PDF de programación - Open Source - Threat Intelligence en las Organizaciones

Imágen de pdf Open Source - Threat Intelligence en las Organizaciones

Open Source - Threat Intelligence en las Organizacionesgráfica de visualizaciones

Publicado el 12 de Febrero del 2017
1.126 visualizaciones desde el 12 de Febrero del 2017
579,4 KB
45 paginas
Creado hace 5a (26/08/2015)
Open Source

Threat Intelligence

en las

Organizaciones



www.securetia.com

Objetivos

1) Concepto “Activos de Internet”

2) Fuentes abiertas de información

3) Herramientas de interés



www.securetia.com

Activos de Internet

“Todo activo de una organización que esté

relacionado más con internet que con un bien

material”



www.securetia.com

Activos de Internet

Direcciones IP

Nombres de Dominio

Sitios Web

Cuentas en Redes Sociales



www.securetia.com

Activos de Internet

“Actualmente, son el medio a través del cual
las organizaciones se comunican con el mundo”



www.securetia.com

Threat Intelligence

 Utilizado por varias soluciones de seguridad
actuales, como UTM, NG-FW, AntiVirus, etc.

 Se usa en los web browsers y en los servidores
de email (este último, hace mucho tiempo).



www.securetia.com

Core de Varias Empresas

 Recorded Future (www.recordedfuture.com)
 Threat Connect (www.threatconnect.com)
 Crowd Strike (www.crowdstrike.com)
 iSight Partners (www.isightpartners.com)
 Norse (www.norse-corp.com)
 Threat Stream (www.threatstream.com)
 Emerging Threats (www.emergingthreats.net)



www.securetia.com

Threat Intelligence

“Información pública sobre equipos y activos

maliciosos o sospechosos”



www.securetia.com

Formatos de Información

JSON

XML

DNSBL



TXT

CSV

API REST

www.securetia.com

Estándares Emergentes

OTX

IODEF

TAXII

STIX

TLP

VERIS

OpenIOC



www.securetia.com

CybOX

Fuentes de Información



www.securetia.com

Fuentes de Información



www.securetia.com

Threat Intelligence

Uso Habitual

Bloqueo de Conexiones Sospechosas



www.securetia.com

Threat Intelligence

 NO es la solución a todos los problemas.

 Aún necesitamos: Patch Management,
Backups, AntiMalware, Segmentación de
Redes, etc.



www.securetia.com

Threat Intelligence

¿Cómo nos ve el mundo?

(reputación de nuestros activos)

Es un concepto que se usa mucho en otras áreas, pero que en
seguridad no venía importando.

Tenemos que conocernos y conocer cómo nos ve el mundo.



www.securetia.com

Threat Intelligence

¿ Y si se empieza a

hablar “mal” de nosotros?



www.securetia.com

Threat Intelligence

Caso 1:

Envío de Correo No Deseado



www.securetia.com

Threat Intelligence

Envío de Correo No Deseado: Causas

 Campañas de Mail-Marketing Erróneas

 Malas Configuraciones de Servidores de Mail

 Servidores/Workstations Infectadas



www.securetia.com

Threat Intelligence

Envío de Correo No Deseado: Consecuencias

 Aparecer en listas de DNSBL (ej. Spamhaus)

 Mails salientes rechazados

 Denegación de Servicio



www.securetia.com

Threat Intelligence

Caso 2:

Hosting de Sitios Maliciosos



www.securetia.com

Threat Intelligence

Hosting de Sitios Maliciosos: Causas

 Abuso de los recursos de la organización

 Sitios Web Vulnerables (ej: XSS, RFI)

 Servidores Web/DNS Infectados



www.securetia.com

Threat Intelligence

Hosting de Sitios Maliciosos: Consecuencias

 Listas negras (ej: Google Safe Browsing)

 Pérdida de Reputación

 Denegación de Servicio



www.securetia.com



www.securetia.com

Threat Intelligence

Caso 3:

Errores Humanos / Técnicos



www.securetia.com

Proyecto Karma

 Centralizar fuentes abiertas de información

 Detectar “problemas” en activos de internet

 Proveer información sobre acciones a tomar



www.securetia.com

Proyecto Karma (Activos)

 Redes (IPv4/IPv6)

 Dominios

 Sitios Web

 Cloud Providers (AWS, Rackspace, Digital Ocean)



www.securetia.com

Proyecto Karma (Alerts)

Aparecer en listas DNSBL (Spamhaus, SpamCop, etc)

 Envío de Spam, Malware y campañas de Phishing
 Una mala campaña de email marketing
 Estar infectado con malware



www.securetia.com

Proyecto Karma (Alerts)

Aparecer en BBDD de Phishing (Phishtank, OpenPhish)

 Vulnerabilidades XSS / SQL Injection, etc (redirección)
 Uso inapropiado de los recursos organizacionales
 Servidor Web/DNS vulnerados



www.securetia.com

Proyecto Karma (Alerts)

Aparecer en reportes de compromiso (OTX, OpenIOC, etc)

 Hosting y distribución de Malware
 Hosting de sitios maliciosos
 Pertenecer a una botnet



www.securetia.com

Proyecto Karma (Alerts)

Categorización negativa del sitio web

 Publicación de contenido inapropiado
 Errores de categorización por parte del proveedor



www.securetia.com

Proyecto Karma (Alerts)

Equipos maliciosos en redes contiguas

 Posible bloqueo si las actividades malicosas persisten
(No es culpa nuestra, pero puede ocasionar problemas)

 Sólo es posible reportarlo al ISP



www.securetia.com

Proyecto Karma (Alerts)

Aparecer dentro de las listras negras de IP / dominios

 Cualquiera de los motivos anteriormente explicados



www.securetia.com

Proyecto Karma (Alerts)

Cuentas del dominio publicadas en internet (c/passwd)

 Cuenta de alguno de los servicios comprometida

(email, redes sociales, otros servicios)



www.securetia.com

Proyecto Karma (Sources)

 Abuse.ch
 Alienvault Open Thret Exchange
 Bambenek Consulting
 Binary Defense
 CINS score
 Daniel Austin MBCS
 DroneBL
 DShield
 Emerging Threats
 Google Safe Browsing
 ISC SANS



www.securetia.com

Proyecto Karma (Sources)

 Malware Domains
 OpenPhish
 Passive Spam Block List
 PhishTank
 Shalla Secure Services KG
 SORBS
 SpamCop
 Spamhaus
 UCE Protect
 UT Capitole
 More coming soon!



www.securetia.com

Proyecto Karma (Standards)

OpenIOC

CSV

Google GSB

JSON

XML

WhoIs

DNSBL

TXT



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma



www.securetia.com

Proyecto Karma (Usos)

 Alerta temprana sobre problemas de reputación

 Detección de Intrusiones

 Cumplimiento con mejores prácticas

 Análisis de Tendencias (HUMINT)



www.securetia.com





¿Preguntas?



www.securetia.com

Muchas Gracias!

Fabian Martinez Portantier

Securetia
Alicia M de Justo 1150
T: +54 11 5278-3457



www.securetia.com
  • Links de descarga
http://lwp-l.com/pdf2408

Comentarios de: Open Source - Threat Intelligence en las Organizaciones (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad