La inteligencia de amenazas, también llamada inteligencia de amenazas cibernéticas (CTI) o inteligencia de amenazas, es información detallada y aplicable en la práctica sobre amenazas de ciberseguridad. La inteligencia de amenazas ayuda a los equipos de seguridad a adoptar un enfoque más proactivo para detectar, mitigar y prevenir los ciberataques.
La inteligencia de amenazas es más que información sin procesar sobre amenazas. Es la información sobre amenazas que se correlacionó y analizó para proporcionar a los profesionales de la seguridad una comprensión profunda de las posibles amenazas a las que se enfrentan sus organizaciones, incluida la forma de detenerlas.
Más concretamente, la inteligencia de amenazas tiene tres características clave que la distinguen de la información sin procesar sobre amenazas:
Específica de la organización: la inteligencia de amenazas va más allá de la información general sobre amenazas y ataques hipotéticos. En su lugar, se centra en la situación única de la organización: las vulnerabilidades específicas en la superficie de ataque de la organización, los ataques que estas vulnerabilidades permiten y los activos que exponen.
Detallada y contextual: la inteligencia de amenazas cubre más que solo las amenazas potenciales para una organización. También cubre los actores de amenazas detrás de los ataques, las tácticas, técnicas y procedimientos (TTP) que utilizan y los indicadores de compromiso (IoC) que podrían indicar un ciberataque exitoso.
Aplicable en la práctica: la inteligencia de amenazas brinda a los equipos de seguridad de la información insights que pueden utilizar para abordar vulnerabilidades, priorizar amenazas, remediar riesgos y mejorar la postura de seguridad.
Según el Informe del costo de un filtración de datos de IBM , la filtración de datos promedio le cuesta a la organización víctima 4.44 millones de dólares. Los costos de detección y escalamiento representan la parte más significativa de ese precio, con 1.47 millones de dólares.
Los programas de inteligencia de amenazas brindan a los profesionales de la seguridad información que puede ayudar a detectar ataques antes y evitar por completo que ocurran algunos ataques. Estas respuestas más rápidas y eficaces pueden reducir los costos de detección y limitar significativamente el impacto de las filtraciones exitosas.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
El ciclo de vida de la inteligencia de amenazas es el proceso iterativo y continuo mediante el cual los equipos de seguridad producen y comparten inteligencia de amenazas. Aunque los detalles pueden variar de una organización a otra, la mayoría de los equipos de inteligencia de amenazas siguen alguna versión del mismo proceso de seis pasos.
Los analistas de seguridad trabajan con stakeholders para establecer requisitos de inteligencia. Los stakeholders pueden incluir líderes ejecutivos, jefes de departamento, miembros del equipo de TI y seguridad y cualquier otra persona involucrada en la toma de decisiones de ciberseguridad.
Los requisitos de inteligencia son, esencialmente, las preguntas que la inteligencia de amenazas debe responder para los stakeholders. Por ejemplo, el director de seguridad de la información (CISO) podría querer saber si es probable que una nueva cepa de ransomware que aparece en los titulares afecte a la organización.
El equipo de seguridad recopila datos sin procesar sobre amenazas para cumplir con los requisitos de inteligencia y responder las preguntas de las stakeholders.
Por ejemplo, si un equipo de seguridad está investigando una nueva cepa de ransomware, podría recopilar información sobre la banda de ransomware que está detrás de los ataques. El equipo también analizaría los tipos de organizaciones a las que se dirigieron en el pasado y los vectores de ataque que explotaron para infectar a víctimas anteriores.
Estos datos de amenazas pueden provenir de varias fuentes. Algunas de las fuentes más comunes incluyen:
Los feeds de inteligencia de amenazas son flujos de información sobre amenazas en tiempo real. El nombre a veces es engañoso: mientras que algunas fuentes incluyen inteligencia de amenazas procesada o analizada, otras consisten en datos de amenazas sin procesar (estos últimos a veces se denominan "feeds de datos de amenazas").
Los equipos de seguridad suelen suscribirse a múltiples feeds comerciales y de código abierto proporcionados por diversos servicios de inteligencia de amenazas. Las distintas fuentes pueden cubrir diferentes temas.
Por ejemplo, una organización podría tener feeds separados para cada uno de estos propósitos:
Seguimiento de los IoCs de ataques comunes
Agregar noticias de ciberseguridad
Proporcionar análisis detallados de nuevas cepas de malware
Raspado de las redes sociales y la dark web para conversaciones sobre amenazas cibernéticas emergentes
Las comunidades de intercambio de información son foros, asociaciones profesionales y otras comunidades donde los analistas comparten experiencias de primera mano, insights, datos de amenazas y otra inteligencia entre sí.
En Estados Unidos, muchos sectores de infraestructura crítica, como la atención médica, los servicios financieros y las industrias del petróleo y el gas, operan Information Sharing and Analysis Centers (ISAC) específicos de la industria. Estos ISAC se coordinan entre sí a través del National Council of ISACs (NSI).
A escala internacional, la plataforma de inteligencia de código abierto MISP Threat Sharing apoya a varias comunidades de intercambio de información organizadas en torno a diferentes lugares, industrias y temas. MISP recibió apoyo financiero tanto de la OTAN como de la Unión Europea.
