Este documento presenta una discusión sobre la investigación reactiva vs proactiva de amenazas cibernéticas. La investigación reactiva implica analizar un hash malicioso detectado para identificar su naturaleza y posibles vínculos con otras amenazas conocidas. La investigación proactiva implica explorar objetivos potenciales utilizando técnicas de inteligencia como análisis de dominios, IPs, usuarios en redes sociales y más para simular escenarios de amenazas. También se discuten las tácticas, técnicas
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Similar to [2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
Similar to [2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros (20)
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
[2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros
1. Congreso Online de Ciberinteligencia
Julio 2020
#IntelCon2020
La reactividad del forense digital vs la proactividad
de la inteligencia de amenazas
Iván Portillo y Pedro Cisneros
2. Congreso Online de Ciberinteligencia | Julio 2020
Índice
Whoami
Investigación reactiva de una amenaza
Investigación proactiva de una amenaza
Conclusiones
01
02
03
04
4. #IntelCon2020
1 | Whoami
• Analista Ciberinteligencia & Seguridad en Big4
• Cofundador de la comunidad de ciberinteligencia Ginseg
• Cofundador del congreso sobre ciberinteligencia IntelCon
• Profesor Máster de Ciberinteligencia en Campus Internacional de Ciberseguridad / UFV
• Profesor Máster en Ciberseguridad y Seguridad de la Información en UCLM
• Graduado en Sistemas de Información, postgraduado en Seguridad Informática y de la
Información por la UCLM, y postgraduado en Inteligencia por la UNED
• Ponente en congresos nacionales (CCN-CERT Labs, Cybercamp, Ciberseg, CyberGasteiz,
HC0N, HoneyCON, Osintcity, etc).
• +10 años de experiencia en proyectos de ciberseguridad
Iván Portillo
ivanportillomorales @ivanPorMor
5. #IntelCon2020
1 | Whoami
• Técnico de sistemas
• Formación sobre desarrollo de aplicaciones multiplataformas
• Curso superior de ciberseguridad por medio de la URJC
• Colaborador en la comunidad de ciberinteligencia Ginseg
• Dedica su tiempo libre a HTB y THM, al igual que a analizar muestras de malware
Pedro Cisneros
pedro-cisneros-santana-ab3a1bb5 @W4nn4Die
6. Congreso Online de Ciberinteligencia | Julio 2020
2
Investigación reactiva de una amenaza
7. #IntelCon2020
2 | Elementos de una investigación forense
RegistroConexiones
y Peticiones
Aplicaciones Procesos
TTPs
Actor
Relaciones entre elementosElementos forenses
8. #IntelCon2020
2 | Investigación forense de una amenaza
Objetivo
Investigación del hash, junto con las posibles
relaciones conotros IoCs
Donde investigamosTipo de investigación
Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una
alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del
proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para
determinar si esta relacionada con alguna amenaza conocida.
El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Identificar posible relación del hash
conalgúntipo de amenaza
• IBM X-Force
• AlienVaultOTX
• VirusTotal
• HybridAnalysis
• Any RUN
9. #IntelCon2020
2 | Investigación forense de una amenaza - OTX
https://otx.alienvault.com/indicator/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Análisis Estático Análisis de RedAnálisis Dinámico
Buscamos el hash en la base de datos de AlienVault.
En su plataforma podemos observar que el hash es detectado en 10 Pulses relacionados con la amenaza BECnuevamente.
10. #IntelCon2020
2 | Investigación forense de una amenaza – X-Force
https://exchange.xforce.ibmcloud.com/malware/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Detectamos el hash en IBM X-Force dentro de una colección de SilverTerrier sobre COVID-19. Categorizado con un Riesgo Alto,
es un SHA256, muestra dirigida a plataformas Windows, visto por primera vez el 30 de marzo de 2020 y por última vez el 21 de
mayode 2020.
11. #IntelCon2020
2 | Investigación forense de una amenaza - X-Force
https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c
Dentro de la colección mencionada anteriormente, vemos un
mini análisis de la amenaza y con la presencia del hash como
IoC asociado a la amenaza.
12. #IntelCon2020
2 | Investigación forense de una amenaza - VirusTotal
https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56
motores antivirusy que es un PE EXE.
