La inteligencia de amenazas, también conocida como inteligencia de amenazas cibernéticas (CTI - Cyber Threat Intelligence ), es la organización, análisis y refinamiento de información sobre ataques potenciales o actuales que amenazan a una organización.

El propósito principal de la inteligencia de amenazas cibernéticas es ayudar a las organizaciones a comprender los riesgos de las amenazas externas más comunes y severas, como amenazas de día cero, amenazas persistentes avanzadas ( APT ) o exploits . Aunque los actores de la amenaza también incluyen amenazas internas (o insiders), el énfasis está en los tipos de amenazas que tienen más probabilidades de afectar el ambiente de una organización particular, y por ello, esta lista que os traigo de recursos para hacer frente al Cyber Threat Intelligence contempla desde fuentes , frameworks y herramientas hasta los mejores libros y artículos sobre el tema.

Fuentes para la Threat Intelligence

La mayoría de los recursos enumerados proporcionan un conjunto de listas y / o APIs para obtener información actualizada referente a las amenazas. Para crear inteligencia de amenaza, es necesario una cierta cantidad de análisis, ya bien sea de dominios o temas referentes al negocio.

  • Alexa Top 1 Millón : Probablemente lista blanca del top 1 millón de sitios de Amazon (Alexa).
  • Grupos y operaciones de APT : Una hoja de cálculo que contiene información e inteligencia sobre los grupos, operaciones y tácticas de APT.
  • AutoShun : Un servicio público que ofrece al menos 2000 IPs maliciosas y algunos más recursos.
  • Clasificación BGP : Ranking de los ASN con el contenido más malicioso.
  • Botnet Tracker : Rastreao de varias botnets activas.
  • BruteForceBlocker : BruteForceBlocker es un script perl que monitorea los registros sshd de un servidor e identifica los ataques de fuerza bruta, que luego usa para configurar automáticamente las reglas de bloqueo de firewall y enviar esas IPs al sitio del proyecto
  • C&C Tracker : Feed de direcciones IP C&C conocidas, activas y sin trafico, creado por Bambenek Consulting.
  • Lista de Armada CI : Subconjunto de la lista comercial del CINS Score , centrada en IPs de mala reputación que no están presentes en otras listas de amenazas.
  • Cisco Umbrella : Lista blanca del top 1 millón de sitios identificados por Cisco Umbrella (OpenDNS).
  • Intel Critical Stack : Inteligencia gratuita de amenazas analizadas y agregadas a Critical Stack, lista para su uso en cualquier sistema de producción. Se puede especificar los feed que deseamos seguir
  • C1fApp : Es una aplicación de feed de amenazas, que proporcionan un solo feed, tanto Open Source como privado. Proporciona tableros de estadísticas, API abierta para la búsqueda , útil y ejecutandose desde hace unos años. Las búsquedas son datos históricos.
  • Cymon : Cymon es un agregador de indicadores de múltiples fuentes con historico, por lo que tiene una interfaz única para múltiples amenazas. También proporciona una API para buscar en una base de datos junto con una bonita interfaz web.
  • Dominios de correo electrónico desechables : Una colección de dominios de correo electrónico anónimos o desechables comúnmente utilizados para servicios de spam / abuso.
  • Reglas de Firewall de amenazas emergentes : Una colección de reglas para varios tipos de firewalls, incluyendo iptables, PF y PIX.
  • Amenazas emergentes Reglas IDS : Colección de reglas de Snort y Suricata que se pueden utilizar para alertar o bloquear.
  • ExoneraTor : El servicio ExoneraTor mantiene una base de datos de direcciones IP que forman parte de la red Tor. Responde a la pregunta de si hubo una Hub Tor en una dirección IP dada en una fecha determinada.
  • Exploitalert : Listado de los últimos exploit lanzados.
  • ZeuS Tracker : El tracker de Feodo abuse.ch que sigue el troyano Feodo.
  • Listas FireHOL IP : +400 IPs públicas disponibles en Feeds analizados para documentar su evolución, geolocalización, edad de IPs, política de retención, solapamientos. Centrado en el delito cibernético (ataques, abuso, malware).
  • FraudGuard : FraudGuard es un servicio diseñado para proporcionar una forma fácil de validar el uso recopilando y analizando continuamente el tráfico de Internet en tiempo real.
  • Hail a TAXII.com : Hail a TAXII.com es un repositorio de fuentes de Cyber Threat Intelligence de código abierto en formato STIX. Ofrecen varios feeds, incluyendo algunos que se enumeran aquí ya en un formato diferente, como las reglas de amenazas emergentes y feeds PhishTank.
  • Honeydb : HoneyDB proporciona datos en tiempo real de la actividad del honeypot. Estos datos provienen de honeypots desplegados en Internet utilizando el honeypot Honeypy. HoneyDB proporciona acceso API a la actividad de honeypot recopilada, que también incluye datos agregados de varios feeds de Twitter de honeypots.
