mandiant advantage ebook - fireeye

THREAT INTELLIGENCEDATOS, PERSONAS Y PROCESOS

Índice

Terminología

Todos los capítulos de este libro electrónico tienen hipervínculos. Seleccione un capítulo para navegar hasta él. Puede volver a visitar el contenido en cualquier momento haciendo clic en en la esquina superior derecha. Resumen ejecutivo 3

Introducción 4

Mandiant Threat Intelligence: Datos, personas y procesos 5

Visibilidad de amenazas sin precedentes 6

Equipos de investigación especializados 7

Inteligencia organizada a través de la base de datos de gráficos de Mandiant 8

Atribución del perpetrador e información sobre el mismo 9

Ascenso del perpetrador FIN 11 12

Acceso a amenazas de primera línea a través de una multitud de interfaces 14

Las ventajas de Threat Intelligence de Mandiant Advantage 16

Decisiones eficaces basadas en análisis de ataques precisos 17

Mandiant Advantage:

Familia de suscripciones y servicios, integrados y accesibles a través de un entorno SaaS que aumenta y ayuda a automatizar a todos los equipos de seguridad del mundo con experiencia e inteligencia, independientemente del sistema SIEM o los controles implementados.

Base de datos de gráficos de Mandiant:

La base de datos colectiva de Mandiant que contiene inteligencia recopilada histórica sobre amenazas, conocimiento sobre adversarios y enriquecimiento, producido por los expertos de Mandiant, los procesos automatizados y el aprendizaje automático.

2 MANDIANT THREAT INTELLIGENCE | DATOS, PERSONAS Y PROCESOS

Los recursos limitados y la urgencia continua de priorizar las alertas y tomar decisiones efectivas están poniendo a muchos equipos de seguridad bajo una presión cada vez mayor. Una decisión incorrecta a nivel estratégico u operativo puede afectar al negocio con costosas consecuencias.

La recopilación de datos de Mandiant, el personal experto, los equipos altamente especializados y el seguimiento único de los perpetradores brindan a las organizaciones un contexto significativo sobre las amenazas relevantes para su negocio. Al ofrecer una vista global de los perpetradores, sus tácticas y sus objetivos, Mandiant Advantage puede ayudar a los equipos de seguridad en todo el mundo con estrategias de defensa para proteger a sus organizaciones de adversarios sigilosos y rápidos, independientemente de los controles técnicos que utilicen.

Resumen ejecutivo

ÍNDICE3 MANDIANT THREAT INTELLIGENCE | DATOS, PERSONAS Y PROCESOS

Hoy en día, los Directores de seguridad de la información, los gerentes de SOC y otros profesionales de la seguridad enfrentan una necesidad constante de tomar decisiones para defender sus organizaciones contra amenazas sofisticadas. Las decisiones tardías o mal informadas pueden tener un impacto significativo: los equipos de operaciones de seguridad pueden perder tiempo esencial en alertas de baja prioridad, los costosos controles de seguridad pueden resultar ineficaces y los atacantes pueden vulnerar las defensas sin ser detectados. ¿En quién debe confiar?

Para tomar decisiones operativas, tácticas o estratégicas, los profesionales de la seguridad comparan pruebas internas o configuraciones de sistemas con la información disponible sobre comportamientos maliciosos o técnicas de ataque conocidas. Este conjunto global de información que utilizan los equipos de seguridad para tomar decisiones a menudo se describe como inteligencia sobre ciberamenazas (Cyber Threat Intelligence, CTI).

Una búsqueda rápida en Internet conduce a cientos de fuentes de inteligencia sobre ciberamenazas, cada una basada en diferentes tipos de ataques o fuentes de datos. Sin embargo, el volumen de datos, la variedad y la falta de transparencia que brindan las plataformas de CTI pueden dejar a los profesionales de la seguridad con más preguntas que respuestas al rastrear una amenaza. Los equipos a menudo no están seguros de en cuál fuente de datos confiar, si los datos sobre los indicadores de amenazas siguen siendo relevantes, quién está detrás de un ataque y sus motivaciones, la probabilidad de un ataque y cómo pueden proteger sus entornos.

Pronto queda claro que la inteligencia sobre ciberamenazas requiere más que solo datos, los usuarios necesitan contexto para obtener una imagen completa de las amenazas, los objetivos que están en riesgo y las tácticas específicas que implementa un atacante.

