Técnicas y Herramientas de Ciberseguridad

[AFO0286X7] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[MOD02464Q] Herramientas, técnicas de ciberseguridad y sistemas SIEM

[UDI150SKY] Técnicas y herramientas de ciberseguridad
Introducción
Varias técnicas y herramientas son usadas y aplicadas dentro de una organización, para contar con
un esquema de seguridad confiable. Las técnicas de ciberseguridad que pueden usarse dependerán
tanto de la infraestructura, como del enfoque a cuál van dirigidas. Una vez elegido las técnicas mas
propicias que se aplicaran en la organización, se implementaran las herramientas que más se
alinean con el entorno de la empresa.
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
maestriasenlinea.ute.edu.ec
1 / 13
Resultados de aprendizaje
Identificar las técnicas de ciberseguridad.
Conocer las principales herramientas open Source de ciberseguridad que ayudaran
complementar la seguridad de la organización.
Usar varias técnicas para poder resolver un incidente de seguridad.
Combinar el uso de técnicas y herramientas durante la gestión de incidentes.
c
Instalar herramientas especializadas para el manejo y gestión de incidentes.
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
2 / 13
Mapa Conceptual
c
.e
du
.e
te
.u
ea
l in
en
as
ri
st
ae
m
3 / 13
1. Técnicas de ciberseguridad
Hay que distinguir entre:
Cyber Threat Intelligence.
Indicadores de compromiso.
c
.e
1.1. Cyber Threat Intelligence
du
El Cyber Threat Intelligence (Inteligencia de Amenazas Cibernéticas) – CTI, hace un enfoque al uso
.e
de las técnicas de inteligencia, pero enfocadas a la ciberseguridad. Es la búsqueda de amenazas
basada en datos. El uso de técnicas de inteligencia se remonta hasta el siglo XIX, cuando se
te
fundaron los primeros departamentos de inteligencia militar. Sin embargo, existen evidencias de que
.u
que la práctica de la inteligencia es tan antigua como la misma guerra. Esto se puede ver a lo largo
ea
de la historia de la humanidad donde siempre han existido por ejemplo técnicas para ocultar
mensajes, venta de información, o el mismo espionaje como resultado de la necesidad de tener

in
ventaja sobre el enemigo.

l
en
En el libro el arte de la guerra, ya se hace mención a este tipo de técnicas que permiten tomar
as
ventaja sobre el enemigo. Otro libro con temas militares y que abarcan temas de inteligencia militar
ri
es el Príncipe de Maquiavelo. Esta necesidad militar de obtener información mediante inteligencia,

st
tuvo notoriedad en las Guerras Mundiales, llevando a un crecimiento y evolución del campo de la
inteligencia tal como lo conocemos. Se han escrito varios libros y artículos sobre el oficio de la
ae
inteligencia. En la sección de literatura de inteligencia de la biblioteca de la CIA

m
(https://www.cia.gov/readingroom/docs/DOC_0005383505.pdf) se pueden encontrar varias
conferencias interesantes sobre el tema.
4 / 13
c
.e
du
.e
te
Ciclo del Cybert Threat Intelligence
.u
La figura anterior, expone el ciclo de Cyber Threat Intelligence que consiste en cinco etapas que se
ea
relacionan entre si, formando un ciclo de vida durante el tiempo que se considere necesario.
in
La inteligencia es la capacidad para pronosticar cambios a tiempo para tomar decisiones al respecto.
l
en
Esta capacidad implica la intuición y precaución, y tiene por objeto identificar el cambio inminente,
el cual puede ser: positivo que representa una oportunidad, o negativo que representa una amenaza.
as
1.1.1. Ciclo de Inteligencia

ri
st
En el ciclo de inteligencia, existe una relación entre datos, conocimiento y la parte práctica de
ae
inteligencia. Esta relación se puede apreciar en una pirámide del conocimiento. En la pirámide
m
podemos notar cómo los hechos, a través de la medición, se transforman en datos de los que
podemos extraer información al procesarlos. Cuando se analiza en conjunto, se puede transformar
en conocimiento. Este conocimiento interactúa con nuestra propia experiencia y forma la base de lo
que llamamos sabiduría.
5 / 13
c
.e
du
.e
te
.u
Para generar una buena inteligencia, como primer paso es necesario definir un conjunto de
ea
requisitos que comprendan todas las necesidades de la organización. Una vez que se ha definido
este primer paso, podemos priorizar las amenazas en las que el equipo debe enfocarse y comenzar a
in
monitorearlas.
l
en
1.1.2. OSINT
as
El Open Source Intelligence es la búsqueda y recolección de información de fuentes abiertas, y que

