Objetivos

Exponer lo conceptos fundamentales de la inteligencia de ciberamenazas, a la vez acompaña al alumno mediante ejemplos prácticos que implementen de manera real dichos conceptos y como se usan actualmente en las organizaciones.

Temario

• Perspectiva histórica de la inteligencia.
• Perspectiva histórica de la inteligencia.
• Evolución del cibercrimen y su complejidad actual .
• La importancia de estudiar el comportamiento de los ciber atacantes.
• Definición de inteligencia de ciberamenazas.
• Fundamentos de la inteligencia de ciberamenazas.
• Actor amenaza.
• Intrusión.
• Campaña.
• Víctima y objetivo.
• Tácticas, técnicas y procedimientos (TTPs).
• Amenazas avanzadas y persistentes (APTs).
• Indicadores de Compromiso.
• Definición.
• Pyramid of Pain.
• Indicadores clave.
• Ciclo de vida de los IOCs.
• OpenIOC.
• Compartición de inteligencia de ciberamenazas.
• NIST - Traffic Light Protocol.
• Tipos de reportes de inteligencia.
• Herramientas de compartición de inteligencia.
• Malware Intelligence Sharing Platform.
• Introducción a la plataforma.
• Robustecimiento del servidor e instalación de la plataforma.
• Creación de organizaciones y usuarios.
• Establecimiento de taxonomía y habilitación de tags.
• Creación de eventos.
• Sincronización de instancias MISP.
• TAXII Server.

• Relación entre objetivos de investigación de inteligencia y las fuentes de recolección de información.
• Fuentes de recolección de información.
• Ciclo de inteligencia de fuentes abiertas (Ciclo OSINT).
• Recolección de datos e información.
• Procesamiento y filtrado.
• Análisis de información.
• Correlación y/o diseminación de resultados.
• Medidas de protección para la investigación OSINT.
• Introducción a los principios de privacidad de la información.
• Creación de cuentas puppets.
• Uso de herramientas para la navegación segura en Internet.
• Creación de un entorno de investigación OSINT (máquinas virtuales).
• Herramientas de recolección OSINT.
• osintframework.com.
• Google Dorks.
• Feedly.
• Threatable.
• Twitter deck.
• Recon-ng.
• Herramientas para el análisis y correlación de información.
• YOGA.
• Maltego.
• Uso de técnicas de investigación OSINT para la generación de inteligencia de ciberamenazas.
• Investigaciones Ad-hoc.
• Establecimiento de taxonomía y habilitación de tags.
• Creación de eventos.
• Sincronización de instancias MISP.

• Modelos para el análisis de intrusiones.
• Diamond model.
• Cyber Kill Chain.
• MITRE ATT&CK.
• Análisis de malware para el estudio de intrusiones.
• Definición de malware.
• Tipos de malware.
• Ransomware
• Rootkit
• Trojan
• Infostealers
• Spyware
• Botnet
• Backdoors
• El análisis de malware desde la perspectiva de inteligencia de ciberamenazas.
• Laboratorio para el análisis de malware.
• Medidas de seguridad para el análisis
• Creación de laboratorios.
• Flare VM
• Remnux VM
• Técnicas de análisis estático.
• Proceso de comprobación de binario sospechoso
• Identificación de headers y extracción de strings del binario
• Desofuscación de scripts maliciosos
• Técnicas de correlación de información.
• Búsqueda de código malicioso en repositorios de código
• GitHub
• Búsqueda de muestra de malware en repositorios públicos.
• Triage
• App Any Run
• Abuse CH
• Correlación de indicadores en fuentes abiertas.
• Virus Total
• Reportes públicos de inteligencia
• Técnicas de análisis dinámico.
• Monitoreo de procesos
• Process Hacker
• ProcMon
• Identificación de modificación del registro de Windows
• Regshot
• Detección de comunicación con servidores de comando y control.
• Wireshark
• Fiddler
• Atribución de actores amenaza
• ¿Qué es la atribución de actores amenaza?
• Definición de base de conocimientos de amenazas
• Modelos de pensamiento para la evasión del sesgo en el análisis

• Consumo a nivel estratégico
• La toma de decisiones de ciberseguridad en el ámbito corporativo.
• Análisis de riesgos de seguridad informática.
• MITRE D3FEND.
• Generación de estrategias de defensa basadas en inteligencia de ciberamenazas.