Introducción


Mandiant Threat Intelligence: Datos, personas y procesos

Durante los últimos 15 años, a través de investigaciones, consultoría de incidentes y ejercicios de simulación de ataque en todo el mundo, Mandiant creó y seleccionó una cartera única de inteligencia sobre amenazas que se actualiza constantemente con nuevos datos de evidencia, experiencia humana y técnicas profesionales de análisis únicas. Mandiant ahora domina el campo de la inteligencia sobre ciberamenazas, entregando las siguientes cuatro competencias básicas a los equipos de seguridad de todo el mundo.


Inteligencia sobre vulneraciones recopilada a través de las investigaciones de respuesta ante incidentes de los servicios de consultoría de Mandiant. Cada año, Mandiant ejecuta más de 200 000 horas de investigaciones de respuesta ante incidentes en todo el mundo, lo que brinda a los analistas una información profunda de los pasos específicos que toman los perpetradores maliciosos después del ataque contra las organizaciones objetivo.

Inteligencia sobre adversarios obtenida por investigadores de Mandiant. Al participar en más de 400 ejercicios de simulación de ataque, a través de miles de iniciativas de investigación de inteligencia impulsadas por el cliente y hablando más de 30 idiomas, Mandiant pone a disposición más de 300 consultores de amenazas en 26 países para producir informes de inteligencia que detallan las actividades de amenazas descubiertas “naturalmente” y en la web oscura.

Inteligencia operativa derivada de los servicios Mandiant Managed Defense. Cinco centros de operaciones de seguridad buscan de forma proactiva la actividad de amenazas no identificadas e investigan estas en los entornos de los clientes, ingiriendo 99 millones de eventos al año, validando activamente más de 21 millones de alertas de las ingeridas.

Inteligencia artificial de los productos de seguridad de FireEye. Los productos FireEye protegen millones de dispositivos en todas las industrias a nivel mundial, identificando actividades maliciosas a nivel global que atacan a los usuarios y sus activos. Esta inteligencia artificial se extrae de 15 000 sensores de red en 56 países, registrando decenas de millones de detonaciones de malware por hora y escaneando 65 millones de correos electrónicos por día.

1. Visibilidad de amenazas sin precedentesMandiant recopila de forma independiente información sobre amenazas de un conjunto equilibrado de fuentes, lo que brinda a los equipos de seguridad una visibilidad única de los atacantes. Estas fuentes incluyen:


Mandiant cuenta con más de 300 analistas que investigan amenazas y desarrollan inteligencia. El equipo evalúa de forma continua los datos recopilados de amenazas para identificar nuevos hallazgos, actualizando e informando a los clientes de inmediato sobre los cambios en su panorama de amenazas. La precisión, relevancia y calidad de esta información es el resultado de lo siguiente:

Especialización: Diferentes expertos se especializan en evaluar perpetradores del estado-nación, delincuentes, vulnerabilidades y su explotación, malware, entornos de tecnología operativa (Operational Technology, OT) y operaciones de información.

Colaboración: Todos los analistas de las fuentes de inteligencia y los expertos en materia técnica trabajan en estrecha colaboración en los mismos equipos para brindar la mayor cantidad de detalles y contexto en torno a cada amenaza. Por ejemplo, un experto técnico de Mandiant puede identificar un nuevo tipo de malware utilizado en ataques individualizados y un analista del equipo desarrollará una evaluación de los riesgos que representa para las organizaciones.

2. Equipos de investigación especializados

La colaboración estrecha e integrada entre expertos en múltiples áreas facilita el desarrollo de hallazgos únicos para abordar las necesidades relacionadas con el riesgo de una organización, que a su vez contribuyen al gráfico de inteligencia que impulsa a Mandiant Advantage.


La herramienta principal de Mandiant para rastrear el complejo panorama de las amenazas en evolución es una base de datos de gráficos que centraliza los hallazgos de inteligencia. Los datos se enriquecen tanto con expertos humanos como con fuentes de máquinas para formar las bases de Mandiant Advantage.

