implementando ataques de denegación de servicio distribuido (DDOS).
Conocer el framework Cyber Kill Chain y otros marcos como MITRE ATT&CK, es crucial para determinar las tácticas y técnicas que pueden usar los actores de amenaza en cada etapa de sus ataques. .Una organización con una buena postura de seguridad puede detectar un ataque en las fases tempranas, disminuyendo el Dwell Time.
El framework Cyber Kill Chain también puede permitir el análisis de ataques pasados con el fin de mejorar la respuesta a incidentes, a través de las lecciones aprendidas.
Los indicadores de compromiso (IoC) desempeñan un papel fundamental en la postura de seguridad de una organización, puesto que permiten detectar y responder oportunamente ante un ataque o incidente de seguridad. La pirámide del dolor representa los diferentes tipos de indicadores de compromiso que existen, clasificándolos por el nivel de dificultad que un actor de amenaza experimenta si los defensores los detectan, contienen y erradican.
A continuación se comparte la clasificación de los indicadores de compromiso según el marco de la pirámide del dolor, iniciando desde el nivel más bajo hasta el nivel más alto:
Hashes criptográficos (como MD5, SHA-1 , SHA-256, entre otros) de archivos maliciosos. Sin embargo, los atacantes pueden modificar fácilmente estos valores, por lo que representa un bajo impacto para los atacantes si estos son detectados.
Se refiere a las direcciones IP utilizadas por los atacantes, que pueden ser cambiadas mediante proxies o VPN. Gracias a la facilidad de modificación que poseen, su detección supone un bajo impacto para los atacantes.
Son nombres de dominios maliciosos usados por los atacantes, usualmente son usados para comando y control C2, o como ataques de phishing. El impacto en su detección es moderado para los atacantes, puesto que cambiar un nombre de dominio requiere más esfuerzo que cambiar una dirección IP.
Hace referencia a patrones de comportamiento en la red, como patrones de URI, valores de correo SMTP, agente de usuario HTTP, y similares. En cuanto a los hosts, implica la detección de actividad maliciosa. La detección de estos artefactos tiene un alto impacto para los atacantes, ya que modificar las metodologías de interacción en la red y los hosts requiere un esfuerzo mayor.
Es el software malicioso que usan los atacantes, por ejemplo exploits (software que se aprovecha de una vulnerabilidad). El impacto en su detección es alto, ya que cambiar las herramientas puede ser costoso para los atacantes.
Son los métodos y procedimientos que utilizan los atacantes en un ataque. Detectar los TTP tiene un impacto muy alto, pues cambiar las metodologías y procedimientos requiere un plan de reformulación completa de estrategias y tácticas de ataque.
Es importante compartir la información relacionada con inteligencia de amenazas, fomentando el intercambio seguro de información sensible. El Protocolo de Semáforo (TLP) permite indicar hasta dónde puede circular la información compartida más allá del receptor.
Este protocolo utiliza 4 colores que se explican a continuación:
La información está limitada solo a personas específicas, ya que su divulgación podría tener un impacto en la privacidad de la información.
La información debe ser distribuida de forma limitada, puesto que supone un riesgo para la privacidad de la información si es distribuida fuera de la organización.
La información puede ser compartida únicamente con las organizaciones de un mismo sector o comunidad.
La información puede ser compartida de manera pública dado que su distribución no representa un riesgo.
En conclusión, la inteligencia de amenazas juega un papel fundamental en la postura de seguridad de una organización. No solo permite prevenir ataques de manera proactiva y reducir los riesgos asociados con las amenazas, también mejora la respuesta a incidentes mediante el desarrollo de estrategias de seguridad basadas en la prevención, detección y respuesta.
Además, representa la necesidad de contar con soluciones tecnológicas avanzadas y personal calificado en inteligencia de amenazas. Un ejemplo de esto es nuestra Operación Unificada de Seguridad, cuyo enfoque es mejorar la postura de ciberseguridad y enfrentar amenazas conocidas. También reduce el Dwell Time, minimizando el tiempo de identificación y reacción ante ciberataques a solo minutos, gestionando así amenazas conocidas, emergentes y desconocidas.
https://www.attackiq.com/glossary/pyramid-of-pain/
https://www.incibe.es/incibe-cert/sobre-incibe-cert/tlp