CTI - Inteligencia de
amenazas cibernéticas

En los últimos años, la inteligencia de amenazas cibernéticas (CTI)
se ha convertido en una parte crucial de la estrategia
de ciberseguridad de organizaciones

¿Alguna vez te has preguntado....

¿Qué grupos criminales cibernéticos están
apuntando a mi organización?

¿Cuáles son los dispositivos comprometidos en la organización?

¿Cuáles son las TTPs de estos grupos criminales cibernéticos?

¿Cuáles son las nuevas modalidades de malware susceptibles a presentar riesgos para mi organización?

¿Cuáles son los posibles ataques de Zero-day?

¿Cuáles son los bases de datos filtradas y comprometidas?

Planificación y dirección

En este parte, es fundamental que definamos los requisitos de inteligencia cibernética de la organización ¿cuáles objetivos se buscan satisfacer a través del proceso de inteligencia? Sea para satisfacer una brecha de conocimiento sobre una amenaza particular o sobre su entorno. A nivel operativo: ¿qué grupos de adversarios cibernéticos apuntan a su organización? A nivel táctico, ¿cuáles son los métodos y técnicas del adversario? y, ¿en qué se debe centrar el equipo de ciberseguridad para
identificar las amenazas que tienen más probabilidades de generar daños a su organización?
Es clave modelar el análisis de amenazas basándonos en los riesgos expuestos, asegurar el mapeo interno de la organización, definir cuáles son los datos críticos, estratégicos y confidenciales, junto con el entendimiento de las posibles motivaciones del adversario. 

Recopilación de datos

Como parte del proceso de recopilación de inteligencia, nuestros analistas aplicarán diferentes herramientas y metodologías, entre ellas:

a. Análisis de intrusión:
De acuerdo con el modelo de Cyber Kill Chain de Lockheed Martin, tomando en cuenta las diferentes etapas del atacante: reconocimiento, armamento, entrega, explotación,
instalación, mando y control (C2), y acciones sobre los objetivos.

b. Recopilación de malwares:
Basándonos en diferentes muestras de malwares públicas y no públicas (zoos de
malwares), incluyendo una base propietaria de malwares.

c. Dominios e IPs:
Consiste en pivoteo de datos, validación, enumeración e identificación de amenazas.

d. Conjuntos de datos externos: OSINT, Deep web, Dark web, datos estructurados
y no estructurados, certificados TLS, entre otros. 

Procesamiento

Una vez que se ejecuta la recopilación de los datos, se procesan para su explotación.
Esto implica la interpretación de datos brutos, la evaluación de la pertinencia y la fiabilidad. Durante este proceso, de identificación de patrones y clasificación, se genera información relevante a la organización. Uno de los marcos en los cuales nos basamos es el modelo de diamante, lo cual toma en cuenta 4 componentes principales:

– El adversario: una organización o un actor de amenaza que utiliza una
capacidad contra una víctima para lograr sus objetivos.

– Capacidad: las herramientas y estrategias utilizadas por el adversario, conocido
como TTPs (Tactics, Techniques, and Procedures).

– Infraestructura: Se refiere a las estructuras de comunicación utilizadas por un
adversario para suministrar una capacidad (IP, emails, dominios, etc.)


– Víctima: el perfil del objetivo atacado, verificar si tiene vulnerabilidades
explotadas o tiene capacidades utilizadas en su contra.

Análisis y producción

El análisis y la producción es la conversión de información procedente de diferentes
fuentes en inteligencia cibernética procesada y válida, La cual permitirá a su
organización mejorar y fortalecer su postura de ciberseguridad. Informe de CTI ejecutivo detallando los hallazgos, entregado a nivel mensual.

Contáctanos

Para más información, póngase en contacto con nosotros.