Soy ingeniero en Sistemas de Información, Redes y Ciberseguridad, multilingüe con experiencia en administración de sistemas, Redes y ciberseguridad. Pasión por el Blue Team y en la seguridad de la información y en todo lo que tenga que ver con la tecnología.
El trabajo diario de un analista CTI (cyber threat intelligence) suele ser investigar sobre los grupos APTs que tienen interés de actuar contra su organización, es decir, quién es el enemigo, cuáles son sus adjetivos, cuáles son sus capacidades tácticas, técnicas, patrones de ataques, las herramientas que utiliza, etc., con el fin de caracterizar su comportamiento y priorizar de manera más practica la defensa de su organización.
Durante este taller hablaré sobre cómo aterrizar todo este proceso CTI, paso a paso, en un caso práctico utilizando los estándares y las herramientas opensource de CTI y la amenaza Ryuk, siendo una amenaza muy dañina, con el objetivo de actuar contra las entidades gubernamentales, los hospitales, y las grandes empresas y de ahí su relevancia para la comunidad.
Veremos la potencia y la utilidad de utilizar los estándares y las herramientas CTI para ayudar a los analistas a caracterizar los TTPs y agilizar el intercambio de información sobre diferentes tipos de amenaza.
Para tratar y analizar la información sobre amenazas utilizaremos:
- STIX2: Estándar de serialización, el más utilizado actualmente, para intercambiar el conocimiento sobre ciberamenazas que nos va a permitir representar todo el conocimiento de inteligencia que hemos podido recopilar de la fase de Obtención en un formato adecuando para el análisis.
- OPENCTI: Plataforma que nos va a permitir guardar, gestionar, visualizar y compartir el conocimiento de la Inteligencia sobre Amenazas.
- Maltego: Herramienta OSINT que nos va a permitir exportar el conocimiento de inteligencia desde OPENCTI, enriqueciendo nuestras investigaciones de Inteligencia sobre Amenazas.