  • I-Blocklist : I-Blocklist mantiene varios tipos de listas que contienen direcciones IP pertenecientes a varias categorías. Algunas de estas categorías principales incluyen países, ISPs y organizaciones. Otras listas incluyen ataques web, TOR, spyware y proxies. Muchas son libres de uso y están disponibles en varios formatos.
  • Majestic Million : Lista blanca Top 1 millón de sitios web clasificado por Majestic. Los sitios se ordenan por el número de subredes referentes enlazadas.
  • MalShare.com : El proyecto MalShare es un repositorio público de malware que proporciona a los investigadores acceso gratuito a las muestras.
  • MalwareDomains.com : El proyecto DNS-BH crea y mantiene una lista de dominios que se sabe que se utilizan para propagar malware y spyware. Estos pueden ser utilizados para la detección, así como la prevención (Solicitudes sinkholing en DNS).
  • Metadefender.com : Las fuentes de detección de amenazas de nube de Metadefender contienen nuevas firmas hash de malware, incluyendo MD5, SHA1 y SHA256. Siendo estos nuevos hashes maliciosos detectados por Metadefender Cloud en las últimas 24 horas. Los feeds se actualizan diariamente con malware recientemente detectado y reportado para proporcionar inteligencia de amenazas a tiempo y acción de los mismos.
  • Minotauro : El Proyecto Minotauro es un proyecto de investigación en curso por el equipo de NovCon Solutions . Se está forjando como un centro para los profesionales de seguridad, investigadores y entusiastas , pudiendo descubrir nuevas amenazas y mitigaciones. Es una combinación de software opensource de terceros, datasets locales, nuevas herramientas de análisis y mucho más.
  • Servicios NormShield :
    NormShield Services proporciona información de miles de dominios (incluida la información whois) de la que pueden surgir ataques potenciales de phishing. Hay inscripción gratuita para los servicios públicos para el monitoreo continuo.
  • Feeds de OpenPhish : OpenPhish recibe la URL de múltiples flujos y los analiza utilizando sus algoritmos de detección de phishing. Hay ofertas gratuitas y comerciales disponibles.
  • Phishtank : PhishTank entrega una lista de URLs de phishing sospechosas. Sus datos provienen de informes humanos, pero también se alimentan de información externa cuando es posible. Es un servicio gratuito, pero a veces es necesario registrarse para tener una clave de API.
  • Ransomware Tracker : Ransomware Tracker creado por abuse.ch realiza un seguimiento y monitorización del estado de los nombres de dominio, direcciones IP y URL asociadas a Ransomware, como servidores Botnet C&C, sitios de distribución y sitios de pago.
  • Dominios sospechosos SANS ICS : Las listas de amenazas de dominios sospechosos de SANS ICS rastrea dominios sospechosos. Ofrece 3 listas clasificadas como de alta , media o baja sensibilidad, donde la lista de alta sensibilidad tiene menos falsos positivos, mientras que la lista de baja sensibilidad dispone de más falsos positivos. Así como una lista blanca aprobada de dominios.
  • Base de firmas :
    Una base de datos de firmas utilizadas en otras herramientas creado por Neo23x0.
  • Proyecto Spamhaus : El Proyecto Spamhaus contiene múltiples listas de amenazas asociadas con la actividad de spam y malware.
  • Lista negra de SSL :
    SSL Blacklist (SSLBL) es un proyecto mantenido por abuse.ch. El objetivo es proporcionar una lista de "malos" certificados SSL identificados por abuse.ch para asociarse con actividades de malware o botnet. SSLBL se basa en las huellas SHA1 de los certificados SSL maliciosos ofreciendo varias listas negras.
  • Top 1 Million Statvoo : Lista blanca deL top 1 millón de sitios web, según la clasificación de Statvoo.
  • Strongarm : Strongarm es un blackhole de DNS que toma medidas sobre los indicadores de compromiso al bloquear el control y los comandos del malware. Strongarm agrega fuentes de indicadores gratuitas, se integra con los feeds comerciales, utiliza los feeds de IOC de Percipient y resuelve DNS y APIs para su uso para proteger la red. Strongarm es gratis para uso personal.
  • Talos Aspis : El proyecto Aspis es una colaboración cerrada entre Talos y los proveedores de alojamiento para identificar y disuadir a los principales actores de las amenazas. Talos comparte su experiencia, recursos y capacidades, incluyendo análisis forense de redes y sistemas, ingeniería inversa e inteligencia de amenazas sin costo para los proveedores.
  • Threatglass : Una herramienta online para compartir, explorar y analizar malware basado en web. Threatglass permite a los usuarios examinar gráficamente las infecciones del sitio web mediante la visualización de capturas de pantalla de las etapas de la infección, así como mediante el análisis de las características de red, las relaciones con el host y las capturas de paquetes.

