Fuentes A1 — vendors gold standard CTI/OSINT
Fuentes A1 — vendors gold standard CTI/OSINT
Extraccion atomica de la nota madre cti-recursos-juniors-unificado. Seccion fuente: "E. Fuentes A1 / vendors gold standard". El master sigue intacto para lectura lineal.
E. Fuentes A1 / vendors gold standard
Info
Cuando dices "según fuente A1" en un reporte, esperas que el lector senior reconozca el nombre. Aquí los 8 que un L1 debe conocer y consultar antes que cualquier otro.
| Vendor | Especialidad | Por qué A1 |
|---|---|---|
| Mandiant (Google Cloud) | APT atribución, IR forense | Investigaciones forenses propias, telemetria global, M-Trends anual |
| Microsoft Threat Intelligence | Nation-state, ransomware-as-a-service, identity attacks | Telemetría de Defender + Azure AD + M365 + GitHub global |
| CrowdStrike (Falcon Intel) | Adversary tracking, e-crime, APT chinos | Falcon EDR data + Adversary Universe (200+ actors) |
| Unit 42 (Palo Alto Networks) | Malware analysis, ransomware, cloud threats | Cortex XDR data + Wildfire sandbox + research equipo |
| Cisco Talos | Network-based threats, exploit kits, email security | Visibilidad de tráfico global Cisco, blog técnico abundante |
| Recorded Future (Insikt Group) | Threat actor tracking, geopolitical CTI | Análisis dark web + harvesting masivo + análisis humano |
| ESET Research / WeLiveSecurity | Malware Eastern Europe, Latam, Asia | Detección histórica + investigación regional fuerte |
| Kaspersky GReAT | APT (especialmente Eastern Bloc), targeted attacks | Securelist research + 25+ años research de campo |
Otros que aparecen frecuente y son sólidos (B1-A1 según pieza):
- Sophos Labs (ransomware, MDR data)
- SentinelOne (S1 Labs) (malware analysis ágil)
- Trend Micro Research (IoT, ICS, OT threats)
- Symantec/Broadcom Threat Hunter Team (telemetría histórica enorme)
- Group-IB (Eastern Europe/Asia, fraude financiero)
- Bitdefender Labs (mass-malware + IoT)
- Check Point Research (phishing, mobile)
- Trellix Advanced Research Center (APT, ICS)
- Securelist (Kaspersky) y AhnLab ASEC (Asia)
Sobre atribución
Incluso fuentes A1 fallan en atribución. Cita atribuciones de A1 con WEP likely [55-80%] y MODERATE confidence salvo que tengas convergencia de 3+ vendors A1 → entonces puedes subir a very likely [80-95%] con HIGH confidence. Nunca como junior pongas almost certainly [95-99%] en una atribución.
Feeds gratuitos sólidos (no A1 pero útiles a diario):
- abuse.ch (URLhaus, MalwareBazaar, ThreatFox, Feodo Tracker) — B2-A2
- AlienVault OTX (pulses) — variable C3-B2 según autor
- CISA KEV catalog — A1 para "explotada in the wild"
- EPSS (FIRST.org) — A1 para probabilidad de explotación
- NVD (NIST) — A1 para CVE oficial
- Sigma HQ + YARA-Rules repos — B2-A2 (muchos contribuidores reputados)
- @malware_traffic_analysis (Brad Duncan) — B1
- @vxunderground — B2 (archivos de muestras + leaks de operadores)