PDF de programación - Open Source - Threat Intelligence en las Organizaciones

Open Source

Threat Intelligence

en las

Organizaciones



www.securetia.com

Objetivos

1) Concepto “Activos de Internet”

2) Fuentes abiertas de información

3) Herramientas de interés



www.securetia.com

Activos de Internet

“Todo activo de una organización que esté

relacionado más con internet que con un bien

material”



www.securetia.com

Activos de Internet

Direcciones IP

Nombres de Dominio

Sitios Web

Cuentas en Redes Sociales



www.securetia.com

Activos de Internet

“Actualmente, son el medio a través del cual
las organizaciones se comunican con el mundo”



www.securetia.com

Threat Intelligence

 Utilizado por varias soluciones de seguridad
actuales, como UTM, NG-FW, AntiVirus, etc.

 Se usa en los web browsers y en los servidores
de email (este último, hace mucho tiempo).



www.securetia.com

Core de Varias Empresas

 Recorded Future (www.recordedfuture.com)
 Threat Connect (www.threatconnect.com)
 Crowd Strike (www.crowdstrike.com)
 iSight Partners (www.isightpartners.com)
 Norse (www.norse-corp.com)
 Threat Stream (www.threatstream.com)
 Emerging Threats (www.emergingthreats.net)



www.securetia.com

Threat Intelligence

“Información pública sobre equipos y activos

maliciosos o sospechosos”



www.securetia.com

Formatos de Información

JSON

XML

DNSBL



TXT

CSV

API REST

www.securetia.com

Estándares Emergentes

OTX

IODEF

TAXII

STIX

TLP

VERIS

OpenIOC



www.securetia.com

CybOX

Fuentes de Información



www.securetia.com

Fuentes de Información



www.securetia.com

Threat Intelligence

Uso Habitual

Bloqueo de Conexiones Sospechosas



www.securetia.com

Threat Intelligence

 NO es la solución a todos los problemas.

 Aún necesitamos: Patch Management,
Backups, AntiMalware, Segmentación de
Redes, etc.



www.securetia.com

Threat Intelligence

¿Cómo nos ve el mundo?

(reputación de nuestros activos)

Es un concepto que se usa mucho en otras áreas, pero que en
seguridad no venía importando.

Tenemos que conocernos y conocer cómo nos ve el mundo.



www.securetia.com

Threat Intelligence

¿ Y si se empieza a

hablar “mal” de nosotros?



www.securetia.com

Threat Intelligence

Caso 1:

Envío de Correo No Deseado



www.securetia.com

Threat Intelligence

Envío de Correo No Deseado: Causas

 Campañas de Mail-Marketing Erróneas

 Malas Configuraciones de Servidores de Mail

 Servidores/Workstations Infectadas



www.securetia.com

Threat Intelligence

Envío de Correo No Deseado: Consecuencias

 Aparecer en listas de DNSBL (ej. Spamhaus)

 Mails salientes rechazados

 Denegación de Servicio



www.securetia.com

Threat Intelligence

Caso 2:

Hosting de Sitios Maliciosos



www.securetia.com

Threat Intelligence

Hosting de Sitios Maliciosos: Causas

 Abuso de los recursos de la organización

 Sitios Web Vulnerables (ej: XSS, RFI)

 Servidores Web/DNS Infectados



www.securetia.com

Threat Intelligence

Hosting de Sitios Maliciosos: Consecuencias

 Listas negras (ej: Google Safe Browsing)

 Pérdida de Reputación

 Denegación de Servicio



www.securetia.com



www.securetia.com

Threat Intelligence

Caso 3:

Errores Humanos / Técnicos



www.securetia.com

Proyecto Karma

 Centralizar fuentes abiertas de información

 Detectar “problemas” en activos de internet

 Proveer información sobre acciones a tomar



www.securetia.com

Proyecto Karma (Activos)

 Redes (IPv4/IPv6)

 Dominios

 Sitios Web

 Cloud Providers (AWS, Rackspace, Digital Ocean)



www.securetia.com

Proyecto Karma (Alerts)

Aparecer en listas DNSBL (Spamhaus, SpamCop, etc)

 Envío de Spam, Malware y campañas de Phishing
 Una mala campaña de email marketing
 Estar infectado con malware



www.securetia.com

Proyecto Karma (Alerts)

Aparecer en BBDD de Phishing (Phishtank, OpenPhish)

 Vulnerabilidades XSS / SQL Injection, etc (redirección)
 Uso inapropiado de los recursos organizacionales
 Servidor Web/DNS vulnerados



www.securetia.com

Proyecto Karma (Alerts)

Aparecer en reportes de compromiso (OTX, OpenIOC, etc)

 Hosting y distribución de Malware
 Hosting de sitios maliciosos
 Pertenecer a una botnet



www.securetia.com

Proyecto Karma (Alerts)

Categorización negativa del sitio web

 Publicación de contenido inapropiado
 Errores de categorización por parte del proveedor



www.securetia.com

Proyecto Karma (Alerts)

Equipos maliciosos en redes contiguas

 Posible bloqueo si las actividades malicosas persisten
(No es culpa nuestra, pero puede ocasionar problemas)

 Sólo es posible reportarlo al ISP



www.securetia.com

Proyecto Karma (Alerts)

Aparecer dentro de las listras negras de IP / dominios

 Cualquiera de los motivos anteriormente explicados



www.securetia.com

Proyecto Karma (Alerts)

Cuentas del dominio publicadas en internet (c/passwd)

 Cuenta de alguno de los servicios comprometida

(email, redes sociales, otros servicios)



www.securetia.com

Proyecto Karma (Sources)

 Abuse.ch
 Alienvault Open Thret Exchange
 Bambenek Consulting
 Binary Defense
 CINS score
 Daniel Austin MBCS
 DroneBL
 DShield
 Emerging Threats
 Google Safe Browsing
 ISC SANS



www.securetia.com

Proyecto Karma (Sources)

 Malware Domains
 OpenPhish
 Passive Spam Block List
 PhishTank
 Shalla Secure Services KG
 SORBS
 SpamCop
 Spamhaus
 UCE Protect
 UT Capitole
 More coming soon!



www.securetia.com

Proyecto Karma (Standards)

OpenIOC

CSV

Google GSB

JSON

XML

WhoIs

DNSBL

TXT



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma (Usos)

 Alerta temprana sobre problemas de reputación

 Detección de Intrusiones

 Cumplimiento con mejores prácticas

 Análisis de Tendencias (HUMINT)



www.securetia.com





¿Preguntas?



www.securetia.com

Muchas Gracias!

Fabian Martinez Portantier

Securetia
Alicia M de Justo 1150
T: +54 11 5278-3457



www.securetia.com