Herramientas Threat Intelligence

Todo tipo de herramientas para analizar, crear y editar Threat Intelligence. Mayormente basado en el COI.

  • ActorTrackr : ActorTrackr es una aplicación web de código abierto para almacenar / buscar / enlazar datos relacionados con actores. Las fuentes principales son de usuarios y varios repositorios públicos. Fuente disponible en GitHub.
  • AIEngine : AIEngine es un motor de inspección de paquetes interactivo / programable en Python / Ruby / Java / Lua con capacidades de aprendizaje sin intervención humana, funcionalidad NIDS (Network Intrusion Detection System), clasificación de dominio DNS, colector de red, forense de redes y muchos otros. Disponible en Bitbucket.
  • Animus Omni CLI : El Animus Omni CLI le ayuda a separar la señal del ruido en los archivos de registro. Las exploraciones no dirigidas están inundando Internet, obstruyendo archivos de registro y haciendo difícil encontrar los acontecimientos legítimos. Esta utilidad aprovecha la API Ara distribuida que permite compartir información de seguridad y amenazas dentro y entre comunidades para un ecosistema colectivamente más fuerte. Ofrece múltiples opciones de configuración, Interflow permite a los usuarios decidir qué comunidades formar, de qué datos se alimentan para consumir y con quién. Interflow se encuentra actualmente en beta privada.
  • Malstrom : Malstrom pretende ser un repositorio para el seguimiento de amenazas y artefactos forenses, pero también almacena reglas YARA y notas para la investigación.
  • MANTIS : Análisis basado en modelos de fuentes Threat Intelligence (MANTIS) Cyber Threat Intelligence Management Framework soporta la gestión de la inteligencia de amenazas cibernéticas expresada en varios lenguajes estándar, como STIX y CybOX. Pero, no está listo para la producción a gran escala.
  • Megatron :
    Megatron es una herramienta implementada por CERT-SE que recopila y analiza las direcciones IP incorrectas, puede ser utilizado para calcular estadísticas, convertir y analizar archivos de registro y en el manejo de abusos e incidentes.
  • MineMeld : Un framework de procesamiento extensible de Threat Intelligence creado por las redes de Palo Alto. Puede utilizarse para manipular listas de indicadores y transformarlas y / o agregarlas para el consumo por parte de una infraestructura de ejecución de terceros.
  • MISP : La plataforma de intercambio de información de malware (MISP) es una solución de software de código abierto para recopilar, almacenar, distribuir y compartir indicadores de seguridad cibernética y análisis de malware.
  • OpenIOC : OpenIOC es un framework open source para compartir Threat Intelligence. Está diseñado para intercambiar información de amenazas tanto interna como externamente en un formato digerido a máquina.
  • OpenTAXII : OpenTAXII es una robusta implementación Python de servicios TAXII que ofrece un rico conjunto de características y una API en Pythonic construida sobre una aplicación bien diseñada.
  • OSTrICa : Es un framework orientado a plugins de código abierto para recopilar y visualizar información Threat Intelligence.
  • AlienVault Open Threat Exchange : AlienVault Open Threat Exchange (OTX) proporciona acceso abierto a una comunidad global de investigadores de amenazas y profesionales de la seguridad. Proporciona datos de amenazas generados por la comunidad, permite la investigación colaborativa y automatiza el proceso de actualización de la infraestructura de seguridad con datos de amenazas desde cualquier fuente.
  • Open Threat Partner eXchange : El Open Threat Partner eXchange (OpenTPX) consiste en formatos de código abierto y herramientas para intercambiar información de inteligencia de amenazas legible por máquina y datos de operaciones de seguridad de red. Es un formato basado en JSON que permite compartir datos entre sistemas conectados.
  • PassiveTotal : La plataforma PassiveTotal ofrecida por RiskIQ es una plataforma de análisis de amenazas que proporciona a los analistas el mayor número de datos posible para prevenir ataques antes de que sucedan.
  • Recorded Future : Recorded Future es un producto SaaS premium que unifica automáticamente la inteligencia de amenazas de fuentes abiertas / cerradas y técnicas en una sola solución. Su tecnología utiliza el procesamiento del lenguaje natural (NLP) y el aprendizaje automático para entregar esa inteligencia de amenazas en tiempo real, convirtiendo a Recorded Future en una opción popular para los equipos de seguridad de TI.
  • [**Scumblmación sobre amenazas cibernéticas a través de los límites de la organización y los productoss / servicios. TAXII define conceptos, protocolos y intercambios de mensajes para intercambiar información de amenazas cibernéticas para la detección, prevención y mitigación de amenazas cibernéticas.
  • VERIS
    El vocabulario para la grabación de eventos y la distribución de incidentes (VERIS) es un conjunto de métricas diseñadas para proporcionar un lenguaje común para describir incidentes de seguridad de una manera estructurada y repetible. VERIS es una respuesta a uno de los desafíos más críticos y persistentes en la industria de la seguridad: la falta de información de calidad. Además de proporcionar un formato estructurado, VERIS también recopila datos de la comunidad para informar sobre las infracciones en el informe de investigaciones de violación de datos de Verizon ( DBIR ) y publica una base de datos online.

