La inteligencia sobre amenazas, a menudo denominada inteligencia sobre amenazas digitales, es el resultado de analizar los datos con el objetivo de proporcionar información destinada a mejorar la comprensión de los riesgos para la seguridad.

 

Los datos recopilados de múltiples fuentes se organizan para apoyar a los profesionales de la seguridad. La inteligencia sobre amenazas ayuda a los equipos a desarrollar una postura proactiva frente a las amenazas digitales teniendo en cuenta las posibles motivaciones y capacidades de los atacantes, así como proporcionando una visión general de los riesgos implicados más amplia que la que pueda tener cualquier organización por sí sola.

 

La información de inteligencia suele personalizarse para centrarse en las vulnerabilidades y activos concretos de la organización en cuestión, con el fin de ofrecer una estrategia de defensa a medida.

¿Cómo funciona?

Cómo funciona la inteligencia sobre amenazas

La inteligencia sobre amenazas es un conocimiento basado en evidencias que brinda contexto, mecanismos, indicadores, implicaciones y orientación práctica frente a las amenazas actuales o emergentes contra los activos de una organización. Puede guiar la toma de decisiones en cuanto a la respuesta ante las amenazas y permitir a los equipos de seguridad priorizar las vulnerabilidades, evaluar las herramientas de seguridad informática y llevar a cabo reparaciones.

En esencia, la inteligencia sobre amenazas identifica indicadores de compromiso (IoC) y tácticas, técnicas y procedimientos (TTP) utilizados por los responsables de las amenazas. Estas señales ayudan a las organizaciones a detectar y derrotar los ataques informáticos en el menor tiempo posible. Se reduce, por tanto, el tiempo de detección y se minimiza el impacto potencial de una violación de la seguridad.

Ver más

 

Correctamente implementada, la inteligencia sobre amenazas otorga a las organizaciones las herramientas precisas para derrotar futuros ataques gracias al fortalecimiento de las medidas de seguridad mediante las herramientas de red y nube pertinentes.

 

El alma de la inteligencia sobre amenazas reside en comprender el panorama de la seguridad informática merced a la vigilancia de las formas emergentes de malware, los exploits de día cero, los ataques de phishing y otros riesgos para la ciberseguridad.

¿Por qué es crucial la inteligencia sobre amenazas digitales?

 

 

En seguridad informática, la dinámica entre atacantes y defensores se asemeja mucho a una partida de ajedrez: ambas partes elaboran continuamente estrategias para derrotar al adversario. Los responsables de las amenazas buscan nuevas vías de ataque, mientras que los defensores hacen todo lo posible para bloquearlos, y ambos bandos repiten y adaptan sus tácticas cada vez. La mejor razón para que una organización invierta en inteligencia avanzada sobre amenazas digitales es poder hallar la manera de salir victoriosa en este combate permanente.

 

Los mecanismos de defensa básicos, como los cortafuegos y los sistemas de prevención contra intrusos (IPS), son importantes, pero, básicamente, son de naturaleza pasiva. Como parte de un modelo de seguridad activa, la inteligencia sobre amenazas se centra en derrotar los ataques, entre los que se incluyen las amenazas persistentes avanzadas (APT).

 

Las APT corren a cargo de delincuentes muy capacitados que persiguen invadir el sistema para robar datos, espiar e, incluso, destruir o inutilizar el sistema durante un período de tiempo prolongado, lo que puede culminar con un ransomware una vez que se hayan extraído los datos útiles. Una profunda comprensión de las estrategias de APT aporta ventajas a la hora de estructurar una defensa eficaz.

 

Una filosofía más activa de la seguridad informática consiste en aprovechar la inteligencia sobre amenazas para que los equipos de seguridad no actúen a ciegas. La inteligencia sobre amenazas saca a la luz no solo las motivaciones, sino también las tácticas, técnicas y procedimientos (TTP) que podrían utilizar los adversarios que hay detrás de ellas.