ri
están de acceso al público con acceso a Internet. No confundir fuentes abiertas con las fuentes
st
cerradas. Muchos expertos del medio han venido promulgando mal el concepto de OSINT, dando por
ae
sentado que hacer OSINT es ilegal y atenta contra la privacidad; esto es totalmente incorrecto, pues
m
toda la información que se recaba con las técnicas OSINT, provienen única y exclusivamente de
recursos que están disponibles en Internet.
Para acceder a la información disponible en Internet, se requiere de un navegador web, y conocer
las técnicas de búsqueda. A continuación, un listado de recursos para obtener información de
fuentes abiertas.
Google Dorks, uso de parámetros del buscador para obtener información específica.
6 / 13
Redes sociales, todo tipo de red social está enlazada con los buscadores, por tanto, es posible
por medio de buscadores acceder a data que esta asociada a las búsquedas.
Repositorios de fuentes abiertas.
Archivos de páginas web, como archive.org, pastebin, etc.
Herramientas para realizar OSIN disponibles en los sistemas operativos Kali Linux, o ParrotOS.
The Harvester, Gotnik.
c
En la siguiente imagen, se muestra la herramienta theHarvester que es muy usada para la búsqueda
.e
de información en fuentes abiertas. En la pantalla se busca datos del dominio kali.org en los
du
diferentes motores, y repositorios de información, fuentes de inteligencia, etc.
.e
te
.u
ea
l in
en
as
ri
st
ae
m
Indicadores de Compromiso: campaña MSI Overload
1.2. Indicadores de compromiso
Los IOCs, se refieren a las evidencias de un dispositivo que apuntan a una violación de seguridad.
Los datos del IOC se recopilan después de que ocurre un incidente sospechoso, un evento de
7 / 13
seguridad o actividades no autorizadas en la red. Además, es una práctica común comprobar los
datos del IOC de forma regular para detectar actividades y vulnerabilidades inusuales. Con esta
práctica, es posible desarrollar herramientas más inteligentes que sean capaces de identificar y
aislar archivos sospechosos.
Los indicadores de compromiso también pueden servir como piezas de información que permiten a
los equipos de seguridad de la información y de TI detectar actividad maliciosa en la red en una
etapa temprana, antes que exista el compromiso. Por lo tanto, tales actividades pueden ser
c
.e
contenidas antes de que se conviertan en ataques reales o en un compromiso, y pongan en riesgo
toda la red. Por otro lado, no siempre es fácil detectar indicadores de compromiso, ya que varían en
du
forma. Pueden ser registros, metadatos o cadenas complejas de códigos. Es por eso que los
.e
profesionales de TI y los equipos de seguridad de la información a menudo intentan colocar la
te
información dentro del contexto para darle sentido e identificar ciertos indicadores de compromiso.
.u
Existen varios indicadores de compromiso que tando el personal de TI como el de seguridad de la
ea
información deben estar atentos, para lanzar las alertas. A continuación, se cita algunos indicadores
de compromiso:
l in
en
Actividades sospechosas en la actividad de usuarios privilegiados
Actividad de inicio de sesión en varios equipos

as
Solicitudes DNS sospochosas

ri
Tráfico web anómalo

st
Actividad inusual en el tráfico de red saliente

ae
Incremento en el volumen de lectura de base de datos
Tamaños de respuesta HTML inusuales

m
Cambios en los perfiles de los dispositivos móviles
Señales de actividad relacionadas a un ataque DDoS
Paquetes de datos maliciosos o malformados
Tráfico de aplicación hacia puertos sospechosos
Cambios inusuales en los archivos del registro y/o del sistema
Parcheo brusco de sistemas
Una vez que los IOC han sido catalogados, estos deben ser marcados o nombrados con un ID que
8 / 13
normalmente viene a ser un hash único. En el siguiente ejemplo se observa los indicadores que
afectan una campaña maliciosa conocida como MSI oveload:
c
.e
du
.e
te
.u
ea
l in
en
as
Indicadores de Compromiso: campaña MSI Overload

