IMPLEMENTACIÓN DE METODOLOGÍAS DE THREAT INTELLIGENCE EN UNA EMPRESA DE CIBERSEGURIDAD

Abstract

Año tras año el número de ciberataques ha aumentado significativamente. Así lodemuestra un informe de F-Secure, presentado el a˜no 2017, el cual reveló que el volumende los ataques se duplicó con respecto al a˜no anterior. De igual forma la complejidadinvolucrada en dichos ataques ha aumentado, con procedimientos cada vezmás sofisticados y serias vulnerabilidades descubiertas reiteradamente en los últimosaños. También es importante considerar los costos asociados, los cuales dependen deltipo de ataque y de lo que ´este significa para la operación dentro de la organización;como por ejemplo, el caso de Equifax 1, la empresa norteamericana que mantiene losdatos del estado comercial y morosidad de sus clientes (similar a DICOM en Chile).La organización no solo sufrió un ataque que provocó una extensa fuga de datos, sinoque se enfrenta a una demanda por parte de los usuarios afectados y vio pérdidas en elmercado de valores por USD $4 billones. Dicho caso ejemplifica cómo los costos porataques pueden escalar dentro de la organización.De igual manera un reporte emitido por CyberSecurity Ventures en octubre del 2017predice que el costo asociado a los ciberataques ascender´a a la cantidad de $6 trillonesde dólares mundialmente para el a˜no 2021. Otro factor importante, tal como se indicóen el apartado anterior, corresponde al creciente número de amenazas que se dan aconocer diariamente, dejándole a la organización un alto volumen de información aanalizar respecto a vulnerabilidades que pueden afectar los servicios de la empresa.Ese procesamiento de la información se vuelve un desafío, ya que existen múltiplesfuentes de información con datos de distinta calidad (relevante o no para el quehacerde la organización y/o de sus clientes) distribuida a través de diversos sitios y plataformasdisponibles tanto gratuitas como pagadas las cuales no necesariamente cubrenla necesidad específica de dicha organización. En general, esta tarea de recopilaciónde datos, ha sido asignada a los servicios de operaciones de ciberseguridad, quienes almomento de responder a los incidentes deben realizar la investigación necesaria para hacer frente a los casos expuestos, llevando a cabo actividades paliativas más que preventivas.En consecuencia, contar con un servicio ad-hoc de Inteligencia de Amenazas comoparte del centro de ciberinteligencia cobra un mayor significado, siendo éste capaz dedesarrollar medidas proactivas de seguridad a fin de cerrar la brecha existente entre laaparición de nuevas vulnerabilidades y la generación de estrategias de mitigación enayuda de los servicios de operaciones (SOC) tanto del centro como de sus clientes.Con ello el centro de ciberinteligencia es capaz de otorgarle a sus clientes la posibilidadde protegerse y actuar con antelación frente a las potenciales amenazas, mediantela entrega de información precisa, en el formato adecuado y directamente relacionadacon su realidad particular. Es por eso, que en el presente trabajo de memoria sepresenta la metodología utilizada y también la implementación de la misma para lageneración del servicio, incluyendo el desarrollo de un sistema web, investigación defuentes y automatización de obtención de datos mediante APIs y scripts.Year after year the number of cyber attacks has increased significantly. This is demonstratedby a report by F-Secure, presented in 2017, which revealed that the volumeof attacks doubled with respect to the previous year. In the same way, the complexityinvolved in such attacks has increased, with increasingly sophisticated procedures andserious vulnerabilities discovered repeatedly in recent years. It is also important toconsider the associated costs, which depend on the type of attack and what it meansfor the operation within the organization; as for example, the case of Equifax 2, theNorth American company that maintains the data of the commercial status and delinquencyof its clients (similar to DICOM in Chile). The organization not only suffered an attack that caused an extensive data leakage, but also faced a demand from affectedusers and saw losses in the stock market for USD $4 billions. This case exemplifieshow costs for attacks can escalate within the organization.Similarly, a report issued by CyberSecurity Ventures in October of 2017 predicts thatthe cost associated with cyber attacks will amount to $6 trillion dollars worldwide bythe year 2021. Another important factor, as indicated in the previous section, correspondsto the growing number of threats that are reported daily, leaving the organizationa high volume of information to analyze regarding vulnerabilities that may affect thecompany’s services. This processing of information becomes a challenge, since thereare multiple sources of information with data of different quality (relevant or not forthe work of the organization and / or its customers) distributed through various sitesand platforms available both free as paid which do not necessarily cover the specificneed of said organization. In general, this task of data collection has been assignedto the cybersecurity operations services, who when responding to the incidents mustcarry out the necessary research to deal with the exposed cases, carrying out mitigatingrather than preventive activities. .Consequently, having a ad-hoc service of Threat Intelligence as part of the cyberintelligencecenter acquires a greater meaning, being able to develop proactive securitymeasures in order to close the existing gap between the appearance of new vulnerabilitiesand the generation of mitigation strategies in support of the operations services(SOC) of both the center and its clients. With this, the cyberintelligence center isable to grant its clients the possibility of protecting themselves and acting in advanceof potential threats, by providing accurate information in the appropriate formatand directly related to their particular reality. That is why, in this work of memory,the methodology used and the implementation of it for the generation of the service,including the development of a web system, research of sources and automation ofobtaining data through APIs and scripts.