 

Por último, los departamentos de informática pueden aprovechar la inteligencia sobre amenazas como una herramienta para ampliar los debates sobre los riesgos con las partes interesadas, como directores de tecnología o Consejos de Administración. Pueden armarse con conocimientos sobre las amenazas y aplicarlos para que sus decisiones estratégicas sintonicen mejor con la tolerancia al riesgo de la empresa.

El ciclo de vida de la inteligencia sobre amenazas

 

 

La inteligencia sobre amenazas es un proceso iterativo que se compone de seis fases principales, aproximadamente. A lo largo de estas, los expertos en seguridad informática toman datos en bruto y los contextualizan para transformarlo en valiosa información y consejos.

 

Aplicamos el término “ciclo de vida”, que tomamos prestado de la biología, porque las fases están permanentemente en curso y operan en bucle.

 

1. Planificación

Esta fase fundamental implica definir los requisitos de la inteligencia. A menudo, se formulan como preguntas que permiten comprender las amenazas relevantes para la organización. Los analistas de seguridad colaboran con todos los implicados, como ejecutivos y jefes de departamento, para definir estos requisitos. En esta fase es también cuando se produce la priorización de los objetivos de inteligencia, según diversos factores: impacto, sensibilidad al tiempo, sintonía con los valores de la organización, etc.

 

2. Recopilación de datos sobre amenazas

Los datos en bruto son esenciales para la precisión de la inteligencia sobre amenazas y pueden proceder de varios canales. Las fuentes utilizadas para la recopilación de datos son tanto de código abierto como comerciales y ofrecen de todo, desde actualizaciones en tiempo real sobre los IoC hasta análisis en profundidad de los ataques en el mundo real. Otras fuentes para la recopilación de datos son los registros internos, por ejemplo, los sistemas de administración de eventos e información de seguridad (SIEM) o la información especializada sobre el sector, procedente de los centros de análisis e intercambio de información (ISAC).

 

3. Procesamiento

El objetivo principal de esta fase es reunir y estandarizar los datos en bruto recopilados para que sean más fáciles de utilizar. Los analistas de seguridad emplean herramientas especializadas de inteligencia sobre amenazas, muchas de las cuales se apoyan en la inteligencia artificial y el machine learning para detectar patrones en los datos. Se añaden metadatos, lo que ayuda a los futuros análisis y su seguimiento. En esta fase, los equipos de ciberseguridad eliminan los falsos positivos detectados para mejorar la precisión del conjunto de datos.

 

4. Análisis

Esta fase es la más importante para proporcionar valiosa información con el objetivo principal de convertir los datos procesados en una inteligencia sobre amenazas útil y aplicable. Los analistas de seguridad trabajan con marcos establecidos como MITRE ATT&CK y un amplio abanico de bases de conocimiento fundadas en observaciones de tácticas y técnicas utilizadas por los adversarios en el mundo real.

 

Mediante pruebas, verificaciones e interpretaciones de los patrones de datos, los analistas descubren las posibles vulnerabilidades y tácticas empleadas por grupos delictivos concretos. Los resultados de este análisis, adaptados a su audiencia, se entregan en formatos que van desde listas concisas o detalladas de amenazas hasta informes revisados por pares.

 

5. Difusión

Los hallazgos de la fase anterior se comparten con las partes interesadas, como los equipos de seguridad y la alta dirección de una organización. Las medidas resultantes de esta fase pueden incluir actualizaciones de las reglas de detección de SIEM o el bloqueo de direcciones IP sospechosas. Para una mayor eficiencia, la información se proporciona mediante software especializado que se integra con sistemas de inteligencia de seguridad, como SOAR (orquestación, automatización y respuesta de seguridad) y XDR (detección y respuesta ampliadas).

 

6. Retroalimentación

El ciclo de vida finaliza con una evaluación o reflexión de las fases anteriores con el objetivo de plantear nuevas preguntas o poner de manifiesto lagunas desconocidas. Las conclusiones de esta retroalimentación se incorporan al siguiente ciclo, con el fin de mejorar iterativamente todo el proceso a largo plazo.