ri
1.2.1. Estándares
st
ae
Existen diversas iniciativas para definir cómo se deben documentar los indicadores de compromiso:
m
Incident Object Description and Exchange Format (IODEF), fue estandarizado por el grupo
IETF Extended Incident Handling (INCH) Working Group, que forman parte del IETF Security
Area. https://datatracker.ietf.org/doc/html/rfc5070
Open Indicators of Compromise (OpenIOC), creado por la empresa de seguridad MANDIANT.
https://www.fireeye.com/services/freeware.html. https://github.com/mandiant/ioc_writer
Cyber Observable eXpression (CybOX), creado por miembros del MITRE.
https://cyboxproject.github.io
9 / 13
2. Herramientas de ciberseguridad
Hay que distinguir entre:
Sistema de detección de intrusos (IDS).
Sistema de prevención de intrusos (IPS).
c
.e
2.1. Sistema de detección de intrusos (IDS)
du
Un sistema de detección de intrusos (IDS) es un programa usado para detectar accesos no
.e
autorizados a un ordenador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o
de Script Kiddies que usan herramientas automáticas. Por tanto, estamos ante una herramienta o
te
sistema de seguridad que monitorea el tráfico en una red y los eventos ocurridos en un determinado
.u
sistema informático, para así poder identificar los intentos de ataques o amenazas que puedan
ea
comprometer la seguridad y el desempeño de dicho sistema. El desempeño de los IDS se basa en la
búsqueda y análisis de patrones previamente definidos que impliquen cualquier tipo de actividad
in
sospechosa o maliciosa sobre una red o host.

l
en
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS
as
puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a
ri
dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
st
ae
2.1.1. Funcionamiento
m
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el
cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo
analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente, esta herramienta se integra con un firewall. El detector de intrusos es incapaz de
detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta
de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa, ya que se
10 / 13
une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos, aportando a la
seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa.
Por tanto, los IDS incrementan la seguridad de algún sistema o red, vigilando el tráfico mediante el
examen de los paquetes en busca de datos sospechosos que puedan afectar a los elementos de la
red.
c
.e
du
2.2. Sistema de prevención de intrusos (IPS)
.e
Este sistema fue desarrollado en 1990 y fue diseñado para monitorear el tráfico de una red en
te
tiempo real, y así prevenir que se filtre cualquier actividad maliciosa conocida como intrusión en la
.u
misma, cuando se produce la caída de un paquete o este pasa dañado o incompleto, en una
transmisión de información, inmediatamente la red bloquea la transmisión por prevenir un posible

ea
ataque o deformaciones en la transferencia de datos. Es considerado una mejora con respecto a los
in
Firewalls y Cortafuegos, y su diseño es una evolución de los IDS.

l
en
Un IPS se define, por tanto, como un dispositivo que ejerce el control de acceso en una red para
proteger a los sistemas o equipos de posibles ataques. Los IPS representan un desarrollo en los
as
sistemas de seguridad, ya que cuentan con la capacidad de tomar decisiones de control basado en
ri
los contenidos del tráfico como por ejemplo las direcciones IP fuente y destino o los puertos de
st
acceso.
ae
2.2.1. Funcionamiento
m
Un IPS, al igual que un Sistema para la Detección de Intrusos, funciona ante la detección de intrusos
pero se diferencian en que el IDS alerta al administrador de la red ante la detección de un posible
intruso, mientras que un Sistema de Prevención de Intrusos se establecen políticas de seguridad
para proteger el equipo o la red de un ataque, protegiendo de manera proactiva, es decir, que alerta
de manera anticipada la detección del ataque y un IDS protege reactivamente, lo que indica que ésta
actúa en el momento de detectar el ataque.
11 / 13
El IPS funciona a nivel de la capa 7 y tiene la capacidad de descifrar protocolos como HTTP, FTP y
SMTP, además algunos IPS permiten establecer reglas como se hace en los Firewalls. La tecnología
IPS ofrece una visión más profunda de las operaciones de la red, proporcionando información sobre
actividades maliciosas, malas conexiones, el contenido inapropiado de la red y muchas otras
funciones de la capa de Aplicación, utilizando menos recursos que un IDS, por lo que representa una
solución ideal que contribuye a la seguridad de la información que se transmite por una red y
disminuyendo los costos para una empresa que opta por adquirir sistemas de este tipo para
c
preservar los datos que posee.
.e
El IPS no utiliza dirección IP como lo hace un firewall, ni funciona igual que un cortafuegos, el IPS
du
permite poner normas y restringir acceso a usuarios, aplicaciones y a host siempre y cuando se
.e
detectan que estos están teniendo actividades mal intencionadas o código malicioso en el tráfico de
te
la red
.u
ea
l in
en
as
ri
st
ae
m
12 / 13
Recuerda
El Cyber Threat Intelligence (Inteligencia de Amenazas Cibernéticas) – CTI, hace un enfoque al
uso de las técnicas de inteligencia, pero enfocadas a la ciberseguridad.
En el ciclo de inteligencia, existe una relación entre datos, conocimiento y la parte práctica de
inteligencia.
El Open Source Intelligence es la búsqueda y recolección de información de fuentes abiertas, y
c
que están de acceso al público con acceso a Internet. No confundir fuentes abiertas con las
.e
fuentes cerradas.
du
Los IOCs, se refieren a las evidencias de un dispositivo que apuntan a una violación de
seguridad.
.e
Un sistema de detección de intrusos (IDS) es un programa usado para detectar accesos no
te
autorizados a un ordenador o a una red. .u
Un IPS se define, por tanto, como un dispositivo que ejerce el control de acceso en una red
ea
para proteger a los sistemas o equipos de posibles ataques.

