Publicado el 12 de Febrero del 2017
1.489 visualizaciones desde el 12 de Febrero del 2017
579,4 KB
45 paginas
Creado hace 9a (26/08/2015)
Open Source
Threat Intelligence
en las
Organizaciones
www.securetia.com
�Objetivos
1) Concepto “Activos de Internet”
2) Fuentes abiertas de información
3) Herramientas de interés
www.securetia.com
�Activos de Internet
“Todo activo de una organización que esté
relacionado más con internet que con un bien
material”
www.securetia.com
�Activos de Internet
Direcciones IP
Nombres de Dominio
Sitios Web
Cuentas en Redes Sociales
www.securetia.com
�Activos de Internet
“Actualmente, son el medio a través del cual
las organizaciones se comunican con el mundo”
www.securetia.com
�Threat Intelligence
Utilizado por varias soluciones de seguridad
actuales, como UTM, NG-FW, AntiVirus, etc.
Se usa en los web browsers y en los servidores
de email (este último, hace mucho tiempo).
www.securetia.com
�Core de Varias Empresas
Recorded Future (www.recordedfuture.com)
Threat Connect (www.threatconnect.com)
Crowd Strike (www.crowdstrike.com)
iSight Partners (www.isightpartners.com)
Norse (www.norse-corp.com)
Threat Stream (www.threatstream.com)
Emerging Threats (www.emergingthreats.net)
www.securetia.com
�Threat Intelligence
“Información pública sobre equipos y activos
maliciosos o sospechosos”
www.securetia.com
�Formatos de Información
JSON
XML
DNSBL
TXT
CSV
API REST
www.securetia.com
�Estándares Emergentes
OTX
IODEF
TAXII
STIX
TLP
VERIS
OpenIOC
www.securetia.com
CybOX
�Fuentes de Información
www.securetia.com
�Fuentes de Información
www.securetia.com
�Threat Intelligence
Uso Habitual
Bloqueo de Conexiones Sospechosas
www.securetia.com
�Threat Intelligence
NO es la solución a todos los problemas.
Aún necesitamos: Patch Management,
Backups, AntiMalware, Segmentación de
Redes, etc.
www.securetia.com
�Threat Intelligence
¿Cómo nos ve el mundo?
(reputación de nuestros activos)
Es un concepto que se usa mucho en otras áreas, pero que en
seguridad no venía importando.
Tenemos que conocernos y conocer cómo nos ve el mundo.
www.securetia.com
�Threat Intelligence
¿ Y si se empieza a
hablar “mal” de nosotros?
www.securetia.com
�Threat Intelligence
Caso 1:
Envío de Correo No Deseado
www.securetia.com
�Threat Intelligence
Envío de Correo No Deseado: Causas
Campañas de Mail-Marketing Erróneas
Malas Configuraciones de Servidores de Mail
Servidores/Workstations Infectadas
www.securetia.com
�Threat Intelligence
Envío de Correo No Deseado: Consecuencias
Aparecer en listas de DNSBL (ej. Spamhaus)
Mails salientes rechazados
Denegación de Servicio
www.securetia.com
�Threat Intelligence
Caso 2:
Hosting de Sitios Maliciosos
www.securetia.com
�Threat Intelligence
Hosting de Sitios Maliciosos: Causas
Abuso de los recursos de la organización
Sitios Web Vulnerables (ej: XSS, RFI)
Servidores Web/DNS Infectados
www.securetia.com
�Threat Intelligence
Hosting de Sitios Maliciosos: Consecuencias
Listas negras (ej: Google Safe Browsing)
Pérdida de Reputación
Denegación de Servicio
www.securetia.com
�
www.securetia.com
�Threat Intelligence
Caso 3:
Errores Humanos / Técnicos
www.securetia.com
�Proyecto Karma
Centralizar fuentes abiertas de información
Detectar “problemas” en activos de internet
Proveer información sobre acciones a tomar
www.securetia.com
�Proyecto Karma (Activos)
Redes (IPv4/IPv6)
Dominios
Sitios Web
Cloud Providers (AWS, Rackspace, Digital Ocean)
www.securetia.com
�Proyecto Karma (Alerts)
Aparecer en listas DNSBL (Spamhaus, SpamCop, etc)
Envío de Spam, Malware y campañas de Phishing
Una mala campaña de email marketing
Estar infectado con malware
www.securetia.com
�Proyecto Karma (Alerts)
Aparecer en BBDD de Phishing (Phishtank, OpenPhish)
Vulnerabilidades XSS / SQL Injection, etc (redirección)
Uso inapropiado de los recursos organizacionales
Servidor Web/DNS vulnerados
www.securetia.com
�Proyecto Karma (Alerts)
Aparecer en reportes de compromiso (OTX, OpenIOC, etc)
Hosting y distribución de Malware
Hosting de sitios maliciosos
Pertenecer a una botnet
www.securetia.com
�Proyecto Karma (Alerts)
Categorización negativa del sitio web
Publicación de contenido inapropiado
Errores de categorización por parte del proveedor
www.securetia.com
�Proyecto Karma (Alerts)
Equipos maliciosos en redes contiguas
Posible bloqueo si las actividades malicosas persisten
(No es culpa nuestra, pero puede ocasionar problemas)
Sólo es posible reportarlo al ISP
www.securetia.com
�Proyecto Karma (Alerts)
Aparecer dentro de las listras negras de IP / dominios
Cualquiera de los motivos anteriormente explicados
www.securetia.com
�Proyecto Karma (Alerts)
Cuentas del dominio publicadas en internet (c/passwd)
Cuenta de alguno de los servicios comprometida
(email, redes sociales, otros servicios)
www.securetia.com
�Proyecto Karma (Sources)
Abuse.ch
Alienvault Open Thret Exchange
Bambenek Consulting
Binary Defense
CINS score
Daniel Austin MBCS
DroneBL
DShield
Emerging Threats
Google Safe Browsing
ISC SANS
www.securetia.com
�Proyecto Karma (Sources)
Malware Domains
OpenPhish
Passive Spam Block List
PhishTank
Shalla Secure Services KG
SORBS
SpamCop
Spamhaus
UCE Protect
UT Capitole
More coming soon!
www.securetia.com
�Proyecto Karma (Standards)
OpenIOC
CSV
Google GSB
JSON
XML
WhoIs
DNSBL
TXT
www.securetia.com
��Proyecto Karma
www.securetia.com
�Proyecto Karma
www.securetia.com
�Proyecto Karma
www.securetia.com
�Proyecto Karma
www.securetia.com
�Proyecto Karma (Usos)
Alerta temprana sobre problemas de reputación
Detección de Intrusiones
Cumplimiento con mejores prácticas
Análisis de Tendencias (HUMINT)
www.securetia.com
�
�¿Preguntas?
www.securetia.com
�Muchas Gracias!
Fabian Martinez Portantier
Securetia
Alicia M de Justo 1150
T: +54 11 5278-3457
www.securetia.com
Crear cuenta
Comentarios de: Open Source - Threat Intelligence en las Organizaciones (0)
No hay comentarios