La base de datos de gráficos de Mandiant rastrea los dominios o perpetradores, incluidas las relaciones (es decir, la dirección IP devuelta por una búsqueda de DNS de dominio), así como las características de entidades como la familia de malware bajo la cual categorizamos un archivo. El sistema también brinda a los analistas de amenazas de Mandiant un espacio de trabajo compartido en el que las personas o los equipos pueden colaborar para crear una imagen más precisa de la amenaza.

Las capacidades de enriquecimiento de máquina dentro de la base de datos de gráficos de Mandiant aumentan el sistema con nueva información que es aprovechada por los expertos durante sus flujos de trabajo de investigación. Los analistas pueden

integrar datos de DNS pasivos de proveedores para comprender la infraestructura de un adversario, o el sistema puede enriquecer de manera proactiva todo el conjunto de datos, vinculando automáticamente los indicadores maliciosos con los nuevos hallazgos de los sistemas de análisis o detonación de malware interno.

La base de datos de gráficos de Mandiant impulsa los productos y servicios de FireEye y Mandiant con contexto en tiempo real sobre las últimas amenazas. La base de datos de gráficos está completamente integrada en la plataforma Mandiant Advantage, proporcionando a los clientes la experiencia y la inteligencia que necesitan para detener las amenazas, independientemente del SIEM o los controles de seguridad que implemente el usuario.

3. Inteligencia organizada a través de la base de datos de gráficos de Mandiant


4. Atribución del perpetrador e información sobre el mismoDetrás de cada ataque hay un perpetrador. Comprender la motivación de un atacante y la variedad de tácticas es valioso para los defensores cibernéticos tanto cuando responden a un intento de ataque como cuando evalúan de manera proactiva qué amenazas externas podrían afectar su negocio. Para conectar los datos de amenazas con un análisis de atribución depurado, los expertos de Mandiant llevan a cabo el siguiente proceso detallado para definir perpetradores, describir sus actividades y brindar a los clientes información integral de los grupos de perpetradores.


01. 02. 03.

Mandiant identifica periódicamente nuevos perpetradores y malware que se deben rastrear. Un “perpetrador” es un conjunto cohesivo de actividades que se cree que están vinculadas a las mismas personas, que realizan operaciones similares a lo largo del tiempo. Comprender estos grupos permite a los defensores de amenazas posicionar los recursos de seguridad contra las amenazas más relevantes. Para rastrear a un perpetrador o a un tipo de malware, los investigadores de amenazas de Mandiant definen sus características clave, utilizando una combinación única de observaciones clave, como herramientas, técnicas, infraestructura, ataques y comportamientos posteriores a vulneraciones.

Cuando las características de la actividad de la amenaza son lo suficientemente consistentes en varios incidentes, se pueden vincular en un “grupo de actividades” atribuido a un solo individuo o grupo de personas que trabajan juntas. Del mismo modo, un tipo de malware vendría definido por la funcionalidad y características que lo diferencian de los demás. Después de establecer los “conjuntos de actividades” o “grupos” iniciales, el trabajo de análisis continúa y cada conjunto de actividades evoluciona.

Los usuarios de Threat Intelligence de Mandiant Advantage tienen acceso a los hallazgos de inteligencia extraídos (conjuntos de actividades, perpetradores, malware) en varias etapas del análisis. Cuando Mandiant comienza a rastrear un conjunto de actividad maliciosa, los analistas crean una entidad de perpetrador “sin categorizar” para describir las primeras etapas de la investigación. En este punto, las relaciones entre la nueva actividad, la actividad rastreada y las intenciones del perpetrador pueden no estar claras. Una entidad sin categorizar podría cubrir un conjunto de actividades tan simple como dos correos electrónicos de phishing selectivo con el mismo engaño y malware, esto podría desarrollarse mediante una investigación adicional para cubrir toda una operación de intrusión completa e integral. En la plataforma de Mandiant Advantage y en los informes de inteligencia sobre amenazas, estas entidades “no categorizadas” en la fase de desarrollo aparecen como grupos “UNC”.

Perpetradores y malware Creación de un conjunto de actividades Desarrollo y “ascenso” de un perpetrador


04. 05. 06.

