It’s all connected! Have fun with Threat Intelligence

Transcript

1. IT’S ALL CONNECTED! Have fun with CTI Sol Gonzalez Security

   Researcher en ESET Latinoamérica

2. $Whoami Ing. en Informática de UNDAV Trabaje como analista en

   Threat intel, docente, desarrolladora, y analista funcional. @solg_sh https://mariasolgonzalez94.gitlab.io/cv-gonzalezsol/

3. DESCLAIMERS No soy experta en Machine learning. 01 02 03

   04 05 Daré recomendaciones de que es lo que me sirvio utilizar en mi experiencia. La automatización de extracción de datos es propia de mis pruebas por experiencia. No se realizará una explicacion extensa a lo que respecta el Machine Learning. Se utilizará el lenguaje de programación en Python.

4. DEFINIENDO CTI 01

5. 1 OSINT SOCMINT HUMINT “Conjunto de datos organizados sobre ataques

   o amenazas” Inteligencia de Código Abierto Inteligencia de Medios Sociales Local Inteligencia producida por uno mismo Timely Information Inteligencia Humana

6. DATOS INFORMACIÓN INTELIGENCIA son hechos discretos y estadísticas recopiladas. Son

   la base para un análisis más detallado. son múltiples conjuntos de datos combinados para responder preguntas específicas por ejemplo sobre algún ataque. analiza datos e información para descubrir patrones e historias que informan la toma de decisiones (01) (02) (03) Cyber Threat Intelligence

7. “Conjunto de datos organizados sobre ataques o amenazas” DEFINICIÓN Quiénes

   Qué Donde Cuando Por qué Cómo

8. ¿Cómo se construye? Cyber Threat Intelligence IoCs Contexto Mecanismo Evidencia

   Fuentes • OSINT • HUMINT • SOCMINT Modus operandi Fuentes privadas

9. Threat Hunting Threat Intelligence

10. Incluye información sobre vulnerabilidades, ataques, IoCs. También conocida como “Technical

    Threat Intelligence” Brinda un panorama de las amenazas de la organización (también conocido como “Threat Landscape”). Operacional Estratégica Ayuda a identificar el cómo y dónde fueron los ataques. El cómo se relaciona con las Tacticas, Técnicas y Procidimientos (TTP) Táctica Tipos de CTI

11. Ciclo de CTI 6. EVALUACIÓN Y FEEDBACK 1. PLANIFICACIÓN Y

    OBJETIVO 2. RECOLECCIÓN 5. DISEMINACIÓN E INTEGRACIÓN 3. PROCESAMIENTO Y EXPLOTACIÓN 4. ANÁLISIS Y PRODUCCIÓN

12. ¿Cómo obtenemos datos? 02

13. PÚBLICAS PRIVADAS virusShare.com honnypots Sandbox privativos Malware reversing

14. ¡Manos a la obra! Jupyter Notebook 03

15. None

16. Ciclo de CTI 6. EVALUACIÓN Y FEEDBACK 1. PLANIFICACIÓN Y

    OBJETIVO 2. RECOLECCIÓN 5. DISEMINACIÓN E INTEGRACIÓN 3. PROCESAMIENTO Y EXPLOTACIÓN 4. ANÁLISIS Y PRODUCCIÓN

17. PoC – REvil Ransomware

18. JupyterLab + CTI ¡Manos a la obra!

19. BONUS TRACK: ML + CTI 04

20. Malware Categorizar y “predecir” amenazas CTI Clasificación de familias de

    malware Detección Fake News Producen alertas de detección maliciosa Network anomaly ¿Machine Learning en Ciberseguridad?

21. Clasificación de ML: Artificial Intelligence Machine Learning Deep Learning

22. Clasificación de ML: SUPERVISADO SEMI SUPERVISADO NO SUPERVISADO Datos etiquetados

    Datos no etiquetados Se comienza etiquetando manualmente algunos de los datos.

23. Clasificación de ML: SUPERVISADO SEMI SUPERVISADO NO SUPERVISADO Datos etiquetados

    Datos no etiquetados Se comienza etiquetando manualmente algunos de los datos.

24. D3M0 – ¿Malicioso o no? Machine Learning

25. ¿Por qué es importante el CTI? Eficiencia Compartir Ahorro de

    costos Protección de datos

26. “The better intelligence you have, the better you can protect

    your business.”

27. Para ampliar conceptos de CTI en general: ALTERNATIVE RESOURCES

28. Para Machine Learning: ALTERNATIVE RESOURCES

29. ¡GRACIAS! @solg_sh