Internet está llena de información que puede ayudar a prevenir, mitigar o afrontar las infinitas amenazas de ciberseguridad que existen y que se renuevan, se podría decir, a diario. Pero hay que tener algo muy claro: no por tener mucha información nos vamos a proteger mejor, es decir, tener por tener no es la solución si no se sabe qué hacer con ella o cómo usarla en beneficio propio.
Para no caer fácilmente en uno de los males comunes de la era digital que es la infoxicación, esa sobrecarga informativa que nos puede llevar a un efecto contrario al de estar informados, es necesario transformar esos datos disponibles en algo útil y en eso consiste la inteligencia de amenazas o Cyber Threat Intelligence.
Ante esto hay que tener en cuenta que no todo lo que se vende hoy en día como Cyber Threat Intelligence lo es. Eso es algo en lo que insistió el especialista en seguridad Ismael Valenzuela a su paso por Palabra de hacker cuando explicó qué es y qué no es inteligencia de amenazas. Además hay que tener en cuenta que en la actualidad la necesidad ha llevado a compartir información sobre amenazas con otros agentes de seguridad, organismos y empresas por estar en una lucha común: combatir a los malos, luchar contra el cibercrimen, prevenir ciberataques.
En esta ocasión es el especialista en ciberseguridad Alex Casanova el que se centra en explicar cómo se realiza el proceso de inteligencia, cómo funciona y las herramientas que se pueden emplear para compartir esta información y así poder defendernos de los malos. Y es que con su charla sobre Cyber Threat Intelligence que ofreció en la comunidad Hack&Beers durante las pasadas jornadas de TomatinaCON, al fin y al cabo habla de cómo es su día a día tanto de manera profesional como personal usando esa inteligencia de amenazas para prevenir ciberataques y afrontar amenazas.
Esta ponencia se complementa con la ofrecida por su compañero Javier Payá ‘Al buen tomashing 365. Análisis de un incidente de seguridad‘ en la que expone y analiza un incidente de seguridad real con el que le tocó enfrentarse en su trabajo.
Alex Casanova (@alexaliagasec) es actualmente Director de Operaciones del SOC en Sothis. Compagina su labor profesional con la radioafición (EA5HJX) ya que es un gran especialista en la seguridad en los sistemas de comunicaciones radio. Comparte sus investigaciones en su blog personal Digimodes.
¿Qué es Cyber Threat Intelligence? ¿cómo se realiza el proceso? ¿qué herramientas se emplean?
Tal y como indica Alex en su ponencia disponible tanto en vídeo como en podcast a continuación, la inteligencia de amenazas o Cyber Threat Intelligence (CTI) «es la organización, análisis y refinamiento de información sobre ataques potenciales o actuales que amenazan a una organización. Uniendo fuentes internas y externas de información, se puede conseguir afinar cuáles son las amenazas a las que se enfrente una organización permitiendo que los datos aislados se conviertan en información accionable».
Esto quiere decir que para que toda la información que se pueda encontrar disponible ya sea esta información no estructurada (obtenida en blogs, redes sociales, grupos de mensajería instantánea, foros en la Deep Web…) como información estructurada (STIX, TAXII, OpenIOC, cybOX) se debe someter a una curación de contenidos.
Tan solo cuando se apliquen en el proceso de inteligencia los filtros oportunos que se estimen convenientes para obtener determinada información que ayude investigar cada caso concreto o para trabajar con un cliente determinado ya que cada uno tiene unas necesidades específicas, entonces esa ingente cantidad de información inicial será útil. De lo contrario tan solo se obtendrá ruido que traerá como consecuencia un inversión de tiempo mayor.
En la actualidad existen múltiples herramientas disponibles que pueden servir en este proceso. El listado podría ser muy extenso así que me ciño a compartir las mencionadas por Alex Casanova en su presentación.
- Plataformas Open Source para Cyber Threats Intelligence:
- MISP: http://misp-project.org
- MineMeld: https://github.com/PaloAltoNetworks/minemeld
- Collaborative Research into Threats (CRITs): http://crits.github.io
- Collective Intelligence Framework (CIF): https://csirtgadgets.com
- GOSINT: https://github.com/ciscocsirt/GOSINT
- MANTIS: https://github.com/siemens/django-mantis
- Yeti: https://yeti-platform.github.io
- Blacklist e información accionable que pueden ayudar a configurar los firewalls para minimizar las posibilidades de que los ciberdelincuentes alcancen su objetivo:
- RBL, para comprobar si una IP está en un listado RBL (Realtime Blackhole List, listado de IPs en listas negras en tiempo real): http://www.anti-abuse.org/multi-rbl-check
- DNSBL, listas de bloqueo DNS: https://www.dnsbl.info
- DNSWL, reputación de correo electrónico, protección contra falsos positivos: https://www.dnswl.org
- ABUSE: https://www.abuseipdb.com
- Emerging Threats: https://rules.emergingthreats.net
- AlienVault: https://www.alienvault.com
- BADIPS: https://www.badips.com
Sin duda aquí hay un buen arsenal de herramientas con las que empezar a trastear y que se complementan con las que se encuentran en el artículo ‘Cómo montar un SOC (Centro de Operaciones de Seguridad) en casa‘ con el que recomiendo complementar esta charla junto con el listado de herramientas del artículo ‘OSINT. Fases, fuentes y herramientas‘ y con la charla ‘Inteligencia colectiva, usemos la cabeza‘ y el ciberdebate ‘Equipos de respuesta a incidentes de seguridad informática‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
Muy bueno el artículo y muy acertado, ya que es muy complicado o imposible canalizar tanta información que nos pueda interesar, como desechar aquella que no nos he útil. Un gran trabajo.
Es necesario esa labor de elección y criba de la información para no se vuelva en contra por no saber sacarle partido. Me alegra que te haya gustado el artículo.