Los grupos UNC pueden desarrollarse en varias entidades a medida que avanza el análisis. Mandiant ha creado más de 2000 grupos UNC, muchos de los cuales todavía existen hoy, pero otros se han fusionado en entidades combinadas a medida que las observaciones los conectan a lo largo del tiempo. Por ejemplo, los analistas de Mandiant pueden descubrir evidencia durante una investigación de respuesta ante incidentes que muestre de manera forense que UNC1 está asociado con los mismos operadores que UNC2 y que UNC2 se fusiona en UNC1. Sin embargo, si el análisis indica que dos UNC pueden estar relacionados, se notará la conexión y los analistas de Mandiant continuarán rastreando los conjuntos de actividades por separado. Si nuevos hallazgos cambian esta visión, el sistema mantendrá un registro histórico de los dos componentes distintos. Los UNC se fusionan cuando los datos demuestran que no son operaciones diferentes.

Los usuarios de Mandiant Advantage también verán grupos TEMP en la plataforma. Mandiant usa la designación TEMP cuando uno o más UNC potencialmente relacionados han alcanzado cierto nivel de importancia y los clientes necesitan seguir la actividad de manera continua para protegerse. Esta designación TEMP se utiliza para hacer referencia a la amenaza representada por uno o más de los grupos de actividad subyacentes etiquetados como “UNC”. Un ejemplo de esto en acción es TEMP.Veles, una operación vinculada al despliegue del marco TRITON contra los sistemas de seguridad industrial. Debido a la naturaleza altamente especializada de este tipo de operación, hay menos observaciones de TEMP.Veles en comparación con muchos otros grupos rastreados, pero no obstante, es una amenaza importante de entender para las organizaciones que pueden ser atacadas.

Los perpetradores más completos analíticamente son los etiquetados como “APT” o “FIN”. Los analistas de Mandiant crean un grupo APT o FIN a partir de varios grupos UNC basados en un análisis de alta confianza de los riesgos asociados y la forma en que opera el grupo. La designación APT se utiliza para conjuntos de intrusión que se cree que son patrocinados por el estado y la designación FIN para grupos que se cree que son de naturaleza criminal.

Grupos UNC

UNC2

UNC1APT

FIN

Grupos TEMP Grupos APT y FIN

TEMP


Inteligencia sobre vulneraciones

Inteligencia operativa

Inteligencia artificial

Inteligencia sobre adversarios

CLAVE

NIV

EL D

E IN

TELI

GEN

CIA

40 000

Incidentes inicialesPuerta traseraFlawedAmmyy

Puerta traseraServhelper

Phishing ycargadores

generalizados

Novedoso malwareque distribuye el

ransomware CLOP

MÉTODO:POS de Bluesteal,

malware

Campañasde phishing

MÉTODO: Descargas, archivos zip y de Office

armados

Nuevos incidentes e investigación de

adversarios Puerta traseraMIXLABEL

CargadorFRIENDSPEAK

InyectorMINEDOOR

@@

@@

OBJETIVO: Hotelería,comercio minorista

y finanzas

OBJETIVO: GEO

20 000

FIN11

• Descripción general del perpetrador• Informe del perfil• TTP Deepdive• Sistemas afectados• Listas de indicadores

2017 2018 2019 2020

TEMP.WarlockUNC902 IDENTIFICADO

Ascenso del perpetrador FIN 11


Ascenso del perpetrador FIN 11

Mayo de 2017: UNC902 identificado Mandiant respondió a varios incidentes en los que los perpetradores abrieron la puerta trasera FlawedAmmyy. Mandiant comenzó a rastrear este clúster de actividad como UNC902. La investigación posterior reveló una actividad relacionada que data de 2016.

2018: verticales específicas en riesgo Mandiant observó que UNC902 realizaba campañas de phishing que parecían atacar a los sectores financiero, minorista y hotelero. Los perpetradores utilizaron una variedad de métodos, como archivos ZIP y archivos de Office cargados de macros, para entregar FlawedAmmyy.

Finales de 2018: optimizado con malware POS y puertas traseras Los perpetradores entregaron ocasionalmente otras puertas traseras como ServHelper. En varias intrusiones UNC902 confirmadas o sospechadas, Mandiant observó a los grupos que implementaban malware de punto de venta BLUESTEAL.

