open source threat intelligence en las organizaciones€¦ · threat intelligence ¿cómo nos ve el...
TRANSCRIPT
![Page 1: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/1.jpg)
www.securetia.com
Open SourceThreat Intelligence
en lasOrganizaciones
![Page 2: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/2.jpg)
www.securetia.com
Objetivos
1) Concepto “Activos de Internet”
2) Fuentes abiertas de información
3) Herramientas de interés
![Page 3: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/3.jpg)
www.securetia.com
Activos de Internet
“Todo activo de una organización que esté relacionado más con internet que con un bien
material”
![Page 4: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/4.jpg)
www.securetia.com
Activos de Internet
Direcciones IP
Cuentas en Redes Sociales
Nombres de Dominio
Sitios Web
![Page 5: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/5.jpg)
www.securetia.com
Activos de Internet
“Actualmente, son el medio a través del cual las organizaciones se comunican con el mundo”
![Page 6: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/6.jpg)
www.securetia.com
Threat Intelligence
Utilizado por varias soluciones de seguridad actuales, como UTM, NG-FW, AntiVirus, etc.
Se usa en los web browsers y en los servidores de email (este último, hace mucho tiempo).
![Page 7: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/7.jpg)
www.securetia.com
Core de Varias Empresas
Recorded Future (www.recordedfuture.com)
Threat Connect (www.threatconnect.com)
Crowd Strike (www.crowdstrike.com)
iSight Partners (www.isightpartners.com)
Norse (www.norse-corp.com)
Threat Stream (www.threatstream.com)
Emerging Threats (www.emergingthreats.net)
![Page 8: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/8.jpg)
www.securetia.com
Threat Intelligence
“Información pública sobre equipos y activos maliciosos o sospechosos”
![Page 9: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/9.jpg)
www.securetia.com
Formatos de Información
JSON
XML
TXT
CSV
DNSBL API REST
![Page 10: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/10.jpg)
www.securetia.com
Estándares Emergentes
OTX
STIX
TLP
TAXII
OpenIOC
VERIS
CybOX
IODEF
![Page 11: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/11.jpg)
www.securetia.com
Fuentes de Información
![Page 12: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/12.jpg)
www.securetia.com
Fuentes de Información
![Page 13: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/13.jpg)
www.securetia.com
Threat Intelligence
Uso HabitualBloqueo de Conexiones Sospechosas
![Page 14: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/14.jpg)
www.securetia.com
Threat Intelligence
NO es la solución a todos los problemas.
Aún necesitamos: Patch Management, Backups, AntiMalware, Segmentación de Redes, etc.
![Page 15: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/15.jpg)
www.securetia.com
Threat Intelligence
¿Cómo nos ve el mundo?(reputación de nuestros activos)
Es un concepto que se usa mucho en otras áreas, pero que en seguridad no venía importando.
Tenemos que conocernos y conocer cómo nos ve el mundo.
![Page 16: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/16.jpg)
www.securetia.com
Threat Intelligence
¿ Y si se empieza ahablar “mal” de nosotros?
