La inteligencia de amenazas, también llamada "inteligencia de ciberamenazas" (CTI), es información sobre amenazas detallada y procesable para prevenir y combatir las amenazas a la ciberseguridad dirigidas a una organización.
La inteligencia de amenazas ayuda a los equipos de seguridad a ser más proactivos, lo que les permite tomar medidas efectivas basadas en datos para prevenir los ciberataques antes de que ocurran. También puede ayudar a una organización a detectar y responder más rápidamente a los ataques en curso.
Los analistas de seguridad crean inteligencia sobre amenazas recopilando información bruta sobre amenazas e información relacionada con la seguridad procedente de múltiples fuentes, para después correlacionar y analizar los datos con el fin de descubrir tendencias, patrones y relaciones que proporcionen una comprensión en profundidad de las amenazas reales o potenciales. La inteligencia resultante es
- Específica de la organización, centrada no en generalidades (por ejemplo, listas de cepas comunes de malware), sino en vulnerabilidades específicas en la superficie de ataque de la organización, los ataques que habilitan y los activos que exponen.
- Información detallada y contextual, que cubre no solo las amenazas dirigidas a la empresa, sino también a los actores de amenazas que pueden llevar a cabo los ataques, las tácticas, las técnicas y los procedimientos (TTP) que podrían indicar un ciberataque específico.
- Accionable, que proporciona información que los equipos de seguridad pueden utilizar para abordar vulnerabilidades, priorizar y remediar amenazas e incluso evaluar herramientas de ciberseguridad nuevas o existentes.
Según el informe "Coste de una filtración de datos" de 2022 de IBM, la vulneración de datos media cuesta a sus víctimas 4,35 millones de dólares; los costes de detección y escalada representan la parte más significativa de esa etiqueta de precio, 1,44 millones de dólares. La inteligencia de amenazas puede proporcionar a los equipos de seguridad la información que necesitan para detectar los ataques antes, lo que reduce los costes de detección y limita el impacto de las infracciones exitosas.
Obtenga información y recomendaciones de investigación esenciales que le ayudarán a prepararse para responder a las ciberamenazas con mayor rapidez y eficacia.
El ciclo de vida de la inteligencia de amenazas es el proceso iterativo y continuo mediante el que los equipos de seguridad producen, difunden y mejoran continuamente su inteligencia de amenazas. Aunque los detalles pueden variar de una organización a otra, la mayoría sigue alguna versión del mismo proceso de seis pasos.
Paso 1: planificación
Los analistas de seguridad trabajan con las partes interesadas de la organización (líderes ejecutivos, jefes de departamento, miembros del equipo de TI y seguridad y otras personas involucradas en la toma de decisiones de ciberseguridad) para establecer los requisitos de inteligencia. Por lo general, incluyen preguntas de ciberseguridad que las partes interesadas quieren o necesitan que se respondan. Por ejemplo, el CISO podría querer saber si es posible que una nueva cepa de ransomware afecte a la organización.
Paso 2: recogida de datos sobre amenazas
El equipo de seguridad recopila cualquier dato de amenazas sin procesar que pueda contener (o contribuir a) las respuestas que buscan las partes interesadas. Siguiendo con el ejemplo anterior, si un equipo de seguridad está investigando una nueva cepa de ransomware, el equipo podría recopilar información sobre la banda de ransomware que está detrás de los ataques, los tipos de organizaciones que han tenido como objetivo en el pasado y los vectores de ataque que han explotado para infectar a víctimas anteriores.
Estos datos de amenazas pueden provenir de varias fuentes, entre ellas:
Fuentes de inteligencia sobre amenazas: flujos de información sobre amenazas en tiempo real. El nombre a veces es engañoso: mientras que algunas fuentes incluyen inteligencia de amenazas procesada o analizada, otras consisten en datos de amenazas sin procesar. (Estas últimas a veces se denominan "fuentes de datos de amenazas").
Los equipos de seguridad suelen suscribirse a múltiples fuentes comerciales y de código abierto. Por ejemplo, es posible que diferentes fuentes
- realicen un seguimiento de los IoC de ataques comunes,
- noticias agregadas de ciberseguridad,
- ofrezcan análisis detallados de las cepas de malware,
- y busquen en las redes sociales y la dark web conversaciones sobre las ciberamenazas emergentes.
Todos estos datos pueden contribuir a una comprensión más profunda de las amenazas.
Comunidades de intercambio de información: foros, asociaciones profesionales y otras comunidades en las que analistas de todo el mundo comparten experiencias de primera mano, puntos de vista y sus propios datos sobre amenazas.
En los EE. UU., muchos sectores de infraestructuras cruciales, como la sanidad, los servicios financieros y las industrias del petróleo y el gas, operan centros de análisis e intercambio de información (ISAC) específicos de cada sector. Estos ISAC se coordinan entre sí a través del Consejo Nacional de ISAC (NSI) (enlace externo a ibm.com).
A nivel internacional, la plataforma de inteligencia de código abierto MISP Threat Sharing (enlace externo a ibm.com) da soporte a varias comunidades de intercambio de información organizadas en torno a diferentes lugares, industrias y temas. MISP ha recibido apoyo financiero tanto de la OTAN como de la Unión Europea.
Registros de seguridad internos: datos de seguridad interna de sistemas de seguridad y cumplimiento, como
- SIEM (información de seguridad y respuesta)
- Orquestación de seguridad, automatización y respuesta)
- EDR (detección y respuesta de endpoints)
- XDR (detección y respuesta ampliadas)
- Sistemas de gestión de superficies de ataque (ASM)
Estos datos proporcionan un registro de las amenazas y ciberataques a los que se ha enfrentado la organización y pueden ayudar a descubrir pruebas no reconocidas previamente de amenazas internas o externas.