Frameworks Threat Intelligence y plataformas

Frameworks, plataformas y servicios para recolectar, analizar, crear y compartir Inteligencia de amenazas.

  • AbuseHelper : AbuseHelper es un frameworks de código abierto para recibir y redistribuir fuentes de abuso y amenazas.
  • AIS : La capacidad libre de intercambio automatizado de indicadores (AIS) del Departamento de Seguridad Nacional (DHS) permite el intercambio de indicadores de amenazas cibernéticas entre el Gobierno Federal y el sector privado a velocidad máquina. Los indicadores de amenazas tienen información como direcciones IP maliciosas o la dirección del remitente de un correo electrónico de phishing, aun que también pueden ser mucho más complicadas.
  • Barncat : Fidelis Cybersecurity ofrece acceso gratuito a Barncat después de registrarte. La plataforma está destinada a ser utilizada por CERTs, investigadores, gobiernos, ISPs y otras organizaciones grandes. La base de datos contiene varios ajustes de configuración utilizados por los atacantes.
  • Bearded Avenger : La forma más rápida de consumir inteligencia de amenazas. El sucesor de CIF.
  • Red de intercambio de amenazas Blueliv : Permite a los participantes compartir indicadores de amenazas con la comunidad.
  • CRITS : CRITS es una plataforma que ofrece a los analistas los medios para llevar a cabo una investigación conjunta sobre malware y amenazas en seguridad. Se conecta a un repositorio centralizado de datos de inteligencia, pero también se puede utilizar como una instancia privada.
  • CIF : El Framework de Inteligencia Colectiva (CIF) te permite combinar información de amenazas maliciosas conocidas de muchas fuentes y utilizar esa información para IR, detección y mitigación. El código está disponible en GitHub.
  • IntelMQ : IntelMQ es una solución para CERTs para recopilar y procesar los feeds de seguridad, pastebins, tweets usando un protocolo de cola de mensajes. Es una iniciativa impulsada por la comunidad denominada IHAP (Incident Handling Automation Project), diseñada conceptualmente por los CERT europeos durante varios eventos de seguridad informática. Su objetivo principal es dar a los técnicos de incidentes una manera fácil de recopilar y procesar la inteligencia de amenazas mejorando los procesos de manejo de incidentes de los CERT.
  • Interflow : Interflow es una plataforma de intercambio de información sobre seguridad y amenazas creada por Microsoft para profesionales que trabajan en ciberseguridad. Utiliza una arquitectuenriquecimiento de datos. El énfasis de ThreatMiner no es sólo sobre los indicadores de compromiso (IoC), sino también proporcionar a los analistas información contextual relacionada con el IoC que están viendo.
  • VirusShare : VirusShare.com es un repositorio de muestras de malware proporcionado a los investigadores de seguridad, la respuesta a incidentes, los analistas forenses y el curioso acceso a muestras de código malicioso. El acceso al sitio se concede únicamente por invitación.
  • Yara-Reglas : Un repositorio de código abierto con diferentes firmas Yara que se compilan, clasifican y mantienen lo más actualizado posible. Si recordáis, ya vimos que son las reglas yara en un post anterior.
  • ZeuS Tracker : ZeuS Tracker de abuse.ch rastrea servidores ZeuS Command & Control (hosts) en todo el mundo y le proporciona un dominio y la añade a una lista de IPs bloqueadas.

Formatos para la Threat Intelligence

Formatos estandarizados para compartir Inteligencia de amenazas, en su mayoría indicadores de compromiso.

