Digitalia
Advanced Search
Ciberinteligencia de la amenaza en entornos corporativos

Ciberinteligencia de la amenaza en entornos corporativos

  • Author: Guerra Soto, Mario
  • Publisher: Rama Editorial
  • Serie: Seguridad Informática
  • ISBN: 9788419857460
  • eISBN Pdf: 9788419857460
  • Place of publication:  Madrid , Spain
  • Year of publication: 2023
  • Pages: 774

“Si conoces a tu enemigo y te conoces a ti mismo, no temerás el resultado de cien batallas. Si te conoces a ti mismo, pero no al enemigo, por cada victoria obtenida, también sufrirás una derrota. Si no sabes nada ni del enemigo ni de ti mismo, sucumbirás en todas las batallas” – Sun Tzu, “El Arte de la Guerra”. “El tigre, el león y la pantera son animales inofensivos; en cambio, las gallinas, los gansos y los patos son animales altamente peligrosos, decía una lombriz a sus hijos” – Bertrand Russell. Ambas frases resumen perfectamente las necesidades de inteligencia de cualquier organización para garantizar la continuidad de sus operaciones. Esta deberá conocer minuciosamente sus activos, su exposición, sus vulnerabilidades propias o debidas a terceros, su potencial explotabilidad y el impacto que esta supondría para la continuidad de negocio. Además, deberá conocer a sus potenciales adversarios, sus capacidades y sus posibles motivaciones, pues ciudadanos, compañías y gobiernos se enfrentan diariamente a diferentes ciberamenazas. Este libro está orientado a la instrucción de analistas de ciberinteligencia en los niveles técnico/táctico, operacional y estratégico. No obstante, dado que la ciberinteligencia de la amenaza constituye una capacidad transversal para la organización, su lectura resultará también de enorme utilidad a sus equipos de ingeniería de detección, respuesta a incidentes, threat hunting, forense digital, análisis de malware, Red Teaming y Purple Teaming, además de a jefes de SOC y a CISO. Otros colectivos que obtendrían provecho de su lectura serían criminólogos, periodistas, analistas antifraude, militares y miembros de las FCSE interesados en el cibercrimen en Web 2 y Web3, las operaciones de influencia, el ciberespionaje y las operaciones militares en el ámbito del ciberespacio.