![Page 17: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/17.jpg)
www.securetia.com
Threat Intelligence
Caso 1:Envío de Correo No Deseado
![Page 18: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/18.jpg)
www.securetia.com
Threat Intelligence
Envío de Correo No Deseado: Causas
Campañas de Mail-Marketing Erróneas
Malas Configuraciones de Servidores de Mail
Servidores/Workstations Infectadas
![Page 19: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/19.jpg)
www.securetia.com
Threat Intelligence
Envío de Correo No Deseado: Consecuencias
Aparecer en listas de DNSBL (ej. Spamhaus)
Mails salientes rechazados
Denegación de Servicio
![Page 20: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/20.jpg)
www.securetia.com
Threat Intelligence
Caso 2:Hosting de Sitios Maliciosos
![Page 21: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/21.jpg)
www.securetia.com
Threat Intelligence
Hosting de Sitios Maliciosos: Causas
Abuso de los recursos de la organización
Sitios Web Vulnerables (ej: XSS, RFI)
Servidores Web/DNS Infectados
![Page 22: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/22.jpg)
www.securetia.com
Threat Intelligence
Hosting de Sitios Maliciosos: Consecuencias
Listas negras (ej: Google Safe Browsing)
Pérdida de Reputación
Denegación de Servicio
![Page 23: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/23.jpg)
www.securetia.com
![Page 24: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/24.jpg)
www.securetia.com
Threat Intelligence
Caso 3:Errores Humanos / Técnicos
![Page 25: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/25.jpg)
www.securetia.com
Proyecto Karma
Centralizar fuentes abiertas de información
Detectar “problemas” en activos de internet
Proveer información sobre acciones a tomar
![Page 26: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/26.jpg)
www.securetia.com
Proyecto Karma (Activos)
Redes (IPv4/IPv6)
Dominios
Sitios Web
Cloud Providers (AWS, Rackspace, Digital Ocean)
![Page 27: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/27.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Aparecer en listas DNSBL (Spamhaus, SpamCop, etc)
Envío de Spam, Malware y campañas de Phishing Una mala campaña de email marketing Estar infectado con malware
![Page 28: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/28.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Aparecer en BBDD de Phishing (Phishtank, OpenPhish)
Vulnerabilidades XSS / SQL Injection, etc (redirección) Uso inapropiado de los recursos organizacionales Servidor Web/DNS vulnerados
![Page 29: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/29.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Aparecer en reportes de compromiso (OTX, OpenIOC, etc)
Hosting y distribución de Malware Hosting de sitios maliciosos Pertenecer a una botnet
![Page 30: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/30.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Categorización negativa del sitio web
Publicación de contenido inapropiado Errores de categorización por parte del proveedor
![Page 31: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/31.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Equipos maliciosos en redes contiguas
Posible bloqueo si las actividades malicosas persisten(No es culpa nuestra, pero puede ocasionar problemas)
Sólo es posible reportarlo al ISP
![Page 32: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/32.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Aparecer dentro de las listras negras de IP / dominios
Cualquiera de los motivos anteriormente explicados
![Page 33: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/33.jpg)
www.securetia.com
Proyecto Karma (Alerts)
Cuentas del dominio publicadas en internet (c/passwd)
Cuenta de alguno de los servicios comprometida(email, redes sociales, otros servicios)
![Page 34: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/34.jpg)
www.securetia.com
Proyecto Karma (Sources) Abuse.ch Alienvault Open Thret Exchange Bambenek Consulting Binary Defense CINS score Daniel Austin MBCS DroneBL DShield Emerging Threats Google Safe Browsing ISC SANS
![Page 35: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/35.jpg)
www.securetia.com
Proyecto Karma (Sources) Malware Domains OpenPhish Passive Spam Block List PhishTank Shalla Secure Services KG SORBS SpamCop Spamhaus UCE Protect UT Capitole More coming soon!
![Page 36: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/36.jpg)
www.securetia.com
Proyecto Karma (Standards)
OpenIOC
JSON
Google GSB
XML
CSV
TXTDNSBL
WhoIs
![Page 37: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/37.jpg)
![Page 38: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/38.jpg)
www.securetia.com
Proyecto Karma
![Page 39: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/39.jpg)
www.securetia.com
Proyecto Karma
![Page 40: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/40.jpg)
www.securetia.com
Proyecto Karma
![Page 41: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/41.jpg)
www.securetia.com
Proyecto Karma
![Page 42: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/42.jpg)
www.securetia.com
Proyecto Karma (Usos)
Alerta temprana sobre problemas de reputación
Detección de Intrusiones
Cumplimiento con mejores prácticas
Análisis de Tendencias (HUMINT)
![Page 43: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/43.jpg)
![Page 44: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/44.jpg)
www.securetia.com
¿Preguntas?
![Page 45: Open Source Threat Intelligence en las Organizaciones€¦ · Threat Intelligence ¿Cómo nos ve el mundo? (reputación de nuestros activos) Es un concepto que se usa mucho en otras](https://reader036.vdocument.in/reader036/viewer/2022071213/60404e95a506b96c2a21b065/html5/thumbnails/45.jpg)
www.securetia.com
Muchas Gracias!
Fabian Martinez Portantier
SecuretiaAlicia M de Justo 1150T: +54 11 5278-3457