 

Tipos de inteligencia sobre amenazas

 

 

La inteligencia sobre amenazas digitales (CTI) ofrece un amplio abanico de capacidades, desde casos de uso tácticos y operativos hasta otros más estratégicos.

 

Inteligencia táctica sobre amenazas

La inteligencia táctica sobre amenazas va dirigida a un público más técnico: desde el personal del centro de operaciones de seguridad (SOC) y los encargados de la respuesta ante incidentes hasta expertos en seguridad. La inteligencia táctica sobre amenazas suele estar disponible en formatos de lectura electrónica. Se integra fácilmente en diversas herramientas y plataformas de inteligencia sobre amenazas mediante API y fuentes programáticas de inteligencia sobre amenazas.

 

Los datos aprovechados para detectar actividades maliciosas se denominan indicadores de compromiso (IoC) y son elementos cruciales para este tipo de suministro de inteligencia sobre amenazas. Los IoC incluyen direcciones IP vinculadas a amenazas conocidas, nombres de dominio maliciosos y hashes de archivos identificados como dañinos.

 

Estos indicadores evolucionan muy rápidamente, por lo que es importante contar con una fuente que se actualice constantemente.

 

Dado que proporciona datos inmediatos y prácticos sin un análisis a largo plazo ni amplia información, la inteligencia táctica sobre amenazas complementa la operativa y estratégica. Si una organización se basa únicamente en la inteligencia táctica sobre amenazas, corre un riesgo mayor de caer en falsos positivos, es decir, casos en los que actividades benignas se etiqueten erróneamente como maliciosas.

 

Usos y ejemplos de la inteligencia sobre amenazas digitales (CTI) táctica

· Fuentes de amenazas: flujos continuos de datos que aportan información sobre posibles amenazas.

· Alertas en tiempo real: notificaciones inmediatas que informan a las organizaciones sobre las amenazas activas en su entorno.

· Análisis automatizado de malware: procesos automatizados que examinan el software malicioso para comprender su objetivo y el nivel de amenaza que suponen.

 

Inteligencia operativa sobre amenazas

La inteligencia operativa sobre amenazas se basa en el contexto. Reúne valiosa información sobre los ataques informáticos para identificar cuestiones esenciales sobre operaciones y campañas de los atacantes. Se pone el foco de atención en las tácticas, técnicas y procedimientos (TTP), así como en la intención y el momento de los ataques.

 

Obtener información no es tarea fácil, ya que se bebe de múltiples fuentes, desde salas de chat, redes sociales y registros de antivirus hasta datos de ataques pasados. Los desafíos que plantea este enfoque derivan del hecho de que los responsables de las amenazas suelen recurrir al cifrado, el lenguaje ambiguo o codificado y las salas de chat privadas. A menudo se aprovecha la minería de datos y el machine learning para procesar grandes volúmenes de datos, pero para generar un análisis definitivo, la información ha de ser contextualizada por expertos.

 

La inteligencia operativa sobre amenazas, que aprovechan los centros de operaciones de seguridad (SOC), enriquece las metodologías de seguridad, como la gestión de vulnerabilidades, la monitorización de amenazas, la respuesta ante incidentes, etc.

 

Usos y ejemplos de la inteligencia sobre amenazas digitales (CTI) operativa

· Creación de perfiles de los responsables: comprender y catalogar a los atacantes según sus tácticas, técnicas y procedimientos.

· Priorización de parches: determinar qué vulnerabilidades de software abordar en primer lugar basándose en la inteligencia sobre amenazas.

· Respuesta ante incidentes: medidas adoptadas para gestionar y mitigar las amenazas una vez detectadas.

 

Inteligencia estratégica sobre amenazas

La inteligencia estratégica sobre amenazas traduce información compleja y detallada a un lenguaje útil y asequible para las partes interesadas, lo que incluye miembros del Consejo de Administración, ejecutivos y responsables de la toma de decisiones de alto nivel. Los resultados de la inteligencia estratégica sobre amenazas pueden incluir presentaciones, informes de riesgos a nivel de toda la organización y comparaciones de riesgos pasados, presentes y futuros, tanto dentro de una organización como respecto a los estándares y mejores prácticas del sector. Identificar las brechas en el cumplimiento es una motivación fundamental de la inteligencia estratégica sobre amenazas.