La información de estas fuentes dispares suele agregarse en un panel de control centralizado, como un SIEM o una plataforma de inteligencia de amenazas, para facilitar la gestión.
Paso 3: procesamiento
En esta etapa, los analistas de seguridad agregan, estandarizan y correlacionan los datos sin procesar que han recopilado para facilitar el análisis. Esto podría incluir el filtrado de falsos positivos o la aplicación de un marco de inteligencia sobre amenazas, como MITRE ATT&CK, a los datos relativos a un incidente de seguridad anterior.
Muchas herramientas de inteligencia sobre amenazas automatizan este procesamiento, utilizando inteligencia artificial (IA) y machine learning para correlacionar información sobre amenazas procedente de múltiples fuentes e identificar tendencias o patrones iniciales en los datos.
Paso 4: análisis
El análisis es el punto en el que los datos brutos de amenazas se convierten en verdadera inteligencia de amenazas. En esta etapa, los analistas de seguridad prueban y verifican las tendencias, patrones y otros conocimientos que pueden utilizar para responder a los requisitos de seguridad de las partes interesadas y hacer recomendaciones.
Por ejemplo, los analistas de seguridad podrían descubrir que la banda relacionada con una nueva cepa de ransomware ha atacado a otras empresas del sector de la organización. A continuación, el equipo identificará las vulnerabilidades específicas en la infraestructura de TI de la organización que es probable que la banda aproveche, así como los controles o parches de seguridad que podrían mitigar o eliminar esas vulnerabilidades.
Paso 5: diseminación
El equipo de seguridad comparte sus conocimientos y recomendaciones con las partes interesadas adecuadas. Se pueden tomar medidas basadas en estas recomendaciones, como establecer nuevas reglas de detección SIEM para atacar los IoC recién identificados o actualizar las listas negras de firewalls para bloquear el tráfico de las direcciones IP sospechosas recién identificadas.
Muchas herramientas de inteligencia de amenazas integran y comparten datos con herramientas de seguridad como SOAR o XDR para generar automáticamente alertas de ataques activos, asignar puntuaciones de riesgo para priorizar las amenazas o desencadenar otras acciones.
Paso 6: comentarios
En esta etapa, las partes interesadas y los analistas reflexionan sobre el ciclo de inteligencia de amenazas más reciente para determinar si se cumplieron los requisitos. Cualquier nueva pregunta que surja o nuevas brechas de inteligencia identificadas informarán la siguiente ronda del ciclo de vida.
El ciclo de vida de la inteligencia de amenazas produce distintos tipos de inteligencia en función de las partes implicadas, los requisitos establecidos y los objetivos generales de una determinada instancia del ciclo de vida. Hay tres categorías amplias de inteligencia sobre amenazas:
El centro de operaciones de seguridad (SOC) utiliza la inteligencia táctica de amenazas para detectar y responder a los ciberataques en curso. Por lo general, se centra en IoC comunes, como direcciones IP asociadas con servidores de comando y control, hashes de archivos relacionados con ataques conocidos de malware y ransomware o líneas de asunto de correo electrónico asociadas con ataques de phishing .
Además de ayudar a los equipos de respuesta a incidentes a filtrar los falsos positivos e interceptar ataques genuinos, los equipos de búsqueda de amenazas también utilizan la inteligencia táctica de amenazas para rastrear amenazas persistentes avanzadas (APT) y otros atacantes activos que están ocultos.
La inteligencia de amenazas operativas ayuda a las organizaciones a anticiparse y prevenir futuros ataques. A veces se denomina "inteligencia técnica de amenazas" porque detalla las TTP y los comportamientos de los actores de amenazas conocidos, por ejemplo, los vectores de ataque que utilizan, las vulnerabilidades que explotan y los activos que tienen como objetivo.
Los CISO, CIO y otros responsables de la seguridad de la información utilizan la inteligencia sobre amenazas operativas para identificar a los actores de amenazas que probablemente ataquen a sus organizaciones y responder con controles de seguridad y otras acciones dirigidas específicamente a frustrar sus ataques.
La inteligencia estratégica de amenazas es inteligencia de alto nivel sobre el panorama global de amenazas y el lugar de una organización en él. La inteligencia estratégica sobre amenazas ofrece a los responsables de la toma de decisiones fuera del ámbito de TI, como los directores generales y otros ejecutivos, una comprensión de las ciberamenazas a las que se enfrentan sus organizaciones.
La inteligencia estratégica de amenazas generalmente se enfoca en cuestiones como situaciones geopolíticas, tendencias de ciberamenazas en una industria en particular o cómo o por qué algunos de los activos estratégicos de la organización pueden ser atacados. Las partes interesadas utilizan la inteligencia estratégica de amenazas para alinear las estrategias e inversiones más amplias de gestión de riesgos organizacionales con el panorama de ciberamenazas.
Aproveche un equipo de analistas de inteligencia de categoría mundial para comprender cómo está cambiando el panorama de las amenazas y las últimas técnicas que utilizan los actores de las amenazas.
Aproveche las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.
Soluciones transformadoras con IA que optimizan el tiempo de los analistas al acelerar la detección de amenazas, acelerar las respuestas y proteger la identidad y los conjuntos de datos de los usuarios.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes.
La gestión de amenazas es un proceso empleado por los profesionales de la ciberseguridad para prevenir ataques, detectar ciberamenazas y responder a incidentes de seguridad.
La caza de amenazas es un enfoque proactivo para identificar amenazas desconocidas o en curso no remediadas dentro de la red de una organización.