2019: ataques generalizados, campañas de phishing y malware exclusivo que forman TEMP.Warlock UNC902 llevó a cabo campañas de phishing generalizadas y de gran volumen que condujeron a una variedad de puertas traseras y cargadores. El grupo de amenazas atacó a organizaciones en una amplia gama de sectores y regiones geográficas. En agosto de 2019,

Mandiant observó una campaña de phishing UNC902 que afectaba a numerosas organizaciones que usaban archivos de Office cargados de macros para entregar una carga útil de FlawedAmmyy. Mandiant respondió a varios incidentes que se remontan a esta campaña de phishing. El equipo observó una actividad posterior a la vulneración en la que los perpetradores utilizaron una variedad de malware disponible públicamente y aparentemente exclusivo para desplazarse lateralmente dentro del entorno, antes de implementar ransomware CLOP. Esta actividad se informó bajo el nombre TEMP.Warlock. El uso del ransomware CLOP se remonta a febrero de 2019.

Segundo semestre de 2019: nuevo inyector y cargador mejorado En septiembre de 2019, el grupo de amenazas comenzó a utilizar el inyector MINEDOOR recientemente identificado y el cargador FRIENDSPEAK. Aunque las campañas de septiembre de 2019 estaban entregando FlawedAmmyy, a principios de octubre el grupo había pasado a entregar la puerta trasera MIXLABEL.

En 2020, Mandiant creó un nuevo grupo FIN llamado FIN11, que cubría este conjunto de intrusiones con motivaciones financieras.


5. Acceso a amenazas de primera línea a través de una multitud de interfaces

A medida que se desarrolla nueva evidencia, experiencia y contexto de perpetradores, los profesionales de la seguridad pueden acceder al análisis y la experiencia almacenados en la base de datos de gráficos de Mandiant a través de varias interfaces:

Portal de Mandiant Advantage

Una plataforma a través de la cual todos los profesionales de la seguridad pueden revisar las tendencias de amenazas y buscar o recurrir a indicadores tácticos (IP, DNS, URL, CVE, MD5), campañas de amenazas, malware, perpetradores, vulnerabilidades (y su calificación de riesgo), tácticas, técnicas y asignaciones MITRE ATT&CK. El portal de Mandiant Advantage permite a los usuarios investigar en profundidad las amenazas que más les importan.


Complemento para navegadores de Mandiant (imagen a la izquierda)

El complemento es compatible con varios navegadores (Google Chrome, Mozilla Firefox), destacando las palabras clave de amenaza u observables reconocidos por la base de datos de gráficos de Mandiant en cualquier página web. Los aspectos destacados están codificados por colores para representar una calificación de prioridad y los usuarios pueden hacer clic para ver información más detallada sobre un observable o una palabra clave específicos. Este enfoque permite a los usuarios centrarse en las amenazas más importantes en ese momento y obtener información adicional sin abrir nuevas herramientas o ventanas.

API e integraciones web

Los datos representados a través de la inteligencia sobre amenazas de Mandiant Advantage también están disponibles a través de una interfaz de programación de aplicaciones (Application Program Interface, API) para la integración directa con aplicaciones de terceros, incluidas las herramientas de información de seguridad y administración de eventos (Security Information and Event Management, SIEM), plataformas de inteligencia sobre amenazas (Threat Intelligence Platforms, TIP), herramientas de investigación, herramientas de gestión de vulnerabilidades y muchos otros.

Informes de inteligencia terminada

Estos informes incluyen actualizaciones analíticas y técnicas que son oportunas, relevantes, viables y se remontan a las necesidades específicas del cliente, ya sean operativas, tácticas o estratégicas. La información de intrusiones y malware que se utiliza al producir informes de inteligencia terminada también se incluye en la base de datos de gráficos de Mandiant y fortalece a la plataforma de Mandiant Advantage.


Conocimiento de más de 300 expertos a su alcance

Cuando los expertos de Mandiant o los procesos de enriquecimiento sepan acerca de un nuevo perpetrador, táctica o ataque, los clientes de Mandiant Advantage lo sabrán. Este acceso instantáneo nuevo e innovador a la inteligencia sobre amenazas continuamente actualizada y al conocimiento único ayuda a los equipos de seguridad de todos los tamaños a tomar las decisiones de seguridad correctas para evitar que los adversarios sigilosos y que cambian rápidamente lleven a cabo su misión disruptiva.