 

Aunque se resume en informes, el suministro de este tipo de inteligencia sobre amenazas también debe incluir un amplio análisis de las tendencias locales e internacionales, los riesgos digitales emergentes e, incluso, los factores geopolíticos. Las ofertas de inteligencia estratégica sobre amenazas constituyen un componente esencial de la planificación a largo plazo, la administración de riesgos y las decisiones más amplias en cuanto a políticas. La inteligencia estratégica sobre amenazas es parte integral de la planificación estratégica a largo plazo para guiar a las organizaciones de cara a armonizar las estrategias de seguridad informática con los objetivos empresariales.

 

Usos y ejemplos de la inteligencia sobre amenazas digitales (CTI) estratégica

· Amenazas internas: desarrollar estrategias integrales para identificar y atajar amenazas originadas dentro de la organización, mediante métodos como el análisis de patrones del comportamiento y registros de acceso.

· Operaciones engañosas: diseñar e implementar estrategias para engañar y desviar a posibles atacantes de forma que revelen sus técnicas e intenciones sin poner en riesgo activos reales.

· Asignación de recursos: determinar cómo asignar mejor los recursos de la seguridad informática basándose en el panorama de amenazas, invertir en nuevas tecnologías de seguridad, contratar personal especializado o destinar fondos a programas de formación de empleados.

 

Recomendaciones para la implementación de CTI: preguntas que hay que hacerse

 

 

Incorporar información sobre amenazas a la estrategia general de seguridad informática de su organización hará que sus defensas sean más proactivas y le permitirá ir un paso por delante de posibles vulneraciones. El proceso de adopción es más estratégico que una mera selección de herramientas, y una implementación eficaz de la inteligencia sobre amenazas requiere de la cooperación de los equipos internos.

 

·       ¿Cómo se integra la CTI (inteligencia sobre amenazas) con los objetivos de facturación de mi empresa?

Un adecuado enfoque de la CTI protege directamente sus fuentes de facturación y sus procesos manteniendo a salvo los sistemas críticos, preservando la confianza de los clientes y garantizando que su negocio funcione sin problemas ni interrupciones. Asegúrese un correcto equilibrio entre su inversión en CTI y el nivel de protección necesario.

 

·       ¿En qué consiste una información práctica?

Una información práctica proporcionada por la CTI brinda las medidas claras que puede adoptar inmediatamente un equipo de operaciones o de seguridad para mejorar las defensas de la empresa. Es importante definir claramente y elaborar lo máximo posible este tipo de información, dado que conduce a una mayor seguridad y a una reducción del coste de posibles vulneraciones.

 

·       ¿Cómo puedo integrar mejor la inteligencia sobre amenazas con mis sistemas actuales?

La integración de la CTI con sus sistemas actuales le ayuda a aprovechar la solidez de su infraestructura de seguridad y mejorar sus capacidades con una mínima inversión adicional. Por ejemplo, mediante la automatización de procesos manuales, su equipo se libera de tareas rutinarias y puede responder más rápidamente ante las amenazas. La integración de la información sobre amenazas debería contribuir a que su equipo actual haga más, más rápidamente y con más precisión, lo que aumenta el retorno de la inversión.

 

·       ¿Cómo puedo mejorar a largo plazo mi inteligencia sobre amenazas?

Para mejorar a largo plazo su inteligencia sobre amenazas, seleccione una solución de CTI en consonancia con sus necesidades únicas. Busque sistemas que ofrezcan mecanismos de retroalimentación adaptables, que le permitan la optimización y el avance continuados. Encuentre partners de seguridad informática que le ayuden a implementar un sistema de CTI que no solo se ajuste a sus operaciones actuales, sino que evolucione con ellas y le aporte valor y mejoras a largo plazo.

¿Qué otras herramientas y técnicas eficaces existen en cuanto a la inteligencia sobre amenazas?