13. #IntelCon2020
2 | Investigación forense de una amenaza - VirusTotal
https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Buscamos posibles relaciones del hash con otros
IoCs para obtener hasta donde puede llegar a
alcanzar la arquitectura de la amenaza.
14. #IntelCon2020
2 | Investigación forense de una amenaza – JoeSandbox
JoeSandbox es otra herramienta online para el análisis de muestras de malware. Realizamos una búsqueda del hash malicioso
en su BBDD.
https://www.joesandbox.com/search?q=4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
15. #IntelCon2020
2 | Investigación forense de una amenaza – JoeSandbox
https://www.joesandbox.com/analysis/398053
JoeSandbox permite ver informes emitidos por VT, Metadefender y el propio JoeSanbox.
16. #IntelCon2020
2 | Investigación forense de una amenaza – JoeSandbox
https://www.joesandbox.com/analysis/251206/0/html
JoeSandbox muestra un resumen ejecutivo sobre las evidencias detectadas.
17. #IntelCon2020
2 | Investigación forense de una amenaza – JoeSandbox
https://www.joesandbox.com/analysis/251206/0/html
JoeSandbox muestra todas las evidencias y operaciones bien desglosadas, grafos de procesos, TTPs utilizados, .
18. #IntelCon2020
2 | Investigación forense de una amenaza – Hybrid Analysis
https://www.hybrid-analysis.com/sample/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b/5ec77ef61d4f46518d494215
Buscamos el hash en la base de datos de
Hybrid Analysis. Detectamos que la
muestra ha sido categorizada como
maliciosa por un total de 76% de motores
antivirus, dispone de un score de amenaza
de 100 sobre 100.
19. #IntelCon2020
2 | Investigación forense de una amenaza – ANY RUN
https://app.any.run/tasks/cc29fa4f-5cd5-4084-bce0-425b3e9cd8cb/
Análisis Dinámico
20. #IntelCon2020
2 | Investigación forense de una amenaza – ANY RUN
Mediante ANY RUN son detectados diversos TTPs asociados al hash analizado.
21. Congreso Online de Ciberinteligencia | Julio 2020
3
Investigación proactiva de una amenaza
22. #IntelCon2020
3 | Explorando un objetivo con ciberinteligencia de manera proactiva
Dominios y DNS (A, MX), Activos, IPs Rangos
Objetivo:
Empresa, institución
Dominios > MX
Usernames
Social Media
Flag
¿Beneficio económico?
¿Exfiltración de información?
¿Análisis de exposición?
¿Daño reputacional?
VulnerabilidadesSistemas
Footprint
Reutilización de
credenciales
Accesos
Empleados y proveedores Foros y comunidades
Posibles credenciales
de leaks anteriores
? !
23. Congreso Online de Ciberinteligencia | Julio 2020
3.1
Tácticas, Técnicas y Procedimientos (TTP)
Investigación proactiva de una amenaza
24. #IntelCon2020
3.1 | Tácticas, Técnicas y Procedimientos (TTP)
Las tácticas, técnicas y procedimientos (TTP) describen el comportamiento que tiene un actor malicioso. Los TTPs son
utilizados para entender las operaciones ejecutadas de los adversarios (objetivo, como y porque lo usan) y simular escenarios
de ataquede maneracontrolada.
Táctica
Proceso que sigue un adversario para cumplir un objetivo marcado, el cual, puede apoyarse por diversas técnicas para
alcanzar dicho fin.
Técnica
Actividad que utiliza un patrón conocido con el que permite ejecutar los movimientos marcados en la táctica y cumplir así
con el objetivo fijado.
Procedimiento
Guía paso a paso con todas las pautas o acciones a realizar de manera oficial y que deben cumplir el objetivo de obtener el
resultado deseado en la parte técnica
Las técnicas son las herramientas para ejecutar la actividad, la táctica es la combinación de las técnicas que permiten cumplir con un trabajo
concretoy el procedimientoes el estándar definidoque ayudaa hacer el trabajo
25. #IntelCon2020
3.1 | Tácticas, Técnicas y Procedimientos (TTP)
https://attack.mitre.org/tactics
/enterprise/
El MITRE ATT&CK es una de las referencias mundiales sobre TTPs. dispone de una base de conocimiento con un modelo donde
es categorizado el comportamiento de los adversarios.
