La inteligencia sobre amenazas digitales (CTI) ofrece un amplio abanico de capacidades, desde casos de uso tácticos y operativos hasta otros más estratégicos.
Inteligencia táctica sobre amenazas
La inteligencia táctica sobre amenazas va dirigida a un público más técnico: desde el personal del centro de operaciones de seguridad (SOC) y los encargados de la respuesta ante incidentes hasta expertos en seguridad. La inteligencia táctica sobre amenazas suele estar disponible en formatos de lectura electrónica. Se integra fácilmente en diversas herramientas y plataformas de inteligencia sobre amenazas mediante API y fuentes programáticas de inteligencia sobre amenazas.
Los datos aprovechados para detectar actividades maliciosas se denominan indicadores de compromiso (IoC) y son elementos cruciales para este tipo de suministro de inteligencia sobre amenazas. Los IoC incluyen direcciones IP vinculadas a amenazas conocidas, nombres de dominio maliciosos y hashes de archivos identificados como dañinos.
Estos indicadores evolucionan muy rápidamente, por lo que es importante contar con una fuente que se actualice constantemente.
Dado que proporciona datos inmediatos y prácticos sin un análisis a largo plazo ni amplia información, la inteligencia táctica sobre amenazas complementa la operativa y estratégica. Si una organización se basa únicamente en la inteligencia táctica sobre amenazas, corre un riesgo mayor de caer en falsos positivos, es decir, casos en los que actividades benignas se etiqueten erróneamente como maliciosas.
Usos y ejemplos de la inteligencia sobre amenazas digitales (CTI) táctica
· Fuentes de amenazas: flujos continuos de datos que aportan información sobre posibles amenazas.
· Alertas en tiempo real: notificaciones inmediatas que informan a las organizaciones sobre las amenazas activas en su entorno.
· Análisis automatizado de malware: procesos automatizados que examinan el software malicioso para comprender su objetivo y el nivel de amenaza que suponen.
Inteligencia operativa sobre amenazas
La inteligencia operativa sobre amenazas se basa en el contexto. Reúne valiosa información sobre los ataques informáticos para identificar cuestiones esenciales sobre operaciones y campañas de los atacantes. Se pone el foco de atención en las tácticas, técnicas y procedimientos (TTP), así como en la intención y el momento de los ataques.
Obtener información no es tarea fácil, ya que se bebe de múltiples fuentes, desde salas de chat, redes sociales y registros de antivirus hasta datos de ataques pasados. Los desafíos que plantea este enfoque derivan del hecho de que los responsables de las amenazas suelen recurrir al cifrado, el lenguaje ambiguo o codificado y las salas de chat privadas. A menudo se aprovecha la minería de datos y el machine learning para procesar grandes volúmenes de datos, pero para generar un análisis definitivo, la información ha de ser contextualizada por expertos.
La inteligencia operativa sobre amenazas, que aprovechan los centros de operaciones de seguridad (SOC), enriquece las metodologías de seguridad, como la gestión de vulnerabilidades, la monitorización de amenazas, la respuesta ante incidentes, etc.
Usos y ejemplos de la inteligencia sobre amenazas digitales (CTI) operativa
· Creación de perfiles de los responsables: comprender y catalogar a los atacantes según sus tácticas, técnicas y procedimientos.
· Priorización de parches: determinar qué vulnerabilidades de software abordar en primer lugar basándose en la inteligencia sobre amenazas.
· Respuesta ante incidentes: medidas adoptadas para gestionar y mitigar las amenazas una vez detectadas.
Inteligencia estratégica sobre amenazas
La inteligencia estratégica sobre amenazas traduce información compleja y detallada a un lenguaje útil y asequible para las partes interesadas, lo que incluye miembros del Consejo de Administración, ejecutivos y responsables de la toma de decisiones de alto nivel. Los resultados de la inteligencia estratégica sobre amenazas pueden incluir presentaciones, informes de riesgos a nivel de toda la organización y comparaciones de riesgos pasados, presentes y futuros, tanto dentro de una organización como respecto a los estándares y mejores prácticas del sector. Identificar las brechas en el cumplimiento es una motivación fundamental de la inteligencia estratégica sobre amenazas.
Aunque se resume en informes, el suministro de este tipo de inteligencia sobre amenazas también debe incluir un amplio análisis de las tendencias locales e internacionales, los riesgos digitales emergentes e, incluso, los factores geopolíticos. Las ofertas de inteligencia estratégica sobre amenazas constituyen un componente esencial de la planificación a largo plazo, la administración de riesgos y las decisiones más amplias en cuanto a políticas. La inteligencia estratégica sobre amenazas es parte integral de la planificación estratégica a largo plazo para guiar a las organizaciones de cara a armonizar las estrategias de seguridad informática con los objetivos empresariales.
Usos y ejemplos de la inteligencia sobre amenazas digitales (CTI) estratégica
· Amenazas internas: desarrollar estrategias integrales para identificar y atajar amenazas originadas dentro de la organización, mediante métodos como el análisis de patrones del comportamiento y registros de acceso.
· Operaciones engañosas: diseñar e implementar estrategias para engañar y desviar a posibles atacantes de forma que revelen sus técnicas e intenciones sin poner en riesgo activos reales.
· Asignación de recursos: determinar cómo asignar mejor los recursos de la seguridad informática basándose en el panorama de amenazas, invertir en nuevas tecnologías de seguridad, contratar personal especializado o destinar fondos a programas de formación de empleados.