  • ACERCA DEL AUTOR
  • PRÓLOGO
  • CAPÍTULO 1. CIBERINTELIGENCIA DE LA AMENAZA
    • Inteligencia clásica
      • Definición de inteligencia y contrainteligencia
      • Tipos de inteligencia
      • Ciclo de Inteligencia
      • Ciclo F3EAD
    • Dato, información e inteligencia
      • Dato
      • Información
      • Inteligencia
    • Ciberamenaza, ciberinteligencia de la amenaza y contrainteligencia
      • Ciberamenazas y APT
      • Ciberinteligencia de la amenaza
      • Inteligencia de seguridad
      • Cibercontrainteligencia
      • Fases en la obtención de la CTI
      • Modelo Triángulo de la Amenaza
    • Tipologías de inteligencia de la amenaza
      • Introducción
      • Inteligencia de la amenaza según el procesamiento de datos
      • Funcionalidad de la inteligencia de la amenaza
      • Tipología de inteligencia según Recorded Future
      • Efectividad y operatividad de la CTI
      • Compresión del espacio de batalla reputacional
    • Categorización de la ciberamenaza
      • Efectos de las ciberamenazas sobre los activos de la organización
      • Características de las ciberamenazas más dañinas
      • Importancia de la categorización de la amenaza
      • Mapeo de las amenazas al negocio corporativo
      • Targeting de los agentes de la amenaza
      • Planeamiento operacional de ciberamenazas futuras
    • El Ciclo de Inteligencia en el ámbito ciber
      • Ciclo de Inteligencia según Mandiant
      • Ciclo de Inteligencia según Recorded Future
      • El Ciclo F3EAD en ciberinteligencia
      • Ciclo de la Ciberdefensa Activa
    • Aplicaciones de la inteligencia de la amenaza
      • Inteligencia SecOps
      • Inteligencia de vulnerabilidades
      • Inteligencia de la amenaza
      • Inteligencia del riesgo debido a terceros
      • Inteligencia reputacional
      • Inteligencia geopolítica
      • Inteligencia antifraude
      • Inteligencia aplicable a IAM
      • Inteligencia de la superficie de ataque
    • Destinatarios de la inteligencia de la amenaza
      • Equipos de defensa de las redes corporativas
      • Equipos de gestión de vulnerabilidades
      • Analistas de la ciberamenaza
      • Gestores de la seguridad de la información
      • Junta directiva de la organización
    • Plan de Inteligencia de la Amenaza
      • Beneficios proporcionados por un plan de inteligencia
      • Objetivos del plan de inteligencia
      • Características del plan de inteligencia
      • Modelo de madurez de un plan de inteligencia
    • Inteligencia de la amenaza a nivel corporativo
      • Ciberinteligencia para los equipos de ciberseguridad
      • Aplicabilidad de la CTI a nivel corporativo
      • Ventajas proporcionadas por la CTI a nivel corporativo
      • Valor de la inteligencia de la amenaza
      • Defensa de redes informáticas basada en inteligencia
      • Requisitos para disponer de capacidad propia de CTI
    • Herramientas de CTI y equipo de inteligencia corporativo
      • Herramientas
      • Analistas
      • Creación de un equipo de inteligencia
  • CAPÍTULO 2. FUENTES DE INTELIGENCIA
    • Selección de fuentes de inteligencia
      • Introducción
      • Fuentes abiertas
      • Herramientas para el procesado de fuentes abiertas
      • Monitorización de redes sociales
      • Monitorización de canales privados y la Dark Web
      • Darknets y honeynets
      • Telemetría
      • Escaneo e indexación
      • Procesado de código malicioso
      • Feeds de datos de la amenaza
      • TIP
    • Caracterización de las ciberamenazas
      • IOC
      • Ciclo de vida de un IOC
      • Contenido de la amenaza
      • Indicadores clave
      • IOA
      • IOR
      • TTP
      • Tradecraft
      • Identificación de las TTP del adversario empleando CTI
    • Sistemas de decepción
      • Decepción
      • Ciberdecepción
      • Honeypots
    • Categorización de la recopilación de datos conforme al modo en el que se genera la información
      • Clasificación de la recopilación conforme a su generación
      • Recopilación de información en cuarta persona en modo pasivo
      • Recopilación de información en cuarta persona en modo activo
      • Subproductos de la compartición no consensuada de inteligencia
  • CAPÍTULO 3. AGENTES DE LA AMENAZA
    • Introducción
      • Definición de grupo
      • Definición de conjunto de intrusión
      • Miembros de una campaña de ataque
      • Clasificación de los agentes de la amenaza
      • Clasificación de MITRE STIX de los agentes de la amenaza
      • Otras posibles clasificaciones
      • Convención de nombres empleados para designar a los diferentes grupos de la amenaza
    • Cibercriminales
      • Introducción
      • Impacto del cibercrimen
      • Cibercrimen en la Dark Web
      • Cibercrimen y foros underground
      • Crime as a Service
      • Compraventa de malware y exploits
      • Access as a Service
      • Ransomware as a Service
      • Análisis de la actividad de los IAB
      • Monitorización de la actividad de los IAB
      • Equipos de traffers y distribución de infostealers
      • Cibercrimen y Telegram
      • Weaponización de redes sociales
