ALEJANDRO PRADA | 28/09/2021
Threat Intelligence es la organización, análisis y refinamiento de información sobre potenciales ataques cibernéticos que pueden afectar a una organización. A través del estudio de fuentes externas e internas se puede conseguir afinar cuáles son las amenazas a las que se enfrenta una organización y que esa información ayude a la toma de decisiones.
El término Threat Intelligence, también conocido como "Threat Intel", "Cyber Threat Intelligence" o "CIT", es la organización, análisis y refinamiento de información sobre potenciales ataques que pueden afectar a una organización. A través del estudio de fuentes externas (públicas y privadas) e internas (logs, alertas de SIEM, etc.), se puede conseguir afinar cuáles son las amenazas a las que se enfrenta una organización y que esa información ayude a la toma de decisiones. La información puede ser tanto no estructurada (obtenida de blogs, redes sociales, foros underground o informes), como estructurada, siguiendo estándares de formato como son STIX o OpenIoC.
La inteligencia de amenazas usa conocimiento basado en la evidencia, incluyendo contexto, mecanismos, indicadores e implicaciones sobre los riesgos existentes o emergentes para los activos de una organización.
Desde hace años, las organizaciones están expuestas a una gran variedad de amenazas, recibiendo en ocasiones numerosos intentos de ataque. Por otro lado, las motivaciones de los atacantes se van ampliando y las técnicas que emplean evolucionan de manera muy rápida, superando las defensas de seguridad tradicionales y los enfoques operativos, ya que aún existe un gran número de empresas que siguen medidas reactivas en lugar de proactivas.
El Threat Intelligence permite a las organizaciones estar al día de los ataques que están ocurriendo en diferentes contextos, aumentando el conocimiento sobre la situación (Situation Awareness) y permitiendo una detección más rápida en caso de un incidente.
Podemos distinguir entre distintos tipos de Threat Intelligence, basándonos en la clase de información que maneja y en los roles a la que está destinada.
Descripción
Se centra en el alto nivel, en comprender las tendencias generales y los motivos de quienes realizan los ataques. Conocimiento muy útil para definir la estrategia de seguridad de la organización y ayudar en la toma de decisiones de negocio.
Interlocutores
Principalmente está destinada a los altos directivos del área de tecnologías de la información, como puede ser el Chief Information Security Officer (CISO), el Chief Information Officer (CIO) o el Chief Technology Officer (CTO).
Descripción
Analiza en detalle las características de los adversarios de cara a priorizar las operaciones de ciberseguridad que pueden considerarse más críticas.
Interlocutores
Analistas de Seguridad, Threat hunters o personas que trabajan en Respuesta ante Incidentes.
Descripción
Proporciona información sobre tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés), sobre cómo los actores pretenden realizar o están realizando sus ataques. Se centra en analizar la amenaza y enriquecer ese análisis con el fin de obtener indicadores de compromiso (IoC) que puedan ser utilizados tanto por personal de seguridad como por mecanismos automáticos de seguridad.
Interlocutores
Arquitectos y administradores de sistemas. Analistas de Seguridad y también sistemas automáticos como SIEMs, Firewalls, Endpoints o IDS/IPS.
La información que se maneja no es solo la relativa a Indicadores de Compromiso (IoC), sino también a las Tácticas, Técnicas y Procedimientos (TTPs) usados por los atacantes o los informes de inteligencia de amenazas.
Se puede ver el Threat Intelligence como un proceso cíclico que se va retroalimentando. Partiendo de una toma de requisitos, se pasa a una monitorización de potenciales amenazas, externas e internas; se analizan y comprueban; como salida se obtienen unos resultados que aportan conocimiento sobre las amenazas. Estos resultados se integrarán de nuevo en los requisitos, realimentando así el proceso de inteligencia.
Recorded Future, un referente mundial como proveedor de inteligencia para la seguridad empresarial, propone algo más elaborado, identificando 6 fases dentro del proceso de Threat Intelligence:
Direction: Establecer las metas para la estrategia de Threat Intelligence de la organización. Por ejemplo, qué activos de información, sistemas o procesos de negocio hay que proteger. Impacto, prioridades, etc.
Collection: Recolección de amenazas usando fuentes externas e internas.
Processing: Transformación de la información recogida en información que pueda ser usada dentro de la organización.
Analysis: Proceso (humano) que transforma la información procesada en inteligencia para la toma de decisiones.
Dissemination: El resultado del proceso de análisis (la inteligencia) se envía a los destinatarios correspondientes para la toma de decisiones. Puede incluir informar a externos a la organización.
Feedback: Es imprescindible un feedback constante para ser capaces de adaptar el proceso de Threat Intelligence a los requisitos de los distintos grupos a los que afecta.
Existen multitud de feeds de inteligencia con amenazas, casi en tiempo real, y puede ser muy tentador para una organización que va a implantar un proceso de Threat Intelligence suscribirse e integrarlo con el SIEM (información sobre seguridad y gestión de eventos) de la empresa o con su herramienta de Threat Intelligence. Sin embargo, esto puede ocasionar demasiado ruido, restando agilidad y capacidad al proceso de Threat Intelligence.
Según The Threat Intelligence Handbook (Recorded Future 2018), el primer paso es tener claras las necesidades y metas de tu proceso de Threat Intelligence. Los resultados del proceso de Threat Intelligence pueden afectar a varios equipos dentro de la organización; por ello, es importante establecer prioridades que reflejen las necesidades y metas generales de esta. Recorded Future plantea una serie de preguntas para ayudar a las organizaciones en su estrategia Threat Intelligence.
¿Cuáles son tus mayores riesgos?
¿De qué forma puede ayudar un proceso de Threat Intelligence a tratar esos riesgos?
