¿Cuál es el objetivo?
El objetivo de proporcionar una inteligencia de amenazas y datos para la capacidad de liderazgo técnico es crear una conciencia técnica detallada de los peligros pertinentes y específicos del sector.
¿Por qué hacerlo?
Proporciona un punto de referencia inmediato para los indicadores de peligro y permite a los responsables técnicos comprender si una amenaza concreta se ha visto antes o es nueva y, por tanto, requiere un nuevo enfoque. Es una parte fundamental de la respuesta a los incidentes, ya que ser capaz de identificar un tipo de amenaza o malware de forma rápida y precisa permite que los responsables de la respuesta entiendan a qué se enfrentan y lo erradiquen de la red.
¿Cuáles son los resultados típicos?
- Informes mensuales rutinarios que detallan el panorama de las amenazas genéricas con datos técnicos para que los defensores los utilicen en los servicios de detección de intrusos.
- Un repositorio de datos históricos en el que se pueden realizar búsquedas para que los analistas de ciberseguridad los consulten.
- Informe de inteligencia adaptado y basado en el panorama de amenazas específico del país.
- Informes inmediatos por excepción basados en conjuntos de intrusión nuevos o cambiantes que supongan una amenaza específica: por ejemplo, si se encuentra una nueva vulnerabilidad, debería emitirse un informe basado en la excepción para concientizar sobre esta nueva amenaza.
¿Cómo se presta el servicio?
Normalmente como servicio por parte de especialistas en inteligencia de amenazas que proporcionan acceso a un portal en línea y alertas por correo electrónico para informes urgentes.
¿Con qué facilidad puede un país hacerlo por sí solo?
Hay muchos productos buenos de código abierto, es muy fácil empezar a utilizar la inteligencia sobre amenazas, sin embargo, es mucho más difícil producir datos y análisis propios.
¿Qué guías de buenas prácticas hay disponibles?
CREST es el líder del mercado británico en la formación de buenas prácticas en materia de inteligencia de amenazas, pero también el NCSC del Reino Unido gestiona una plataforma llamada CISP que proporciona inteligencia de amenazas y la oportunidad de que las empresas y las organizaciones compartan datos.
- Antes de que un cliente adquiera esta capacidad de un proveedor, es importante trazar primero el panorama de las amenazas que le conciernen. Esto significa que los requisitos del cliente se relacionan con la experiencia del proveedor. Por ejemplo, algunas empresas se especializan en Rusia, mientras que otras se especializan en bandas criminales, pero todas cubren la misma base de amenazas.
- Si el cliente desea desarrollar su propia capacidad, debe centrarse en la diversidad de habilidades necesarias para tomar un tema complicado y convertirlo en un informe para que una persona no técnica pueda tomar una decisión. El equipo de evaluación del NCSC del Reino Unido es líder en este aspecto y sus informes pueden encontrarse en la plataforma NCSC CISP.
- La solución más eficaz es una mezcla de experiencia interna, informes profesionales y código abierto asegurándose de que el contenido pertinente se adapte al panorama de las amenazas.
Costo
Suscripción – de gratuita a US$105.250 al año para los grandes proveedores. Para la formación de un equipo interno US$6.580 de formación por persona más salario, pero se requiere un nivel básico de conocimientos técnicos.
Duración
Las suscripciones suelen ser anuales y la formación de alguien desde cero supone unos tres meses de estudio, tutoría y experiencia antes de que sea eficaz, suponiendo un nivel básico de conocimientos técnicos.
Escenario 1
En 2018, CYSIAM recibió instrucciones de una organización con sede en el Reino Unido para investigar la actividad de una pieza crítica de infraestructura durante un período determinado con el fin de establecer una línea de referencia para futuras actualizaciones de su plan de seguridad. La organización había sido vulnerable a ataques anteriormente y, por lo tanto, también solicitó que investigáramos a los posibles causantes de la amenaza para futuros ataques similares. Nos pusimos en contacto para establecer el alcance y empezamos a recopilar datos técnicos de ataques anteriores, así como información de fuente abierta (OSINT) de ataques a organizaciones e infraestructuras similares.
A través de OSINT y, en particular, de la investigación en la web oscura de los posibles causantes de la amenaza, descubrimos una rama de un conocido grupo extranjero que publicaba instrucciones sobre cómo llevar a cabo ciberataques a organizaciones similares a nuestro cliente. Esto incluía manuales de instrucciones en PDF y vídeos que promocionaban a su grupo. El contenido del sitio web, los vídeos y los PDF se tradujeron al inglés y revelaron varias TTP (tácticas, técnicas y procedimientos), incluidas las herramientas utilizadas, el tipo de víctima y las vulnerabilidades que buscaban al elegirla.
Tras analizar los datos que habíamos recopilado, sugerimos que la motivación de esta campaña era el activismo político antioccidental con el objetivo de que los ataques siguieran siendo negables, debido a que estaban publicando manuales de instrucciones para otras personas. Inmediatamente recopilamos la información pertinente en relación con esta campaña en un breve informe de inteligencia y lo entregamos a nuestro cliente, que pudo asegurarse de que su infraestructura crítica fuera reforzada contra estas vulnerabilidades conocidas lo antes posible.
Escenario 2
En 2019, un cliente de Europa Oriental nos pidió ayuda para desarrollar su capacidad de detección de amenazas. Partían de un nivel de madurez muy bajo, por lo que el desarrollo de su propia inteligencia de peligros según el escenario 1 era demasiado pedir. En su lugar, les ayudamos a crear un proceso para identificar fuentes de inteligencia de amenazas que fueran gratuitas y de fácil acceso.
Utilizamos una combinación del sistema Mandiant Advantage Free de FireEye y la Plataforma de Intercambio de Información sobre Malware (MISP) para generar informes puntuales sobre nuevas amenazas. Estas plataformas proporcionan indicadores de compromiso y MISP ofrece una función de intercambio de indicadores para los socios que también están suscritos al servicio. De este modo, el cliente tuvo acceso inmediato a la información sobre amenazas.
A continuación, prestamos asesoramiento para la preparación de una hoja de ruta de desarrollo para que su propio personal estuviera mejor dotado para realizar sus propios análisis utilizando “carnadas” (honeypots) de investigación y otras formas de captación de datos. Elegimos la hoja de ruta de desarrollo de CREST para nuestros estudiantes y los apoyamos con tutoría continua.
Esta estrategia permitió que el cliente alcanzara un nivel inmediato de capacidad mientras reforzaba paralelamente la capacidad interna. En tres meses estaba desarrollando su propia información sobre amenazas y compartiéndola con la comunidad internacional.