      • Empleo de deep fakes en cibercrimen
      • Monetización del cibercrimen
      • Ciberdelitos relacionados con criptomonedas
      • Servicios de blanqueo de capitales y financiación del terrorismo empleando criptomonedas
      • Ciberdelitos relacionados con NFT
      • Blanqueo de capitales y financiación del terrorismo utilizando NFT
      • Ciberdelitos contra la industria de los videojuegos
      • Ciberdelitos relacionados con el metaverso
      • Listado de los principales foros, AVC y markets underground
      • Listado de grandes grupos cibercriminales
    • Hacktivistas
      • Definición
      • Objetivos
      • Killnet
    • Agentes de la amenaza con apoyo estatal
      • Operaciones de espionaje y disrupción
      • Operaciones de influencia
      • Vinculación de grupos APT y cibercrimen
      • Vinculación de grupos APT y hacktivistas en las guerras híbridas
      • TTP empleadas por los grupos APT
      • Listado de los principales grupos APT
    • Actores ofensivos del sector privado
      • Qué es un PSOA
      • Surveillance-for-hire
      • Campañas conocidas de diferentes PSOA
    • La amenaza interna (insider threat)
      • Definición
      • Clasificación de los insiders
  • CAPÍTULO 4. ANÁLISIS DE INTELIGENCIA
    • Conceptos básicos de análisis de inteligencia
      • Definición de análisis de inteligencia
      • Tipos de razonamiento
      • Juicio analítico
      • Tipos de memoria y reconocimiento de patrones
      • Teoría del proceso cognitivo dual
      • Técnicas de análisis estructurado
      • Investigación diagnóstica
    • Análisis de datos
      • Definición de análisis de datos
      • Análisis basado en datos y análisis basado en conceptos
      • Contextualización de los datos
      • Tipos de análisis de datos
      • Análisis estadístico de datos
      • Otras metodologías de análisis de datos
      • Análisis de datos en CTI
    • Metodologías de análisis de inteligencia
      • Análisis de las joyas de la corona
      • Análisis de hipótesis en competencia
      • ACH estructurado
    • Análisis de textos procedentes de fuentes abiertas
      • Extracción de información y minería de texto
      • Perspectivas de la minería de texto
      • Contextualización de textos procedentes de fuentes abiertas
      • Procesamiento de lenguaje natural
      • Validación de la información obtenida de fuentes abiertas
      • Agregación y otros conceptos analíticos
    • Análisis de enlaces
      • Introducción
      • Base de datos de grafos
      • Modelo visual de datos
      • Importancia de la iconografía en el análisis de enlaces
      • Importancia de la paleta de colores y tonalidades en el análisis de enlaces
      • Interacción con los grafos
      • Representación visual de Big Data
      • Análisis de datos en función del tiempo
      • Algoritmos de representación de grafos
      • Problemas comunes de la visualización de grafos
    • Análisis de redes
      • Introducción a la teoría de redes
      • Redes sociales
      • Análisis de redes sociales
      • Pasos para llevar a cabo una investigación en redes sociales
      • Medidas de centralidad
      • Algoritmos de grafos
      • Modelización y visualización de redes
    • Modelado de datos empleando líneas temporales
      • Introducción
      • Líneas temporales de datos conectados
      • Representación de la duración de los eventos en una línea temporal
      • Representación de interdependencia de procesos empleando líneas temporales
      • Representación de series de datos temporales
      • Enriquecimiento de líneas temporales añadiendo contenido multimedia
    • Análisis de datos en Web3
      • Monitorización y respuesta a incidentes en Web3
      • Análisis forense en Web3
      • Aplicabilidad del análisis forense en Web3
      • Técnicas de análisis de datos en blockchain
      • Seguimiento de activos en blockchain
      • Detección de blanqueo de capitales y financiación del terrorismo en Web3
    • Falacias lógicas y sesgos cognitivos
      • Falacias lógicas
      • Falacias informales
      • Otras falacias habituales
      • Sesgos cognitivos
      • Sesgos actuales en CTI
      • Sesgo y experiencia
  • CAPÍTULO 5. MODELADO Y ATRIBUCIÓN DE LA AMENAZA
    • Modelado de la amenaza
      • Introducción
      • Aproximaciones al modelado de la amenaza
      • Fases del proceso de modelado de la amenaza
      • Metodologías de modelado de la amenaza
      • Árboles de ataque
      • Transición de DFD a PFD
    • Modelos del ciclo de vida de un ciberataque
      • Modelo Lockheed-Martin CKC
      • Modelo MITRE de la CKC
      • Modelo FireEye para el ciclo de vida de un ciberataque
      • Modelo Online Operations Kill Chain
      • Modelo Meta para el análisis de la Surveillance Attack Chain
      • APM Kill Chain
      • Modelo Forta para la Web3 Kill Chain
    • Contrarrestando los ciberataques con CTI
      • Modelo Pirámide de dolor
      • Modelo Nueva Pirámide de dolor
      • Modelo DML
      • Modelización de la ciberamenaza en un SOC
    • Cadena de intrusión
      • Intrusion Kill Chain
      • Cursos de acción
      • Reconstrucción de una intrusión
