This post is also available in: Português Español
Inteligencia de amenazas (Threat Intelligence) es la recopilación de información procedente de diversas fuentes sobre ataques actuales o potenciales contra una empresa. La información se analiza, perfecciona y organiza para minimizar y mitigar los riesgos de ciberseguridad.
El principal objetivo de Threat Intelligence es mostrar a las empresas los diversos riesgos a los que se enfrentan cuando se trata de amenazas externas, como las exploraciones de Zero Day y las amenazas persistentes avanzadas (APT). La inteligencia de amenazas incluye información detallada y contexto sobre amenazas específicas, como quién está atacando, sus recursos y motivación, e indicadores de compromiso (IOC). Con esta información, las empresas pueden tomar decisiones, basadas en información precisa, sobre cómo defenderse de los ataques más dañinos.
Importancia de la Threat Intelligence
En cualquier caso, el trabajo de inteligencia es el que proporciona a la empresa un apoyo en la toma de decisiones, lo que posiblemente se puede convertir en una ventaja estratégica. Por lo tanto, Threat Intelligence es parte de una estrategia de inteligencia de seguridad más amplia. Incluye información relacionada con la protección contra amenazas externas e internas, así como los procesos, políticas y herramientas utilizadas para recopilar y analizar esta información.
La inteligencia de amenazas brinda una visión amplia del panorama de amenazas y sus perpetradores, junto con sus últimas tácticas, técnicas y procedimientos. Por lo tanto, permite que las organizaciones sean proactivas en la configuración de sus controles de seguridad para detectar y prevenir ataques avanzados y amenazas de día cero. Muchos de estos ajustes se pueden automatizar para que la seguridad se mantenga en línea con la última inteligencia en tiempo real.
Tipos de inteligencia de amenazas
Hay cuatro variedades de inteligencia de amenazas: estratégica, táctica, técnica y operacional. Todos son esenciales para construir una evaluación integral de amenazas.
- Inteligencia estratégicas de amenazas:
- Inteligencia táctica de amenazas:
- Inteligencia técnica de amenazas:
- Inteligencia operacional de amenazas:
Este análisis resume los posibles ataques cibernéticos y las consecuencias para las audiencias no técnicas y las partes interesadas. Se presenta en forma de libros blancos, informes y presentaciones, basados en un análisis en profundidad de los riesgos emergentes y las tendencias en todo el mundo. Se utiliza para crear una descripción general de alto nivel del panorama de amenazas de una industria o empresa.
Informa sobre las tácticas, técnicas y procedimientos (TTP) que utilizan los actores de amenazas. Está destinado a aquellos directamente involucrados en la protección de los recursos y datos de TI. Por lo tanto, detalla cómo se puede atacar una empresa en función de los últimos métodos utilizados y las mejores formas de defenderse o mitigar las intrusiones.
Esta información se centra en las señales que indican que se está iniciando un ataque. Estas señales incluyen reconocimiento, armamento y entrega, como spearphishing, baiting e ingeniería social.
La inteligencia técnica juega un papel importante en el bloqueo de ataques de ingeniería social. Este tipo de inteligencia a menudo se incluye con la inteligencia de amenazas operativas; sin embargo, se ajusta rápidamente a medida que los ciberdelincuentes actualizan sus tácticas.
Con este enfoque, la información se recopila de una variedad de fuentes, que incluye salas de chat, redes sociales, registros de antivirus y eventos pasados. Se utiliza para anticipar la naturaleza y el momento de futuros ataques.
La minería de datos y el aprendizaje automático se utilizan a menudo para automatizar el procesamiento de cientos de miles de puntos de datos en varios idiomas. Los equipos de seguridad y respuesta a incidentes usan inteligencia operativa para cambiar la configuración de ciertos controles, como reglas de firewall, reglas de detección de eventos y controles de acceso. También puede mejorar los tiempos de respuesta, ya que la información te da una idea más clara de lo que debes buscar.
Ciclo de vida
Hay diferentes pasos involucrados en el proceso de recopilación de inteligencia de amenazas, incluidos los siguientes:
- Metas y objetivos:
- Recolección de datos:
- Procesamiento de datos:
- Analizar datos:
- Reportar hallazgos:
Para seleccionar las fuentes y herramientas de inteligencia de amenazas correctas, una empresa debe decidir qué espera lograr al agregar dicha capacidad a sus soluciones de estrategia de seguridad. El objetivo probablemente será ayudar a los equipos de seguridad de la información a detener las amenazas potenciales identificadas durante un ejercicio de modelado de amenazas.
Esto requiere obtener datos y herramientas de inteligencia que puedan proporcionar datos actualizados y alertas sobre amenazas consideradas de alto riesgo e impacto. Otro objetivo importante es garantizar que la inteligencia se recopile y se proporcione al C-level, para que estén al tanto de los cambios en el panorama de vulnerabilidades de la empresa.
los registros de los sistemas internos, los controles de seguridad y los servicios en la nube forman la base del programa de inteligencia de amenazas de una empresa. Sin embargo, para obtener información sobre los últimos TTP e inteligencia específica de la industria, es necesario recopilar datos de fuentes de amenazas de terceros. Estas fuentes incluyen información de sitios de redes sociales, foros de ciberdelincuentes, direcciones IP maliciosas, telemetría antivirus e informes de investigación de amenazas.
La recopilación y organización de los datos sin procesar necesarios para crear inteligencia de amenazas procesables requiere un procesamiento automatizado. Filtrar manualmente, agregar metadatos, correlacionar y agregar diferentes tipos y fuentes de datos no es práctico. Las plataformas o aplicaciones de inteligencia de amenazas utilizan el aprendizaje automático para automatizar la recopilación y el procesamiento de datos para que puedan proporcionar información continua sobre las actividades de los actores de amenazas.
Implica encontrar respuestas a partir de los datos procesados a preguntas como cuándo, por qué y cómo ocurrió un evento sospechoso. Este paso respondería preguntas sobre cuándo ocurrió un incidente de phishing, qué buscaba el ciberdelincuente y cómo se vincularon los correos electrónicos de phishing y un dominio malicioso y cómo se utilizan.
Los informes deben adaptarse a una audiencia específica para que quede claro cómo las amenazas cubiertas afectan sus áreas de responsabilidad. Los informes deben compartirse con todos cuando sea posible para mejorar las operaciones de seguridad en general.
This post is also available in: Português Español