l in
en
as
ri
st
ae
m
13 / 13

Técnicas y Herramientas de Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Técnicas y Herramientas de Ciberseguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Técnicas y Herramientas de Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

[AFO0286X7] Herramientas, técnicas de ciberseguridad y sistemas SIEM

[MOD02464Q] Herramientas, técnicas de ciberseguridad y sistemas SIEM

propicias que se aplicaran en la organización, se implementaran las herramientas que más se

alinean con el entorno de la empresa.

Identificar las técnicas de ciberseguridad.

Conocer las principales herramientas open Source de ciberseguridad que ayudaran

complementar la seguridad de la organización.

Usar varias técnicas para poder resolver un incidente de seguridad.

Combinar el uso de técnicas y herramientas durante la gestión de incidentes.

Hay que distinguir entre:

Cyber Threat Intelligence.

mensajes, venta de información, o el mismo espionaje como resultado de la necesidad de tener

ventaja sobre el enemigo.

es el Príncipe de Maquiavelo. Esta necesidad militar de obtener información mediante inteligencia,

inteligencia. En la sección de literatura de inteligencia de la biblioteca de la CIA

(https://www.cia.gov/readingroom/docs/DOC_0005383505.pdf) se pueden encontrar varias

conferencias interesantes sobre el tema.

1.1.1. Ciclo de Inteligencia

podemos extraer información al procesarlos. Cuando se analiza en conjunto, se puede transformar

que llamamos sabiduría.

El Open Source Intelligence es la búsqueda y recolección de información de fuentes abiertas, y que

recursos que están disponibles en Internet.

Para acceder a la información disponible en Internet, se requiere de un navegador web, y conocer

las técnicas de búsqueda. A continuación, un listado de recursos para obtener información de

Repositorios de fuentes abiertas.

Archivos de páginas web, como archive.org, pastebin, etc.

The Harvester, Gotnik.

Indicadores de Compromiso: campaña MSI Overload

1.2. Indicadores de compromiso

aislar archivos sospechosos.

los equipos de seguridad de la información y de TI detectar actividad maliciosa en la red en una

Actividades sospechosas en la actividad de usuarios privilegiados

Actividad de inicio de sesión en varios equipos

Solicitudes DNS sospochosas

Tráfico web anómalo

Actividad inusual en el tráfico de red saliente

Incremento en el volumen de lectura de base de datos

Tamaños de respuesta HTML inusuales

Cambios en los perfiles de los dispositivos móviles

Señales de actividad relacionadas a un ataque DDoS

Paquetes de datos maliciosos o malformados

Tráfico de aplicación hacia puertos sospechosos

Cambios inusuales en los archivos del registro y/o del sistema

Parcheo brusco de sistemas

afectan una campaña maliciosa conocida como MSI oveload:

Indicadores de Compromiso: campaña MSI Overload

Open Indicators of Compromise (OpenIOC), creado por la empresa de seguridad MANDIANT.

Cyber Observable eXpression (CybOX), creado por miembros del MITRE.

Hay que distinguir entre:

Sistema de detección de intrusos (IDS).

Sistema de prevención de intrusos (IPS).

comprometer la seguridad y el desempeño de dicho sistema. El desempeño de los IDS se basa en la

sospechosa o maliciosa sobre una red o host.

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el

cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos

Normalmente, esta herramienta se integra con un firewall. El detector de intrusos es incapaz de

transmisión de información, inmediatamente la red bloquea la transmisión por prevenir un posible

Firewalls y Cortafuegos, y su diseño es una evolución de los IDS.

intruso, mientras que un Sistema de Prevención de Intrusos se establecen políticas de seguridad