      • Análisis de una campaña
    • Modelo en Diamante de Análisis de Intrusión
      • Introducción
      • Evento Diamante
      • Modelo en Diamante extendido
      • Indicadores contextuales
      • Analítica pivotante
      • Hilos de actividad
      • Grupos de actividad
      • Planificación
    • Modelo MITRE ATT&CK
      • Introducción
      • El Modelo MITRE ATT&CK
      • Casos de uso del Modelo MITRE ATT&CK
      • Cobertura del Modelo MITRE ATT&CK
      • Metodología MITRE ATT&CK
      • Mapeado de comportamientos del adversario a MITRE ATT&CK
      • Mapeado de informes narrativos de CTI a la matriz MITRE ATT&CK
      • Mapeado de datos “en crudo” a MITRE ATT&CK
      • Modelo Flujos de ataque del CTID
      • Grafo de conocimiento MITRE D3FEND
    • Atribución de la amenaza
      • Definición
      • Niveles de precisión en la atribución de la amenaza
      • Indicadores clave para la atribución de la amenaza
      • Buenas prácticas para la correcta identificación de los agentes de la amenaza
      • Modelo SKRAM para generación de perfiles de atacantes
      • Atribución a niveles técnico-táctico, operacional y estratégico
      • Interpretación del targeting del adversario en la atribución de la amenaza
      • Atribución de muestras de malware
      • Artefactos de interés en los metadatos de la cabecera de un archivo PE
      • Artefactos de interés asociados a la reutilización y similitud de código
      • Artefactos de interés de los datos de configuración del malware
      • Atribución de operaciones de influencia
  • CAPÍTULO 6. COMPARTICIÓN DE CIBERINTELIGENCIA
    • Generalidades
      • Introducción
      • TLP
      • Estándares para la compartición de ciberamenazas
      • Factores limitantes en la compartición de información relativa a amenazas
      • Recomendaciones para la redacción de informes de inteligencia estratégica
    • Modelos de compartición de información
      • Hub-and-spoke
      • Peer-to-peer (post-to-all)
      • Fuente-suscriptor
    • Compartición de IOC mediante STIX
      • Introducción
      • Objetos STIX 2.1
      • Perfiles en STIX
      • Herramientas
    • Empleo de OpenCTI para almacenar el contenido de un informe de inteligencia
      • Introducción
      • Criterios generales para escoger un informe de inteligencia
      • Tipología de información requerida por los modelos
      • Integración de datos
      • Modelando información en OpenCTI
    • ISAC e ISAO
      • Definición de ISAC
      • ISAC en EE.UU.
      • ISAC en la UE
      • ISAO
    • Herramientas de compartición de CTI
      • MISP
      • OpenIOC
      • IOC Bucket
      • The MalShare Project
      • Combine
      • Hail a TAXII
      • Collective Intelligence Framework
      • PaloAlto MineMeld
      • Anomali STAXX
      • ThreatMiner
      • Harpoon
      • Yeti
      • TheHive
      • MITRE CRITs
      • Threat_note
      • FireEye ThreatPursuit VM
      • AlienVault OTX
      • Pulsedive
  • CAPÍTULO 7. TRANSVERSALIDAD DE LA INTELIGENCIA DE LA AMENAZA
    • Integrando CTI en IR
      • Fase de planificación previa
      • Fase de generación de eventos
      • Fase de respuesta a incidentes
      • Fase de respuesta a intrusiones
    • Integrando CTI en la defensa activa del entorno corporativo
      • Introducción a MITRE Shield
      • Implementación de MITRE Shield en el entorno corporativo
      • El Modelo Shield
      • La Matriz Shield
      • Relación entre MITRE ATT&CK y MITRE Shield
    • Relación entre TH y CTI
      • Definición de Threat Hunting
      • Inteligencia como punto de partida del TH
      • Inteligencia para contextualizar y dirigir la actividad de TH
      • TH para generación de nueva CTI
      • Metodología TaHiTI
      • TH empleando el Modelo en Diamante
    • Integrando CTI en la emulación de adversarios conocidos
      • Modelo de madurez de hacking ético de SCYTHE
      • Implementación del Modelo MITRE ATT&CK en el entorno corporativo
      • Entradas de la mejora continua de la defensa corporativa
      • Planes de emulación del adversario
      • Ejecución de ataques de emulación del adversario
      • Alertar, buscar activamente e informar
      • Mejorar los procesos y la tecnología
      • Breach and Attack Simulation
  • CAPÍTULO 8. ANEXO
    • YARA
      • Introducción
      • Reglas
      • Reglas globales
      • Reglas privadas
      • Etiquetas de regla
      • Metadatos
      • Cadenas hexadecimales
      • Cadenas de texto
      • Utilidad del empleo de cadenas en las reglas YARA
      • Expresiones regulares
      • Condiciones
      • Variables filesize y filename
      • Extensión mediante módulos
    • VirusTotal Intelligence
      • Introducción
      • VirusTotal Intelligence
      • VT Hunting
      • VT Graph
      • Investigando muestras maliciosas con VirusTotal

Subjects

Back
Login to your account

Viewers online

  • Text
  • ReadSpeaker Audio

Download options

  • Adobe DRM Adobe DRM
  • Loan duration: 21 days
  • Format: EPUB / PDF

SUBSCRIBE TO OUR NEWSLETTER

By subscribing, you accept our Privacy Policy

©2021 - 2024 Digitalia - All rights reserved