Fundamentos de Caza de Amenazas y Ciberinteligencia (CTI)

#threat-hunting #cti #mitre-attack #soc #incident-response #ioc #ttp #intelligence #cyberdefense

[!info] 🎯 Propósito

Resumen práctico sobre Cyber Threat Intelligence (CTI): qué es, por qué importa y cómo usarla para mejorar la detección y la respuesta en un SOC.

❓ ¿Qué es CTI?

Info

CTI (Cyber Threat Intelligence) aporta información procesada y accionable para anticipar, detectar y mitigar amenazas. Su objetivo es pasar de una defensa reactiva a una postura proactiva.

⚖️ Principios clave (T.A.A.R.)

Tip

CTI útil debe ser:

Timely (Oportuna) — entregada cuando aún puede usarse.
Actionable (Accionable) — debe permitir una acción concreta.
Accurate (Precisa) — verificada y con nivel de confianza.
Relevant (Relevante) — aplicable al entorno de la organización.

Warning

Difundir IOCs sin validar puede generar ruido y fatiga operativa.

🧩 Tipos de inteligencia

Estratégica 🏛️ — para dirección (Quién y por qué).
Operacional ⚙️ — para managers (Cómo y dónde).
Táctica 🛠️ — para analistas SOC (IPs, hashes, dominios).

Note

Estas capas se solapan; la táctica alimenta la operacional y la estratégica.

🧭 Proceso para explotar un reporte táctico (ej.: campaña Emotet)

Comprender el contexto y alcance.
Extraer y clasificar IOCs (IP, dominio, hash, URLs, correos).
Validar IOCs (VirusTotal, OTX, WHOIS).
Mapear TTPs a MITRE ATT&CK.
Implementar defensas (bloqueos, reglas SIEM, firmas IDS).
Realizar búsquedas proactivas (hunting).
Monitorizar y ajustar.

Warning

Antes de bloquear, evalúa impacto en negocio y comunica cambios.

🔗 CTI ↔ Threat Hunting

Info

CTI provee TTPs e IOCs.
Threat Hunting usa esa inteligencia para buscar actividad relacionada.
Los hallazgos del hunting retroalimentan la CTI.

🧾 Cómo validar IOCs (paso rápido)

Revisar fecha y reputación.
Correlacionar con logs internos (SIEM, EDR).
Consultar fuentes: VirusTotal, OTX, MISP, WHOIS.
Marcar el nivel de confianza.

🔎 Priorizar y aplicar IOCs

Tip

Prioriza por riesgo (activo afectado, criticidad, probabilidad).
Automatiza ingestión en SIEM/EDR y documenta cambios (cambio de reglas, bloqueos).

🧠 Buenas prácticas

Mantén feeds actualizados (VT, OTX, MISP).
Usa niveles de confianza para IOCs.
Integra CTI en playbooks de IR.
Comparte IOCs validados con ISAC/partners (si procede).

🧭 Glosario esencial (rápido)

IOC: Indicador de Compromiso (hash, IP, dominio).
TTPs: Tácticas, Técnicas y Procedimientos (mapear en MITRE).
Pyramid of Pain: indica qué IOCs afectan más al adversario (TTPs arriba).
Diamond Model: Adversario ↔ Capacidad ↔ Infraestructura ↔ Víctima.

🧾 Plantilla rápida: validar un IOC (para copiar en un ticket)

[!tip]
IOC: <tipo/valor>
Fuente: <VT/OTX/MISP>
Fecha:
Validación: <hit/no-hit en SIEM>
Confianza: <Alta/Media/Baja>
Acción recomendada: <Bloquear/Alertar/Monitorizar>