Táctica Técnica Procedimiento
https://attack.mitre.org/techniques/
enterprise/
https://attack.mitre.org
/software/
26. #IntelCon2020
3.1 | Simulación de TTPs - ATT&CK NAVIGATOR
https://mitre-attack.github.io/attack-navigator/enterprise/
Simulador de TTPs de MITRE
ATT&CK que permite navegar por
toda la matriz, seleccionar TTPs de
varios actores y visualizar la
frecuencia de las técnicas
detectadas.
29. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
DeTT&CT utiliza la matriz de MITRE ATT&CK para puntuar y comparar la calidad de los datos recibidos de los logs, la cobertura
de visibilidad, cobertura de detección y los diferentes TTPs detectados. El framework DeTT&CK esta desarrollada en Python,
utiliza archivos de administración YAML, dispone de un editor propioy de tablas de puntuaciónpara diferentes aspectos.
Funcionalidades con el fin de priorizar esfuerzos:
• Administray calificala calidadde las fuentes de datos tantoexternas comointernas.
• Obtieneinformaciónde la visibilidad.
• Mapeatodala coberturade detección.
• Mapealos TTPsde los actores maliciosos.
• Importación de resultados en ATT&CK Navigator
https://github.com/rabobank-cdc/DeTTECT/
30. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Descargade contenedorde Docker:
sudo docker pull rabobankcdc/dettect:latest
Ejecutar contenedor
docker run -p 8080:8080 -v $(pwd)/output:/opt/DeTTECT/output -v $(pwd)/input:/opt/DeTTECT/input --
name dettect -it rabobankcdc/dettect:latest /bin/bash
Acceder a contenedor ya creado
docker start -i dettect
Ejecuciónde la herramientadentrodel contenedor
python dettect.py editor
Wiki:
https://github.com/rabobank-cdc/DeTTECT/wiki
32. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Copiamos las muestras de datos que vienen ya en el contenedor y los alojamos en la carpeta /input para poder acceder a ella en
la maquina anfitriona si fuera necesario
Creamos nuevo ejemplo partiendo de una muestra vacía data-sources-empty.yaml y vamos a simular la Técnica T1071, para ello
necesitamos fuentes de datos generadas mediante NetFlow, capturade paquetes, monitorizaciónde procesos y tráfico.
https://attack.mitre.org/techniques/T1071/001/ https://attack.mitre.org/techniques/T1071/003/
33. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Generamos datos sobre IDS, Netflow, analizador de paquetes,
Simulamos que tenemos Snort como IDS
Simulamos que tenemos zeek y
switches como Netflow
Simulamos tener un analizador de
paquetes con tcpdump
34. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Guardamos todoen un archivoYAML
Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor.
python dettect.py ds -fd output/data-sources-empty.yaml -l
35. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
ATT&CK NAVIGATOR
https://mitre-attack.github.io/attack-navigator/enterprise/
Accedemos a ATT&CK Navigator y cargamos el JSON generado por DeTT&CT
36. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Técnicas detectadas en función de los datos generados, cuanto más oscuro mas visibilidad de las técnicas y cuanto más claro menos
visibilidad.
37. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Seleccionamos la muestra techniques-administration-endpoints.yaml.
Ejemplo de visibilidad
38. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Seleccionamos la subtécnicaT1071.001, le indicamos que tenga una detecciónbuenay una muy buenavisibilidad
Ejemplo de visibilidad
39. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Guardamos todas las modificaciones de las técnicas en un archivo YAML y generamos un JSON de visibilidad de las técnicas
seleccionadas en el YAML asociadas a las fuentes de datos facilitadas.
Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor.
python dettect.py v -ft output/techniques-administration-endpoints.yaml -fd
output/data-sources-empty.yaml -l
Ejemplo de visibilidad
40. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Ejemplo de visibilidad
Técnicas detectadas en función de los datos generados, cuanto más oscuro mas visibilidad de las técnicas y cuanto más claro menos
visibilidad.
41. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor.
python dettect.py d -ft output/techniques-administration-endpoints.yaml -l
Ejemplo de detección
Generamos un JSON de detección de las técnicas seleccionadas en el YAML.
43. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Copiamos las muestras de datos sobre actores que vienen ya en el contenedor y los alojamos en la carpeta /input para poder
acceder a ella en la maquina anfitriona si fuera necesario
Seleccionamos la muestra techniques-administration-endpoints.yaml y lo abrimos dentro del modulo de análisis de grupos.
44. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Generamos un JSON a partir del fichero YAML resultante dentro del
contenedor.
python dettect.py g -g input/threat-actor-data/20200306-
CrowdStrike.yaml -o output/techniques-administration-
endpoints.yaml -t visibility
Ejemplo de visibilidad con grupos
Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
45. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Ejemplo de visibilidad
Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
46. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Generamos un JSON a partir del fichero YAML resultante dentro del
contenedor.
python dettect.py g -g input/threat-actor-data/20200306-
CrowdStrike.yaml -o output/techniques-administration-
endpoints.yaml -t detection
Ejemplo de detección con grupos
Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
47. #IntelCon2020
3.1 | Simulación de TTPs – DeTT&CK
Ejemplo de detección
Generamos un JSON de detección de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
48. Congreso Online de Ciberinteligencia | Julio 2020
3.2
Analizando amenazas con Yeti
Investigación proactiva de una amenaza
49. #IntelCon2020
3.2 | Analizando amenazas con Yeti
Yeti es una plataforma enfocada a la organización de observables y la recopilación de indicadores de compromiso (IoC) y TTPs relacionados a
estos. Esta herramienta esta ideada para agrupar en un único repositorio todo el conocimiento sobre inteligencia de amenazas con el fin
de descubrir y analizar posibles relaciones entre los IoC. Yeti enriquece automáticamente todos los observables de manera transparente
para el usuario y proporciona una interfaz atractiva para él. Es un proyecto independiente que tuvo la ayuda del equipo del CERT Société
Générale para probar la propia herramienta y orientar en el desarrollo de este. Yeti está pensado para hacer que la gestión de la
inteligencia de amenazas sea rápida, eficiente e interoperable.
https://ginseg.com/comunidad/plataformas-ciberinteligencia/yeti-your-everyday-threat-intelligence-platform/
50. #IntelCon2020
3.2 | Analizando amenazas con Yeti
Características básicas:
• Proyecto open-source desarrollado en python y JavaScript.
• Permite crear un observablepor cadaamenazaa analizar y agrupar todas las evidencias sobreIoC en su interior.
• Permite visualizar gráficamentelas relaciones entre las diversas amenazas, IoC, actores, etc.
• Yeti incluye características orientadas a los datos, como los feeds, los análisis y las exportaciones, pero también cuenta con información de más
alto nivel, como la descripción de los TTPs y su vinculación con diferentes actores.
• Yeti es capaz de importar diversostipos de formatos(XML, JSON, STIX, bulkde datos,PDF, etc) e integrarlos en la plataforma.
• Permite exportar los resultados en cualquier formato definido por el usuario, además de integrarlos con soluciones de terceros (think blocklist,
SIEM).
• API flexible para integrar Yeti con otras soluciones. A través de la librería de Python PYETI puedes automatizar todas las consultas deseadas desde
cualquier tipo de feed.
• Utiliza la basede datos MongoDBparaalmacenar todos losfeeds, observables y cualquier tipode dato a guardar.
• Usa Redis y Celery para comunicar todas las peticiones de los diferentes servicios que interactúan con Yeti manteniendo una gestión de tareas con
todos losprocesos.
• Yeti es capaz de comunicarse con MISP enviando información desde las comunidades de MISP hasta esta plataforma. Además, el proyecto
TheHive, a través de Cortex, puede utilizar Yeti comofuente de enriquecimientoparaartefactos de red.
51. #IntelCon2020
3.2 | Analizando amenazas con Yeti
https://yeti-platform.github.io/
Instalaciónde Yeti
git clone https://github.com/yeti-platform/yeti.git
cd yeti/extras/docker/dev
sudo docker-compose up
Acceder a plataforma
http://localhost:5000/observable/
Documentación Yeti
https://yeti-platform.readthedocs.io/en/latest/use-
cases.html#documenting-malware-intelligence
52. #IntelCon2020
3.2 | Analizando amenazas con Yeti
Seleccionamosinvestigación de IBM X-Force
https://exchange.xforce.ibmcloud.com/collection/c97550188a
dcec90fc36c7f8373ceb4c
Copiamos el IoCpresenteen la colección
4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1
449894892f125b
53. #IntelCon2020
3.2 | Analizando amenazas con Yeti
Seleccionamosinvestigación
https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/
54. #IntelCon2020
3.2 | Analizando amenazas con Yeti
Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti
55. #IntelCon2020
3.2 | Analizando amenazas con Yeti
Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti
57. Congreso Online de Ciberinteligencia | Julio 2020
3.3
Analizando amenazas con TheHive
Investigación proactiva de una amenaza
58. #IntelCon2020
3.3 | Analizando amenazas con TheHive
Características:
• Permite crear casos forense a investigar.
