Módulo 20: Inteligencia contra

las Amenazas
Materiales del Instructor

CyberOps Associate v1.0

Materiales del instructor – Módulo 20: Guía de planificación.
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor

• Información para ayudarlo a familiarizar el módulo.

• Ayuda didáctica
• Presentación de la clase del instructor

• Diapositivas opcionales que puede utilizar en el aula

• Comienza en la diapositiva número 7
Nota: Eliminar la Guía de Planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales, dirigirse a la Página Principal del instructor y a los recursos del curso
para este curso. También puede visitar el sitio de desarrollo profesional en www.netacad.com, la página oficial de
Facebook de Cisco Networking Academy, o el grupo de Facebook Exclusivo para Instructores.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
¿Qué esperar en este módulo?
Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser
incluidas en este módulo:
Característica Descripción
Prueba por tema en línea para ayudar a los alumnos a medir la comprensión
Verifique su aprendizaje del contenido.
Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo
Preguntas del módulo de los temas presentados en el módulo.
Resumen del módulo Resumiendo brevemente el contenido del módulo.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 3
Verificar el Aprendizaje

• Las actividades "Verifique su aprendizaje" están diseñadas para permitir que los estudiantes
determinen si están entendiendo el contenido y puedan continuar, o si es necesario un
repaso personal.
• Las actividades "Verifique su aprendizaje" no afectan las calificaciones de los alumnos.

• No hay diapositivas separadas para estas actividades en la presentación de PowerPoint. Se

enumeran en el área de notas de la diapositiva que aparece antes de estas actividades.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 4
Módulo 20: Actividades
¿Que actividades están asociadas con este módulo?
N.° de página Tipo de actividad Nombre de la actividad ¿Opcional?
Identificar el origen de la información de la inteligencia contra
20.2.7 Verifique su aprendizaje Recomendado
amenazas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 5
Módulo 20: Mejores prácticas
Antes de enseñar el Módulo 20, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a
los estudiantes comprometidos con la presentación.

Tema 20.1
• Preguntar a la clase:
• ¿Cómo pueden los profesionales de la seguridad proteger eficazmente una red?
• ¿Son conscientes de la existencia de Organizaciones de seguridad de la Red?

Tema 20.2
• Analizar los diferentes Servicios de Inteligencia contra Amenazas y sus funciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 6
Módulo 20: Inteligencia contra
Amenazas

CyberOps Associate v1.0

Objetivos del módulo
Título del módulo: Inteligencia contra Amenazas

Objetivo del módulo: Emplear varias fuentes de inteligencia para encontrar las amenazas
de seguridad actuales.

Título del tema Objetivo del tema

Fuentes de información Describir las fuentes de información utilizadas para comunicar las amenazas
emergentes de seguridad de la red.
Servicios de Inteligencia contra Describrir varios Servicios de Inteligencia contra Amenazas.
Amenazas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 8
20.1 Fuentes de información

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 9
Inteligencia contra Amenazas
Comunidades de inteligencia de la red
• Para proteger eficazmente una red, los profesionales de seguridad deben mantenerse
informados sobre las amenazas y vulnerabilidades.
• Hay muchas organizaciones de seguridad que proporcionan inteligencia de red, recursos,
talleres y conferencias para ayudar a los profesionales de la seguridad.
• Para ser siempre eficaz, un profesional de seguridad de la red debe hacer lo siguiente:

• Mantenerse al tanto de las amenazas nuevas: Esto incluye suscribirse a

información en tiempo real sobre amenazas, consultar periódicamente sitios
web relacionados con la seguridad, seguir blogs y podcasts sobre seguridad, y
mucho más.
• Continuar mejorando sus habilidades: Esto incluye asistir a capacitaciones, talleres
y conferencias relacionados con la seguridad.
Nota: La seguridad de la red tiene una curva de aprendizaje muy pronunciada y exige un compromiso con el desarrollo
profesional constante.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 10
Inteligencia contra Amenazas
Comunidades de Inteligencia de la Red
La tabla menciona la organización de seguridad de red importante.
Organización Descripción

SysAdmin, Audit, Los recursos del Instituto SANS son en gran medida gratuitos bajo petición e
Network, Security incluyen:
(SANS) • Internet Storm Center - el popular sistema de alerta temprana de Internet
• NewsBites - El resumen semanal de artículos de noticias sobre seguridad
informática.
• @RISK-Proporciona un resumen semanal fiable de vectores de ataque
recién descubiertos, nuevas vulnerabilidades activas, explicaciones
detalladas de cómo funcionaron los ataques recientes y otros datos valiosos
• Alertas de seguridad
• Sala de lectura - Más de 1.200 trabajos de investigación originales
galardonados.
• El SANS también desarrolla cursos de seguridad.