 

 

 

Además de las tres vertientes principales de la inteligencia sobre amenazas digitales descritas anteriormente (táctica, operativa y estratégica), merece la pena mencionar otras herramientas y técnicas empleadas en este campo de las cuales convendría estar al tanto durante el proceso de implementación:

 

  • ·Plataformas de inteligencia sobre amenazas (TIP): Centros como los TIP son vitales para consolidar, enriquecer y analizar la información sobre amenazas recabada en tiempo real desde múltiples fuentes. Para aplicaciones prácticas, hay que plantearse plataformas que ofrezcan períodos de prueba o demostraciones, que permitirán a su equipo evaluar la compatibilidad con sus sistemas existentes. Una plataforma como Advanced Threat Intelligence (ATI) de Bitdefender brinda una idea de esto con IntelliZone, que proporciona datos de una enorme red de sensores y un ecosistema de licencias de tecnología.

 

  • ·Inteligencia de seguridad: Esta filosofía más amplia integra datos externos e internos para plasmar una imagen completa de su panorama de amenazas. Empiece por realizar auditorías internas para identificar las fuentes de datos que puedan enriquecer su inteligencia de seguridad e integrarlas con los datos sobre amenazas externas.

 

  • ·Inteligencia sobre amenazas de código abierto: Aprovechar los datos públicos permite descubrir tendencias y patrones con un coste mínimo o incluso nulo. Empiece por foros y bases de datos fiables, como los que brindan las divisiones del CERT o la información divulgada por organizaciones de confianza en el campo de la seguridad informática. Quienes dan sus primeros pasos en este aspecto, deben buscar una guía reputada para principiantes sobre la inteligencia de amenazas de código abierto o un curso online que pueda guiarles por el proceso de recopilación y análisis de los datos públicos. Hay que asegurarse de verificar toda información contrastándola con otras fuentes fiables para mantener la integridad de los datos.

 

Todas estas herramientas y técnicas requieren una cuidadosa consideración y un enfoque estratégico en cuanto a su integración. Adáptelos para que se ajusten a sus necesidades y objetivos concretos en materia de seguridad y no dude en buscar asesoramiento profesional para maximizar su eficacia.

¿Cómo puedo empezar a implementar la inteligencia sobre amenazas digitales en mi organización?

Implementar una solución de inteligencia sobre amenazas en la infraestructura de seguridad de su organización constituye un importante paso estratégico que requiere de una minuciosa planificación y consideración.

Opte por la solución profesional de inteligencia sobre amenazas de ciberseguridad que mejor se adapte a sus necesidades y preferencias. Es muy recomendable que involucre en este proceso al departamento de informática y a los profesionales de ciberseguridad de la organización.

¿Existe algún riesgo en relación con la inteligencia sobre amenazas digitales?

No, no existen riesgos inherentes, pero sí problemas potenciales que ha de conocer. Estos pueden aparecer como resultado de una mala planificación o una deficiente asignación de recursos.

Las organizaciones deben comprender el potencial de sobrecarga de información.

Sin los adecuados mecanismos de filtrado y análisis, la aparición de falsos positivos y negativos puede desperdiciar valiosos recursos. Invertir en una inteligencia sobre amenazas digitales de vanguardia con una filosofía automatizada y por capas que combine soluciones externas de alta calidad y recursos estratégicos internos (incluida la capacitación continua del equipo) es clave para lograr el éxito.

¿Qué es la inteligencia técnica sobre amenazas digitales?

La inteligencia técnica sobre ciberamenazas se centra en las pruebas tangibles de las amenazas digitales. A menudo se considera parte de la inteligencia operativa sobre amenazas, pero hace hincapié en las pruebas directas de las amenazas.

Esto quiere decir que también puede desarrollar un papel tanto en la inteligencia táctica como en la operativa. La inteligencia técnica sobre amenazas digitales brinda detalles concretos sobre ataques actuales y potenciales mediante la identificación de indicadores de compromiso (IoC), incluidas las direcciones IP vinculadas a actividades maliciosas, contenidos de correos electrónicos de phishing, muestras de malware conocido y URL engañosas.