  • CAPEC : Clasificaci√≥n de Patrones de Ataque Comunes (CAPEC) es un completo diccionario y taxonom√≠a de clasificaci√≥n de ataques conocidos que pueden ser utilizados por analistas, desarrolladores, probadores y educadores para avanzar en la comprensi√≥n de la comunidad de ciberseguridad y mejorar las defensas.
  • CybOX : El lenguaje Cyber Observable eXpression (CybOX) proporciona una estructura com√∫n para representar ciberobservables entre las √°reas operativas de seguridad cibern√©tica empresarial para mejorar la consistencia, eficiencia e interoperabilidad de las herramientas y los procesos implementados, as√≠ como aumenta la conciencia global de la situaci√≥n al permitir el potencial para la distribuci√≥n automatizada detallada, la cartograf√≠a, la detecci√≥n y la heur√≠stica del an√°lisis.
  • IODEF (RFC5070) : El Formato de Intercambio "Descripci√≥n de Objeto de Incidente" (IODEF) define una representaci√≥n de datos que proporciona un marco para compartir informaci√≥n intercambiada com√∫nmente por equipos de respuesta a incidentes de seguridad inform√°tica (CSIRT) sobre incidentes de seguridad inform√°tica.
  • IDMEF (RFC4765) : El prop√≥sito del Formato de Intercambio de Mensajes de Detecci√≥n de Intrusi√≥n (IDMEF) que es experimental , pretende definir los formatos de datos y procedimientos de intercambio para compartir informaci√≥n de inter√©s para sistemas de detecci√≥n y respuesta de intrusi√≥n y sistemas de gesti√≥n que puedan necesitar interactuar con ellos.
  • MAEC : Los proyectos de Enumeraci√≥n y Caracterizaci√≥n de Atributos de Malware (MAEC) est√°n dirigidos a crear y proporcionar un lenguaje estandarizado para compartir informaci√≥n estructurada sobre malware basada en atributos tales como comportamientos y patrones de ataque.
  • STIX 2.0 : El lenguaje de eXpression de informaci√≥n sobre amenazas estructuradas (STIX) es un estandar para representar informaci√≥n de amenaza cibern√©tica. El lenguaje STIX tiene la intenci√≥n de transmitir toda la gama de informaci√≥n potencial de amenazas cibern√©ticas y se esfuerza por ser totalmente expresivo, flexible, extensible y automatizable. STIX no s√≥lo permite campos agn√≥sticos de herramientas, sino que tambi√©n proporciona los llamados mecanismos de prueba que proporcionan medios para incrustar elementos espec√≠ficos de herramientas, como OpenIOC, Yara y Snort.
  • TAXII
    La norma Trusted Automated eXchange of Indicator Information (TAXII) define un conjunto de servicios e intercambios de mensajes que, una vez implementados, permiten el intercambio de información.

Investigación, Estándares y Libros de Threat Intelligence

  • APT Cyber Criminal Campaign Collection : Amplia colección de campañas (históricas). Las entradas provienen de varias fuentes.
  • APTnotes : Una gran colección de fuentes sobre amenazas persistentes avanzadas (APTs). Estos informes suelen incluir conocimientos estratégicos y tácticos o asesoramiento.
  • ATT & CK : Tácticas Adversarias, Técnicas y Conocimiento Común (ATT & CK ™) es un modelo y marco para describir las acciones que un adversario puede tomar mientras opera dentro de una red empresarial. ATT & CK es una referencia común en constante crecimiento para las técnicas posteriores al acceso que permite conocer mejor las acciones que se pueden ver durante una intrusión en la red. MITRE está trabajando activamente en la integración con constructores relacionados, como CAPEC, STIX y MAEC.
  • Construyendo Estrategias de Búsqueda de Amenazas con el Modelo Diamante : Blogpost de Sergio Caltagirone sobre cómo desarrollar estrategias inteligentes de búsqueda de amenazas mediante el uso del Modelo Diamante.
  • Repositorio Cyber Analytics de MITRE : El repositorio de Cyber Analytics (CAR) es una base de conocimientos de analítica desarrollada por MITRE basada en el modelo de amenazas Adversary Tactics, Techniques y Common Knowledge (ATT & CK ™).
  • Guía definitiva para la inteligencia de amenazas cibernéticas : Describe los elementos de la inteligencia de la amenaza cibernética y discute cómo es recolectada, analizada y utilizada por una variedad de consumidores humanos y tecnológicos. Además examina cómo la inteligencia puede mejorar la seguridad cibernética en los niveles táctico, operacionales y estratégicos.