La inteligencia sobre amenazas es la base de cualquier marco de ciberseguridad confiable. Esto significa recopilar información sobre las amenazas cibernéticas, analizarla y tomar decisiones basadas en datos para garantizar la sostenibilidad del negocio.
Esto es importante porque un ataque de piratas informáticos exitoso puede provocar pérdidas financieras, interrupción del negocio, daños a la reputación y todo tipo de problemas.
Por ejemplo, la empresa líder del Reino Unido, KNP Logistics, quebró en septiembre de 2023 como resultado de un ataque de ransomware.
Una empresa de logística global se declaró en quiebra y despidió a 730 empleados (81% de su fuerza laboral) sin previo aviso ni compensación.
Ese mismo otoño, la compañía de seguros australiana Latitude Group escapó por poco de la quiebra después de perder 76 millones de dólares por ransomware.
Para estar al tanto de las nuevas amenazas y comprender mejor las amenazas conocidas, los equipos de ciberseguridad tienen una variedad de herramientas y fuentes de información disponibles.
Soluciones de inteligencia de amenazas
Los servicios de inteligencia sobre amenazas recopilan, procesan y enriquecen datos para que se puedan buscar y sean adecuados para obtener información analítica. TI Lookup de ANY.RUN es un ejemplo de dicha plataforma. Esto permite a los usuarios:
Investigue amenazas conocidas: las consultas de búsqueda pueden incluir nombres de malware, direcciones IP, URL, dominios, nombres de archivos y hashes, y otras entidades conocidas como indicadores de compromiso (IOC). Puede combinar varios parámetros para realizar solicitudes de búsqueda complejas. Descubra nuevas amenazas: un examen profundo de los indicadores de compromiso, actividad y comportamiento (IOC, AOC, BOC) revela problemas que pueden ocurrir si no se toman medidas preventivas.
Aumente la experiencia del usuario: las herramientas de TI lo ayudan a comprender mejor el panorama y los mecanismos de amenazas. Por ejemplo, herramientas como el marco MITRE ATT&CK, impulsado por muestras de análisis de incidentes del mundo real, le permiten asociar amenazas con tácticas conocidas y viceversa.
TI Lookup proporciona ejemplos de amenazas para cada TTP
La matriz MITRE ATT&CK le permite investigar amenazas que utilizan TTP específicos o tácticas, técnicas y procedimientos de atacantes.
En la captura de pantalla anterior, TI Lookup proporciona información sobre tácticas para cifrar datos del sistema o de la red, interrumpir la funcionalidad y exigir un rescate.
Los usuarios pueden explorar ejemplos de malware que utilizan esta táctica y cambiar al entorno de pruebas interactivo para ver el malware en acción.
Por ejemplo, si hace clic en el segundo elemento de la lista, puede seleccionar una sesión de zona de pruebas de la tercera columna para ver cómo Babyk ataca su computadora.
El malware Babyk cifra los datos del usuario y exige un rescate en criptomonedas
A continuación se muestran algunos ejemplos de búsquedas.
1. Nombre de la amenaza: “phishing” y país de envío: no “CA” Tipo de tarea: “url”
Los resultados de la búsqueda muestran el estado actual de los ataques de phishing dirigidos a usuarios en Canadá
Como resultado, los usuarios de Canadá están ejecutando sesiones de análisis públicas en el entorno de pruebas interactivo ANY.RUN. Estas sesiones incluyen documentos de phishing, correos electrónicos y otros tipos de contenido, pero no incluyen URL.
Haga clic en cualquier elemento de la lista para ver las sesiones de análisis en el entorno de pruebas.
2. IP de destino: “78.110.166.82”
Resultados del análisis de IP: direcciones maliciosas asociadas con el troyano Agent Tesla
Las alertas de seguridad a menudo se activan por conexiones IP inusuales, pero estas suelen ser IP legítimas y generan señales falsas positivas. Para asegurarse de no perder ninguna IP maliciosa, puede verificar sus direcciones con TI Lookup -> Pruebe TI Lookup con 50 solicitudes gratuitas.