¿Qué potencial impacto tiene tratar cada uno de esos riesgos?
¿Qué lagunas hay dentro de la organización que necesiten información, tecnología o personas para que el Threat Intelligence sea efectivo en esas áreas?
Una vez se ha contestado a estas preguntas, el siguiente paso es empezar por lo simple e ir aumentando la complejidad conforme a las necesidades y a los recursos de la organización (Stay simple, scale up).
Un pilar fundamental dentro del Threat intelligence es compartir información relativa a amenazas. Sin embargo, antes, hay que tener varias cosas en cuenta; una de ellas, qué tipo de información se puede compartir y cuál no. Para lidiar con este problema, a principios del 2000, el National Infrastructure Security Coordination Centre (UK) creó el protocolo Traffic Ligth Protocol (TLP). TLP se basa en lo siguiente:
TLP:RED. Cuando la información está limitada a personas concretas y podría tener impacto en la privacidad, reputación u operaciones si es mal utilizada. Los receptores no deben compartir información designada como TLP:RED con ningún tercero fuera del ámbito donde fue expuesta originalmente. Divulgación limitada, restringida a las organizaciones participantes.
TLP:AMBER. Cuando la información requiere ser distribuida de forma limitada, pero supone un riesgo para la privacidad, reputación u operaciones si es compartida fuera de la organización. Los receptores pueden compartir información indicada como TLP:AMBER únicamente con miembros de su propia organización que necesitan conocerla, así como con clientes, proveedores o asociados que necesitan conocerla para protegerse a sí mismos o evitar daños. El emisor puede especificar restricciones adicionales para compartirla.
TLP:GREEN.Revelación limitada, restringida a la comunidad.
TLP:WHITE. Se debe utilizar TLP:WHITE cuando la información no supone ningún riesgo de mal uso, dentro de las reglas y procedimientos establecidos para su difusión pública. La información puede ser distribuida sin restricciones, sujeta a controles de Copyright.
Otro aspecto a tener en cuenta es el indicador que se comparte. La Pirámide de Dolor, desarrollada por David J. Bianco, describe la relación entre los distintos tipos de indicadores que se pueden utilizar para detectar las actividades de un atacante y el daño que le puede ocasionar actuar sobre ellos. En general, cuanto más útil es la información (parte superior de la pirámide), más difícil será incluirla en el flujo de compartición y hacer análisis automatizados sobre ella, debido al detalle que aporta.
Existen varios formatos estándares a la hora de compartir información relativa a inteligencia de amenazas, como los que se recogen en este artículo de INCIBE-CERT, con sus pros y contras: IODEF, OpenIOC, CybOx y STIX. También podríamos hablar de MISP (Malware Intelligence Sharing Platform) que, además de una plataforma de Threat Intelligence, tiene un formato propio para compartir información. MISP es compatible con algunos de esos formatos como OpenIOC o STIX, así como con logs de IDS populares como Snort o Suricata y con SIEM's, lo que hace que sea una herramienta flexible y ampliamente utilizada, especialmente en Europa.
Cuando hablamos de Threat Intelligence frameworks, no nos referimos a tecnologías, sino a frameworks téoricos o conceptuales que modelan el comportamiento de los atacantes.
Es un modelo de defensa, desarrollado por Lockheed Martin, para ayudar a mitigar ciberataques. Identifica los pasos que deben completar los adversarios para alcanzar su objetivo, centrándose en la red, en la exfiltración de datos y cómo mantener la resiliencia en la organización. Detener a los atacantes en cualquier etapa rompe su secuencia; deben progresar a través de todas las fases para alcanzar el éxito y nosotros, los “defensores”, sólo tenemos que bloquearlos en cualquiera de ellas.
Este es un modelo de orientación más militar basado en el análisis del escenario que debe realizarse como parte de las actividades de inteligencia previas al combate. En esta aproximación, se aplica la información obtenida para lograr lo que en terminología militar se denomina "Intelligence preparation of battlefield o IPB", donde las labores fundamentales son ganar en conocimiento del enemigo, sus motivaciones y capacidades, con el objetivo de poder calibrar nuestras oportunidades de éxito. Un ejemplo de aplicación de Diamond model es el de la empresa Threat Connect, que toma como referencia la batalla de Yavin de Star Wars.
Adversarial Tactics, Techniques, and Common Knowledge de MITRE Corporation. Este modelo puede ser utilizado para caracterizar y describir el comportamiento del adversario una vez logra la intrusión inicial y comienza a buscar su verdadero objetivo. ATT&CK se centra en estudiar al enemigo cuando ya se encuentra en nuestros sistemas, proporcionando un mayor nivel de granularidad en la descripción de lo que puede ocurrir durante una intrusión después de que un atacante haya conseguido acceso al sistema.
Nuestro equipo de I+D trabaja en las actividades de Threat Intelligence en varios proyectos de investigación dentro del programa Horizonte 2020. Por ejemplo, 4SECURAIL y SAFETY4RAILS se centran en las amenazas no solo físicas, sino cibernéticas, a una infraestructura crítica como es el transporte por rail. En el caso de TRUST aWARE, el objetivo es abordar distintos retos relacionados con las amenazas a la seguridad y privacidad de los usuarios de servicios digitales.
TECNOLOGÍA PARA LA DETECCIÓN DEL FRAUDE
La capacidad para detectar situaciones fraudulentas es un delicado tema que aplica a muchas industrias, afectando especialmente a aquellas empresas del sector financiero y de seguros.
SEGURIDAD INFORMÁTICA EN LA INDUSTRIA 4.0
Cualquier sistema de prevención y detección de fraude o un uso inapropiado de algún procedimiento o dispositivo digital, se puede englobar en el concepto de seguridad informática.