La Corporación Mitre mantiene una lista de vulnerabilidades y exposiciones

Mitre
comunes (CVE) utilizadas por las organizaciones de seguridad destacadas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 11
Fuentes de información
Comunidades de inteligencia de la red
Organización Descripción

Foro de Equipos de Respuesta a Es una organización de seguridad que reúne a una variedad de equipos de
Incidentes y Seguridad (FIRST, Forum respuesta ante incidentes de seguridad informática del gobierno, organizaciones
of Incident Response and Security comerciales y educativas para fomentar la colaboración y la coordinación en el uso
Teams. compartido de información, la prevención de incidentes y la reacción rápida.

Portal de noticias de seguridad que agrega las últimas noticias de última hora
SecurityNewsWire
relacionadas con alertas, y vulnerabilidades.

International Information Systems Proporciona productos educativos neutrales para proveedores y servicios de carreras
Security Certification Consortium (ISC)2 profesionales a más de 75.000 profesionales de la industria en más de 135 países.

Es el elemento fundamental en la prevención, la protección, la respuesta y la

recuperación ante amenazas cibernéticas de los gobiernos estatales, locales, tribales
y territoriales (SLTT, state, local, tribal, and territorial) de la nación a través de el Multi-
Center for Internet Security (CIS)
State Information Sharing and Analysis Center (MS-ISAC).
El MS-ISAC ofrece advertencias y avisos de ciberataques 24/7, identificación de
vulnerabilidades, además de mitigación y respuesta ante incidentes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 12
Inteligencia contra Amenazas
Informes sobre Ciberseguridad de Cisco
• Algunos recursos para ayudar a los profesionales a estar al tanto de las amenazas
son: El Informe Anual de Ciberseguridad de Cisco y el de Medio Año de Cisco
• Estos informes brindan datos actualizados sobre el estado de preparación para la
seguridad, análisis de expertos sobre las vulnerabilidades más importantes, los
factores detrás de la aparición de ataques mediante adware, spam, y mucho más.
• Los analistas de ciberseguridad deben suscribirse a estos informes y leerlos para
saber cómo los atacantes están atacando sus redes, y qué puede hacerse para
mitigar estos ataques.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 13
Inteligencia contra Amenazas
Blogs y podcasts sobre seguridad
• Los blogs y podcasts también brindan asesoramiento, investigación y técnicas de
mitigación recomendadas.
• Cisco proporciona blogs sobre temas relacionados con la seguridad, redactados por
varios expertos del sector y del Grupo Talos de Cisco.
• Cisco Talos ofrece una serie de más de 80 podcasts que se pueden reproducir desde
Internet o descargar en el dispositivo de su elección.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 14
20.2 Servicios de Inteligencia
contra Amenazas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 15
Servicios de Inteligencia contra Amenazas
Cisco Talos
• Cisco Talos es uno de los equipos de inteligencia contra
amenazas comerciales más grandes del mundo,
compuesto por investigadores, analistas e ingenieros de
clase mundial.
• Su objetivo es ayudar a proteger a los usuarios, datos e
infraestructura empresariales de adversarios activos.
• El equipo recopila información sobre amenazas activas,
existentes y emergentes, y luego proporciona protección
integral contra estos ataques y malware a sus
suscriptores.
• Los productos de seguridad de Cisco pueden usar la inteligencia contra amenazas de Talos en tiempo
real para brindar soluciones de seguridad rápidas y efectivas.
• Cisco Talos también proporciona software gratuito, servicios, recursos, información y mantiene los
conjuntos de reglas de detección de incidentes de seguridad para las herramientas de seguridad de red
Snort.org, ClamAV y SpamCop.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 16
Servicios de Inteligencia contra Amenazas
FireEye
• FireEye es otra empresa de seguridad que ofrece servicios para ayudar a las empresas
a proteger sus redes.
• Utiliza un enfoque triple que combina la inteligencia de seguridad, la experiencia en
seguridad y la tecnología.
• Ofrece SIEM y SOAR con Helix Security Platform, que utiliza análisis de
comportamiento y detección avanzada de amenazas y cuenta con el apoyo de la red
mundial de inteligencia contra amenazas FireEye Mandiant.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 17
Servicios de Inteligencia contra Amenazas
FireEye
Sistema de Seguridad FireEye:
• Este sistema bloquea ataques de vectores de ataque web y de correo electrónico, y
malware latente que reside en recursos compartidos de archivos.
• Puede bloquear malware avanzado que fácilmente supera las defensas
tradicionales basadas en firmas y pone en riesgo la mayoría de las redes
empresariales.
• Aborda todas las etapas del ciclo de vida de un ataque con una ingenieria sin firma
que usa análisis de ataques con estado para detectar amenazas zero-day.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 18
Servicios de Inteligencia contra Amenazas
Automated Indicator Sharing
• El Automated Indicator Sharing (AIS) es un servicio gratis ofrecido por el Department of
Homeland Security(DHS) de Estados Unidos.
• AIS permite el intercambio en tiempo real de los indicadores de ciberamenazas (por
ejemplo, direcciones IP maliciosas, la dirección del remitente de un correo electrónico
de suplantación de identidad, etc.) entre el gobierno federal de EE. UU. y el sector
privado.
• AIS crea un ecosistema cuando se reconoce una amenaza. Depués se comparte la
información inmediatamente con la comunidad para ayudar a proteger las redes de esa
amenaza específica.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 19
Servicios de inteligencia contra amenazas
Base de datos de Vulnerabilidades y Exposiciones Comunes
(CVE, Common Vulnerabilities and Exposures Database)
• El gobierno de los Estados Unidos patrocinó la Corporación MITRE para crear y
mantener un catálogo de amenazas de seguridad conocidas, denominado CVE.
• El CVE funciona como un diccionario de nombres comunes (es decir, identificadores de
CVE) de vulnerabilidades de ciberseguridad públicamente conocidas.
• La Corporación MITRE define identificadores únicos de CVE para vulnerabilidades de
"seguridad de la información" públicamente conocidas a fin de facilitar el uso
compartido de datos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Servicios de Inteligencia contra Amenazas
Estándares de comunicación de Inteligencia contra Amenazas
Tres estándares de uso compartido de inteligencia de amenazas son
los siguientes:
• Expresión estructurada de Información sobre Amenazas (STIX,
Structured Threat Information Expression) - Es un conjunto de
especificaciones para intercambiar información sobre ciberamenazas
entre organizaciones.
• Intercambio Confiable Automatizado de Información sobre
Indicadores (TAXII, Trusted Automated Exchange of Indicator
Information) – Es la especificación correspondiente a un protocolo
de capa de aplicación que permite la comunicación de CTI mediante
HTTPS. TAXII está diseñado para admitir STIX.
• CyBox - Este es un conjunto de esquemas estandarizados para
especificar, capturar, caracterizar y comunicar eventos y propiedades
de operaciones de red que admite muchas funciones de
ciberseguridad.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 21
Servicios de Inteligencia contra Amenazas
Estándares de comunicación de Inteligencia contra Amenazas