Integración fluida

Threat Intelligence de Mandiant Advantage puede ayudar y reforzar a todos los equipos de seguridad del mundo con experiencia e inteligencia, integrándose sin problemas en cualquier sistema SIEM o herramienta de seguridad actualmente en uso.

Sirviendo a todas las capas de la organización de seguridad

Los analistas de SOC pueden buscar indicadores para validar las alertas SIEM o buscar la actividad del perpetrador descargando tablas de indicadores, los analistas de riesgo de vulnerabilidades pueden priorizar instantáneamente los CVE descubiertos a través del complemento del navegador y los ejecutivos de seguridad pueden aumentar la eficiencia de las inversiones al enfocar sus gastos en las tácticas de amenazas dirigidas a su entorno.

Concéntrese en las amenazas más importantes para usted

Los datos de Mandiant Threat Intelligence se seleccionaron, conectaron y enriquecieron con etiquetas únicas. Los usuarios pueden recurrir sin esfuerzo a paneles de información sobre amenazas personalizables y buscar las últimas noticias sobre amenazas relacionadas con su región, industria u otros elementos tecnológicos comerciales para encontrar las amenazas que más les importan ahora.

Las ventajas de Threat Intelligence de Mandiant Advantage


Threat Intelligence de Mandiant Advantage funciona con una base de datos de gráficos con quince años de información estructurada y análisis sobre los perpetradores de intrusión, sus herramientas, actividad y técnicas. Con base en un amplio conjunto de fuentes, la colaboración con cientos de expertos y el enriquecimiento de máquina, los datos se ponen instantáneamente a disposición de los usuarios de Mandiant Advantage para ayudar a las organizaciones a dar el mejor uso a sus recursos limitados de seguridad.

El seguimiento de perpetradores y malware de Mandiant brinda a las organizaciones un contexto significativo sobre las amenazas que ven en su entorno. La interfaz y la API de Mandiant Advantage permiten a los usuarios buscar, filtrar y recurrir a millones de entidades de amenaza para filtrar los perpetradores y el malware que son relevantes para sus organizaciones. Los equipos de seguridad pueden

manipular sin esfuerzo estos datos para revelar indicadores, técnicas ATT&CK, información de objetivos, vulnerabilidades explotadas y otras características clave. Para obtener la imagen más reciente y completa de cómo un perpetrador pone en peligro a sus víctimas, los usuarios de Mandiant Advantage pueden hacer referencias cruzadas de los indicadores de amenazas detectadas con análisis útiles de ataques contenidos en informes de inteligencia terminada.

Cuando un equipo de seguridad está armado con la mejor inteligencia sobre amenazas posible, sin importar su tamaño, su capacidad para tomar decisiones más rápidas, proactivas y mejores para proteger su organización mejora enormemente. Mandiant Advantage es la única plataforma de inteligencia sobre amenazas en el mundo que ofrece tanta amplitud y profundidad de datos, informando sobre incidentes y perpetradores a medida que son descubiertos.

Decisiones eficaces basadas en análisis de ataques precisos

Para obtener más información o suscribirse a Threat Intelligence de Mandiant Advantage, visite: www.fireeye.com/mandiant/advantage.html

El panorama cibernético continúa creciendo en complejidad a medida que los adversarios se vuelven

cada vez más sofisticados y transforman sus tácticas rápidamente. Para reducir proactivamente el riesgo

comercial de parte de atacantes motivados, las organizaciones necesitan una tecnología de validación de la

seguridad continua impulsada por inteligencia oportuna y relevante. Mandiant, como parte de FireEye, reúne

los datos de inteligencia sobre amenazas y respuesta ante incidentes de primera línea más importantes

del mundo con una plataforma validación de la seguridad continua para armar a las organizaciones con las

herramientas necesarias para aumentar la efectividad de la seguridad y reducir el riesgo organizacional,

independientemente de la tecnología implementada.

FireEye, Inc.601 McCarthy Blvd. Milpitas, CA 95035408.321.6500/877.FIREEYE (347.3393)[email protected]

©2019 FireEye, Inc. Todos los derechos reservados. FireEye es una marca comercial registrada de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios.


http://www.fireeye.com/mandiant/advantage.html

mailto:info%40FireEye.com?subject=

mandiant advantage ebook - fireeye

Documents