Geekly articles weekly

Inteligencia de amenazas: un enfoque moderno para la seguridad de la información

Imagine que vino a trabajar, encienda la computadora y vea que el sitio web de su empresa no funciona, los productos están atascados en la aduana y no pueden llegar al almacén. E incluso en el protector de pantalla de la computadora, una persona desconocida entregó una imagen divertida. Un contador se le acerca y le informa que todos los fondos se han retirado de las cuentas, y sus datos personales deleitan a Internet con su presencia. Tomas una taza de café y vas a la ventana, y al otro lado de la calle, una compañía vecina ya está lanzando tus productos que alguna vez fueron únicos. Entonces su bella esposa se fue con un competidor más exitoso. En este punto, llega la comprensión: has sido hackeado.


Pero te avisaron: era necesario poner TI. Pero primero, veamos cómo funciona y protege.


Inteligencia de amenazas: inteligencia cibernética cuya tarea es obtener y analizar datos sobre amenazas actuales para predecir posibles ataques y prevenirlos.


La inteligencia de las amenazas consta de las siguientes etapas: recopilación y acumulación de datos sobre amenazas de diversas fuentes en un solo sistema, su enriquecimiento, análisis y aplicación de los conocimientos adquiridos.


Recolección y acumulación de datos.


Los datos de amenazas se recopilan utilizando los siguientes sistemas:


Robots de búsqueda : sistemas para recopilar información sobre sitios existentes en Internet;


Sandbox : un entorno aislado para la ejecución segura de código sospechoso para detectar y analizar malware;


Monitoreo de redes de botnets: redes de computadoras bajo el control del servidor de administración de un atacante;


Honeypot : un segmento de red asignado a un atacante como cebo, separado de la red segura principal de la organización;


Los sensores son programas de agentes que recopilan información útil de varios dispositivos.


Además, la base de datos se actualiza con bases de datos de filtraciones: información confidencial que se ha introducido ilegalmente en fuentes abiertas. Pueden ser credenciales de sistemas y servicios, direcciones de correo electrónico, información de tarjetas de crédito, contraseñas.


De las fuentes abiertas de OSINT, los feeds (datos analizados estructurados) provienen: datos sobre direcciones IP y dominios desde los cuales se distribuyen archivos maliciosos, sus muestras y hashes; listas de sitios de phishing y direcciones postales de remitentes de correos electrónicos de phishing; actividad de servidores C&C (comando y control); direcciones desde las cuales se escanean las redes con el propósito de inventariar y detectar versiones del sistema, banners de servicio y vulnerabilidades; Direcciones IP desde las cuales se realizan ataques de fuerza bruta; Firmas de Yara para la detección de malware.


Se puede encontrar información útil en los sitios de centros analíticos, CERT y blogs de investigadores independientes: vulnerabilidades descubiertas, reglas para su detección, descripción de investigaciones.


Los analistas en el proceso de investigación de ataques dirigidos reciben muestras de archivos maliciosos, sus hashes, listas de direcciones IP, dominios, URL que contienen contenido ilegítimo.


El sistema también recibe datos sobre vulnerabilidades detectadas en software y ataques de socios, proveedores y clientes.


La información se recopila de SZI: antivirus, IDS / IPS, firewall, firewall de aplicaciones web, herramientas de análisis de tráfico, herramientas de registro de eventos, sistemas de protección de acceso no autorizados, etc.


Todos los datos recopilados se acumulan en una sola plataforma, lo que permite enriquecer, analizar y difundir información sobre amenazas.


Enriquecimiento de datos


La información recopilada sobre amenazas específicas se complementa con información contextual: el nombre de la amenaza, el tiempo de detección, la geolocalización, la fuente de la amenaza, las circunstancias, los objetivos y los motivos del atacante.


También en esta etapa, se lleva a cabo el enriquecimiento (enriquecimiento de datos) para obtener atributos adicionales de naturaleza técnica a ataques ya conocidos:


  • URL
  • Direcciones IP
  • Dominios
  • Datos Whois
  • Dns pasivo
  • GeoIP - Información geográfica sobre la dirección IP
  • Muestras de archivos maliciosos y sus hashes
  • Información estadística y de comportamiento: técnicas, tácticas y procedimientos de ataque.

Análisis


En la etapa de análisis, los eventos y atributos relacionados con un ataque se combinan de acuerdo con los siguientes criterios: ubicación territorial, período de tiempo, sector económico, grupo criminal, etc.


Se determina la conexión entre los diversos eventos: correlación.