• La Plataforma de Intercambio de Información sobre Malware (MISP, siglas en inglés)

es una plataforma de código abierto para compartir IOC para amenazas recién
descubiertas.
• El MISP cuenta con el apoyo de la Unión Europea y es utilizado por más de 6.000
organizaciones de todo el mundo.
• MISP permite el uso compartido automatizado de IOCs entre personas y máquinas
mediante STIX y otros formatos de exportación.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 22
Servicios de Inteligencia contra Amenazas
Plataformas de Inteligencia contra Amenazas
Una plataforma de Inteligencia contra Amenazas (TIP, Threat Intelligence Platform)
centraliza la recopilación de datos de amenazas de numerosas fuentes de datos y
formatos.
• Tipos de datos de Inteligencia contra amenazas:
• Indicadores de Compromiso (IOC, Indicators of Compromise)
• Tácticas, Técnicas y Procedimientos (TTP)
• Información de reputación sobre destinos o dominios de Internet
Las organizaciones pueden contribuir a la inteligencia contra amenazas compartiendo
sus datos de intrusión a través de Internet, normalmente a través de la automatización.
Los honeypots son redes o servidores simulados que están diseñados para atraer
atacantes. La información relacionada con los ataques recopilada de los honeypots se
puede compartir con los suscriptores de la plataforma de inteligencia contra amenazas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 23
20.3 Resumen de Inteligencia
contra Amenazas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 24
Resumen Inteligencia contra Amenazas
¿Qué aprendí en este módulo?
• Muchas organizaciones como SANS, Mitre, FIRST, SecurityNewsWire, (ISC)2 y
CIS proporcionan inteligencia de red.
• Los profesionales de la seguridad de la red deben mantenerse al tanto de las
amenazas más recientes y continuar mejorando sus habilidades.
• Los servicios de inteligencia contra amenazas permiten el intercambio de
información, como vulnerabilidades, Indicadores De Riesgo (IOC) y técnicas de
mitigación.
• Cisco Talos es uno de los equipos comerciales de inteligencia contra amenazas
más grandes del mundo.
• FireEye es otra empresa de seguridad que ofrece servicios para ayudar a las
empresas a proteger sus redes. Utiliza un enfoque triple que combina la
inteligencia de seguridad, la experiencia en seguridad y la tecnología.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 25
Resumen de Inteligencia sobre amenazas
¿Qué aprendí en este módulo?
• El Department of Homeland Security (DHS) de Estados Unidos ofrece un servicio
gratis llamado: Automated Indicator Sharing (AIS).
• AIS permite el intercambio en tiempo real de los indicadores de ciberamenazas
entre el gobierno federal de EE. UU. y el sector privado.
• El gobierno de los Estados Unidos patrocinó la Corporación MITRE para crear y
mantener un catálogo de amenazas de seguridad conocidas, denominado CVE.
• Tres estándares comunes de intercambio de información sobre amenazas incluyen
la Expresión Estructurada de Información sobre Amenazas (STIX), el Intercambio
Confiable Automatizado de Información de Indicadores (TAXII) y CyBox.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 26