• Cada caso puede disponer de tareas a analizar.
• Algunos casos pueden compartir la misma estructura (etiquetas, tareas,
descripción, métricas).
• Permite definir plantillas especificas para amenazas concretas.
• Integración con todos los observables disponibles en Cortex para
obtener información sobre el caso.
• Dispone de plantillas de informes breves y en detalle por cada
observable.
• Dispone de métricas de los observables y casos analizados
https://github.com/TheHive-Project/TheHive
https://thehive-project.org/
TheHive es una Plataforma de Respuesta a Incidentes de Seguridad escalable, de código abierto y gratuita, diseñada para ayudar
en la operativa interna de un SOC, CSIRT, CERT y de cualquier profesional de la seguridad de la información.
60. #IntelCon2020
3.3 | Analizando amenazas con TheHive
• Sistema (OVA): thehive/thehive1234
• URL: http://IP_OF_VM:9000
• Web: admin/thehive1234
• Sistema (OVA): thehive/thehive1234
• URL: http://IP_OF_VM:9001
• Web (SuperAdmin): admin/thehive1234
• Web (Org Admin): thehive/thehive1234
• Sistema (OVA): misp/Password1234
• URL: https://IP_OF_VM
• Credenciales: admin@admin.test/admin
61. #IntelCon2020
3.3 | Analizando amenazas con TheHive
Métricas personalizables de casos forenses
• Ejemplo plantillasobrecaso: https://github.com/TheHive-
Project/TheHive-
Resources/tree/master/case_templates/vulnerable
• AwesomeTheHive: https://github.com/TheHive-Project/awesome
• Documentación: https://github.com/TheHive-Project/TheHiveDocs
• Paquetecon todas las plantillas de reportes:
https://dl.bintray.com/thehive-project/binary/report-templates.zip
62. #IntelCon2020
3.3 | Analizando amenazas con TheHive
Máquina MISP
Modificar Dirección IP en base_url
Ruta: sudo vi /var/www/MISP/app/Config/config.php
Dejar comillas únicamente:
‘baseurl’=> ‘’
‘external_baseurl’=> ‘’
Reiniciar el servicio de apache2
sudo service apache2 restart
Corrección en la OVA Oficial de MISP
63. #IntelCon2020
3.3 | Analizando amenazas con TheHive
Máquina TheHive
Integrar MISP con TheHive
• Acceder a maquina TheHive
• Abrir fichero de configuración de TheHive
▪ sudo nano /etc/thehive/application.conf
• Modificar valores url y key con datos de MISP
• Descomentar valores max-attributes y max-age
Reiniciar servicio de TheHive
sudo service thehive restart
Enlazar TheHive con MISP
64. #IntelCon2020
3.3 | Analizando amenazas con TheHive
Caso a investigar:
https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c
https://otx.alienvault.com/pulse/5ebd49f1d79dd0fc894c5bc1
IoCs a investigar:
• 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
• welheadcontrol.com
• posqit.net
• 185.126.202.111
66. #IntelCon2020
4 | Conclusiones
• Hay que dedicar tiempo, recursos y esfuerzo en analizar indicios maliciosos de manera proactiva
• Los analistas forenses empiezan a trabajar cuando el incidente ya ha ocurrido, estando un paso por detrás de
los actores maliciosos
• Disponer de una base de datos sobre incidentes pasados, tantos internos como externos a la organización
• La inteligencia de amenazas no trata de recolectar únicamente indicadores sobre amenazas o información
sobre adversarios
• Si tratamos una amenaza desde el punto de vista de la ciberinteligencia, tenemos que ser capaces de
responder a las famosas preguntas de quienes son, que usan, donde atacan, cuando actúan, por que atacan y
como operan los adversarios
• El valor del conocimiento generado del análisis reactivo de los casos forenses combinándolo con técnicas
empleadas a través de la ciberinteligencia de manera proactiva
67. Congreso Online de Ciberinteligencia | Julio 2020
#IntelCon2020
Gracias por la atención