Cuando se trabaja con fuentes, la fuente de las fuentes se selecciona según los detalles de la industria; tipos de ataques relevantes para una empresa en particular; la presencia de atributos y COI que cubren riesgos que no están cubiertos por las reglas de los sistemas de seguridad. Luego se determina el valor de alimentación y se priorizan en función de los siguientes parámetros:


  • Fuentes de datos de alimentación: es posible que esta fuente sea un agregador de datos de fuentes OSINT y no proporcione ningún análisis patentado.
  • Relevancia: actualidad y "frescura" de los datos proporcionados. Deben tenerse en cuenta dos parámetros: el tiempo desde el momento en que se detecta un ataque hasta la distribución de un feed con datos de amenazas debe ser mínimo; La fuente debe entregar feeds a una frecuencia que garantice que la información sobre amenazas esté actualizada.
  • Unicidad: la cantidad de datos que no se encuentran en otros feeds. La cantidad de análisis que proporciona el feed.
  • Ocurrencia en otras fuentes. A primera vista, podría parecer que si se encuentra un atributo o IOC (Indicador de compromiso) en los feeds de varias fuentes, puede aumentar su nivel de confianza. De hecho, algunas fuentes de fuentes pueden extraer datos de la misma fuente, en la que la información puede no verificarse.
  • La integridad del contexto proporcionado. Qué tan bien se ordenó la información, si los objetivos del ataque, el sector de la economía, el grupo criminal, las herramientas utilizadas, la duración del ataque, etc.
  • Calidad (participación de falsos positivos) de las reglas para SIS en función de los datos del feed.
  • Utilidad de datos: la aplicabilidad de los datos de alimentación en investigaciones de incidentes.
  • El formato para proporcionar datos. Se tiene en cuenta la conveniencia de procesar y automatizar su carga en la plataforma. ¿La plataforma seleccionada para Threat Intelligence admite los formatos requeridos? Es parte de la pérdida de datos.

Las siguientes herramientas se utilizan para clasificar datos de fuentes:


  • Etiquetas
  • Taxonomías: un conjunto de bibliotecas clasificadas por los procesos de ataque, propagación de amenazas, intercambio de datos, etc. Por ejemplo, ENISA, CSSA, VERIS, Diamond Model, Kill Chain, CIRCL, MISP tienen sus propias taxonomías.
  • La agrupación en clúster es un conjunto de bibliotecas clasificadas por signos estáticos de amenazas y ataques. Por ejemplo, sectores de la economía; herramientas y hazañas usadas; TTP (Tacticks, Técnicas y Procedimientos), etapas y métodos de penetración, operación y consolidación en el sistema, basados ​​en la matriz ATT & CK.

Los analistas identifican las tácticas, técnicas y procedimientos de los atacantes, imponen datos y eventos sobre el modelo de intrusión en el sistema y construyen cadenas de ataque. Es importante formular una visión general del ataque, teniendo en cuenta la compleja arquitectura del sistema protegido y las relaciones entre los componentes. Se tiene en cuenta la posibilidad de un ataque en varias etapas, lo que afectará a varios hosts y vulnerabilidades.


Solicitud


En función del trabajo realizado, se realizan pronósticos: se identifican las direcciones probables de los ataques, se sistematizan teniendo en cuenta los detalles de la industria, la geolocalización, los plazos, las posibles herramientas y el grado de consecuencias destructivas. Las amenazas identificadas se priorizan según el daño potencial durante su implementación.


La información de Inteligencia de amenazas le permite detectar fugas de datos confidenciales de la organización que han caído en Internet y controlar los riesgos de la marca: discusión de planes de ataque en foros de darknet, uso ilegítimo de la marca en compañías de phishing, divulgación de secretos comerciales y su uso por parte de la competencia.


La base de conocimiento recopilada se usa para escribir reglas de detección de ataques para SIS, para responder rápidamente a amenazas dentro del SOC e investigar incidentes.


Los especialistas actualizan el modelo de amenaza y reevalúan los riesgos en relación con las condiciones cambiadas.


Conclusión


Tal enfoque integrado le permite prevenir ataques en la etapa de intentos de penetrar en el sistema de información.


Una plataforma para recopilar y analizar información sobre amenazas a la seguridad se incluye en los requisitos de la FSTEC (párrafo 24) al proporcionar servicios SOC. Además, Threat Intelligence puede ayudar en el intercambio de información sobre amenazas dentro del SOPCA estatal.


El uso de la experiencia de los profesionales de inteligencia cibernética en la recopilación, análisis y aplicación de datos sobre amenazas permite a las unidades de SI llevar la protección de la información de su compañía al nivel moderno apropiado.

Source: https://habr.com/ru/post/es427129/

More articles:


All Articles