Fuente de inteligencia sobre amenazas
Integre flujos de datos en tiempo real sobre malware, amenazas emergentes y vulnerabilidades con sistemas de ciberseguridad (como SIEM) para un monitoreo automatizado continuo. Para una inteligencia eficiente:
Correlacione información: utilice múltiples fuentes para hacer referencias cruzadas de amenazas e identificar patrones. Personalice para satisfacer sus necesidades: céntrese en las fuentes que brindan la información más relevante para las necesidades de su industria y organización.
ANY.RUN proporciona fuentes de inteligencia sobre amenazas que se pueden integrar fácilmente con un solo clic a través de API. Puede probarlo mediante muestras de demostración en formatos STIX y MISP.
Informes publicados
Las empresas de ciberseguridad analizan periódicamente ataques y vulnerabilidades y publican sus hallazgos. Para aprovechar al máximo esta fuente, los equipos de seguridad deben:
Integre el análisis de informes recientes en su rutina. Esté siempre atento a las tendencias. Implementar las recomendaciones del informe.
foro de la web oscura
Hogar, dulce hogar para los hackers. Los expertos en seguridad visitan allí de vez en cuando para ver qué están haciendo. Al monitorear estos foros, descubrimos información valiosa sobre ataques planificados, nuevas técnicas de explotación y datos robados. Deben:
Utilice herramientas de seguimiento. Estas herramientas pueden realizar un seguimiento automático de temas y debates en función de palabras clave específicas. Analiza la información. El chat son datos sin procesar. Para aprovechar esto, investigue las amenazas que se están discutiendo, el malware mencionado, los ataques, las víctimas y los objetivos.
minería de datos
Al analizar datos sobre el rendimiento de la red corporativa, los equipos pueden identificar amenazas potenciales.
Detección de anomalías: al examinar el tráfico de la red y los registros del sistema, las técnicas de minería de datos pueden descubrir comportamientos sospechosos que pueden indicar un ataque en curso. Análisis predictivo: prediga tendencias de ataques futuros a partir de datos pasados.
Implementación de Honeypot
Los Honeypots son objetivos falsos creados para atraer a los ciberdelincuentes y recopilar información sobre sus tácticas y métodos. Para utilizar honeypots de forma eficaz:
Simular sistemas reales: los Honeypots deben imitar vulnerabilidades reales para atraer a los atacantes. Recopile datos de ataques: registre todas las interacciones con honeypots y estudie las técnicas, herramientas y comportamiento de los atacantes en un entorno controlado.
Potencia tu inteligencia sobre amenazas con TI Lookup
La mejor estrategia es combinar las herramientas más poderosas para maximizar el potencial de cada una. Y una plataforma de inteligencia de amenazas como TI Lookup de ANY.RUN es ideal para ser el núcleo de su arquitectura de seguridad.
Proporciona:
Base de datos extensa y en crecimiento: eventos del sistema y más de 40 tipos de datos de amenazas diferentes, incluidos indicadores de compromiso (IOC), indicadores de comportamiento (IOB) e indicadores de ataques (IOA).
Últimos resultados: acceda a los datos más recientes recopilados de miles de sesiones de espacio aislado durante los últimos 180 días.
Consultas personalizables: elija entre docenas de parámetros, combine múltiples indicadores, use comodines y reglas YARA.
Integración de Sandbox: vea sesiones de Sandbox (malware explotado en el entorno seguro de una máquina virtual) donde se detectó un indicador o evento específico.
Actualizaciones en tiempo real: reciba alertas oportunas sobre amenazas relevantes para garantizar una protección continua.
¿Quieres probarlo? Obtenga 50 solicitudes gratuitas para probar todas las funciones de TI Lookup