Los datos de las soluciones de seguridad internas y los sistemas de insights de amenazas pueden ofrecer información valiosa sobre las amenazas cibernéticas reales y potenciales. Las fuentes comunes de registros de seguridad interna incluyen:
Sistemas de información de seguridad y gestión de eventos (SIEM)
Plataformas de orquestación, automatización y respuesta de seguridad (SOAR)
Los registros de seguridad internos proporcionan un registro de las amenazas y ciberataques a los que se ha enfrentado la organización, y pueden ayudar a descubrir pruebas de amenazas internas o externas que antes no se reconocían.
La información de estas fuentes dispares suele agregarse en un panel centralizado, como un SIEM o una plataforma dedicada de inteligencia de amenazas, para facilitar la gestión y el procesamiento automatizado.
En esta etapa, los analistas de seguridad agregan, estandarizan y correlacionan los datos sin procesar que recopilaron para facilitar el análisis. El procesamiento puede incluir la aplicación de MITRE ATT&CK o infraestructura de inteligencia de amenazas de otro tipo para contextualizar los datos, filtrar los falsos positivos y agrupar incidentes similares.
Muchas herramientas de inteligencia de amenazas automatizan este procesamiento utilizando inteligencia artificial (IA) y machine learning para correlacionar información de amenazas de múltiples fuentes e identificar tendencias o patrones iniciales en los datos. Algunas plataformas de inteligencia de amenazas incorporan ahora modelos de IA generativa que pueden ayudar a interpretar los datos de amenazas y generar pasos de acción basados en su análisis.
El análisis es el punto en el que los datos sin procesar sobre amenazas se convierten en inteligencia de amenazas. En esta etapa, los analistas de seguridad extraen los insights que necesitan para cumplir con los requisitos de inteligencia y planificar sus próximos pasos.
Por ejemplo, los analistas de seguridad podrían encontrar que la pandilla conectada con una nueva cepa de ransomware se ha dirigido a otras empresas de la industria de la organización. Este hallazgo indica que esta cepa de ransomware también podría ser un problema para la organización.
Con esta información, el equipo puede identificar vulnerabilidades en la infraestructura de TI de la organización que la pandilla podría explotar y los controles de seguridad que pueden usar para mitigar esas vulnerabilidades.
El equipo de seguridad comparte sus insights y recomendaciones con los stakeholders adecuados. Se pueden tomar medidas basadas en estas recomendaciones, como establecer nuevas reglas de detección de SIEM para dirigirse a los indicadores de amenazas recién identificados o actualizar los cortafuegos para bloquear direcciones IP y nombres de dominio sospechosos.
Muchas herramientas de inteligencia de amenazas integran y comparten datos con herramientas de seguridad, como SOAR, XDR y sistemas de gestión de vulnerabilidades. Estas herramientas pueden usar la inteligencia de amenazas para generar automáticamente alertas de ataques activos, asignar puntajes de riesgo para la priorización de amenazas y desencadenar otras acciones de respuesta.
En esta etapa, los stakeholders y los analistas reflexionan sobre el ciclo de inteligencia de amenazas más reciente para determinar si se cumplieron los requisitos. Cualquier nueva pregunta que surja o nueva brecha de inteligencia identificada fundamentará la siguiente ronda del ciclo de vida.
Los equipos de seguridad producen y utilizan diferentes tipos de inteligencia, dependiendo de sus objetivos. Los tipos de inteligencia de amenazas incluyen:
La inteligencia de amenazas táctica ayuda a los centros de operaciones de seguridad (SOC) a predecir futuros ataques y detectar mejor los ataques en curso.
Esta inteligencia de amenazas suele identificar IoC comunes, como direcciones IP asociadas con servidores de comando y control, hashes de archivos de ataques de malware conocidos o líneas de asunto de correo electrónico de ataques de phishing.
Además de ayudar a los equipos de respuesta a incidentes a interceptar ataques, los equipos de caza de amenazas también utilizan la inteligencia táctica de amenazas para rastrear amenazas persistentes avanzadas (APT) y otros atacantes activos, pero ocultos.
La inteligencia de amenazas operativa es más amplia y técnica que la inteligencia de amenazas táctica. Se centra en comprender los TTP y los comportamientos de los actores de amenazas: los vectores de ataque que utilizan, las vulnerabilidades que explotan, los activos a los cuales se dirigen y otras características definitorias.
Los responsables de tomar decisiones en materia de seguridad de la información emplean inteligencia de amenazas operativa para identificar a los actores de amenazas que probablemente ataquen a sus organizaciones y determinar los controles de seguridad y las estrategias que pueden frustrar eficazmente sus ataques.
La inteligencia estratégica de amenazas es información de alto nivel sobre el panorama mundial de amenazas y la posición de una organización en él. La inteligencia estratégica de amenazas brinda a los responsables de la toma de decisiones fuera de TI, como los CEO y otros ejecutivos, una comprensión de las amenazas cibernéticas que enfrentan sus organizaciones.
La inteligencia sobre amenazas estratégicas generalmente se centra en cuestiones tales como situaciones geopolíticas, tendencias de ciberamenazas en una industria en particular o cómo y por qué los activos estratégicos de la organización podrían ser atacados. Los stakeholders emplean inteligencia estratégica de amenazas para alinear estrategias e inversiones más amplias de gestión de riesgos organizacionales con el escenario de ciberamenazas.
Fortalezca la seguridad y el cumplimiento con los servicios de IBM IAM, optimizando la identidad en entornos de nube híbrida.
Optimice su programa de seguridad con los servicios de respuesta a amenazas globales e independientes del proveedor de IBM.
Cree una base de identidad segura con IBM Verify para simplificar el acceso, mejorar la autenticación y escalar con confianza.