La inteligencia de amenazas, también llamada "inteligencia de ciberamenazas" (CTI, por sus siglas en inglés) son datos con conocimientos detallados sobre las amenazas de ciberseguridad dirigidas a una organización. La inteligencia de amenazas ayuda a los equipos de seguridad a ser más proactivos, lo que les permite tomar medidas efectivas basadas en datos para impedir ciberataques antes de que ocurran. También puede ayudar a una organización a detectar y responder mejor a los ataques en curso.
Los analistas de seguridad crean inteligencia de amenazas a partir de la recopilación de información de amenazas sin procesar relacionada con la seguridad procedente de distintos orígenes para correlacionar y analizar los datos a fin de descubrir tendencias, patrones y relaciones que revelen amenazas reales o potenciales. La inteligencia resultante es
- Específica de la organización, centrada no en generalidades (por ejemplo, listas de cepas comunes de malware), sino en vulnerabilidades específicas en la superficie de ataque de una organización, los ataques que habilitan y los activos que exponen.
- Detallada y contextual, cubriendo no solo las amenazas dirigidas a la compañía, sino también los perpetradores de los ataques, las tácticas, las técnicas y los procedimientos que utilizan, y los indicadores de compromiso (IoC, por su siglas en inglés) que pueden señalar un ciberataque específico.
- Práctica porque proporciona a los equipos de seguridad información que pueden utilizar para abordar las vulnerabilidades, priorizar y remediar amenazas, e incluso evaluar herramientas de ciberseguridad nuevas o existentes.
Según el informe sobre el coste de una brecha de seguridad en los datos de 2022 de IBM, una brecha de datos media cuesta a sus víctimas 4,35 millones de dólares. Los costes de detección y escalada representan la parte más significativa de este total, 1,44 millones de dólares. La inteligencia de amenazas puede brindar a los equipos de seguridad la información que necesitan para detectar ataques antes, con lo cual se reducen los costes de detección y se limitan las consecuencias de las brechas que prosperan.
El ciclo de vida de inteligencia de amenazas es el proceso iterativo y continuo mediante el cual los equipos de seguridad producen, difunden y mejoran de forma continua su inteligencia de amenazas. Si bien los detalles pueden variar de una organización a otra, la mayoría siguen alguna versión del mismo proceso de seis pasos.
Paso 1: Planificación
Los analistas de seguridad trabajan con las partes implicadas de la organización (líderes ejecutivos, jefes de departamento, miembros de TI y del equipo de seguridad y otros responsables de la toma de decisiones de ciberseguridad) para definir los requisitos de inteligencia. Normalmente se incluyen preguntas sobre ciberseguridad que las partes implicadas quieren o necesitan que se respondan. Por ejemplo, el CISO puede querer saber la probabilidad de que una nueva cepa de ransomware que ha saltado a las noticias afecte a la organización.
Paso 2: Recopilación de datos de amenazas
El equipo de seguridad recopila cualquier dato sobre amenazas sin procesar que pueda contener las respuestas que buscan los implicados, o contribuir a ellas. Continuando con el ejemplo anterior, si un equipo de seguridad está investigando una nueva cepa de ransomware, podría recopilar información sobre los ciberdelincuentes detrás de estos ataques, los tipos de organizaciones a las que se han dirigido en ocasiones anteriores y los vectores de ataque que han explotado para infectar a víctimas anteriores.
Estos datos de amenazas pueden provenir de diversas fuentes, entre las que se incluyen:
Canales de inteligencia de amenazas: transmisiones de información de amenazas en tiempo real. El nombre a veces es engañoso, ya que mientras que algunos canales incluyen inteligencia de amenazas procesada o analizada, otros consisten en datos de amenazas sin procesar (estos últimos a veces se denominan "canales de datos de amenazas").
Los equipos de seguridad suelen suscribirse a varios canales comerciales y de código abierto. Por ejemplo, un canal podría realizar el seguimiento de los IoC de ataques comunes; otro canal podría agregar noticias de ciberseguridad, otro podría proporcionar análisis detallado de cepas de malware y un cuarto podría rastrear redes sociales y la web oscura para obtener conversaciones sobre ciberamenazas emergentes. Todo ello puede contribuir a comprender mejor las amenazas.
Comunidades de intercambio de información: foros, asociaciones profesionales y otras comunidades donde los analistas comparten experiencias de primera mano, conocimientos y sus propios datos sobre amenazas.
En EE. UU., muchos sectores con infraestructura crítica, como la asistencia sanitaria, los servicios financieros o el petróleo y el gas, operan en centros de análisis e intercambio de información específicos de su sector (ISAC, por sus siglas en inglés). Estos ISAC se coordinan entre sí a través del Consejo Nacional de ISAC (NSI) (enlace externo a ibm.com). A nivel internacional, la plataforma de inteligencia MISP Threat Sharing de código abierto (enlace externo a ibm.com) da soporte a un gran número de comunidades de intercambio de información organizadas en torno a diferentes ubicaciones, sectores y temas. MISP ha recibido respaldo financiero tanto de la OTAN como de la Unión Europea.
Registros de seguridad interna: datos de seguridad interna de sistemas de seguridad y conformidad, como los sistemas SIEM (información y respuesta de seguridad), SOAR (orquestación, automatización y respuesta de seguridad), EDR (detección y respuesta de puntos finales), XDR (detección y respuesta ampliadas) y ASM (gestión de la superficie de ataque). Estos datos proporcionan un registro de las amenazas y lis ciberataques a los que se ha enfrentado la organización, y pueden ayudar a descubrir indicios previamente no reconocidos de amenazas internas o externas.
La información de estas fuentes dispares generalmente se agrega en un panel de control centralizado, como un SIEM o una plataforma de inteligencia de amenazas, para facilitar su gestión.
Paso 3: Procesamiento
En esta fase, los analistas de seguridad agregan, estandarizan y correlacionan los datos sin procesar que han recopilado para que resulte más fácil analizar los datos y así obtener información. Esto podría incluir el filtrado de falsos positivos, o aplicar un marco de inteligencia de amenazas, como MITRE ATT&CK, a los datos que rodean un incidente de seguridad anterior, para mejorar
Muchas herramientas de inteligencia de amenazas automatizan este procesamiento mediante inteligencia artificial (IA) y machine learning para correlacionar información de amenazas de varias fuentes e identificar tendencias iniciales o patrones en los datos.
Paso 4: Análisis
El análisis es el punto en el que los datos de amenazas sin procesar se convierten en auténtica inteligencia de amenazas. En esta fase, los analistas de seguridad prueban y verifican tendencias, patrones y otros conocimientos que pueden utilizar para atender los requisitos de seguridad de las partes implicadas y realizar recomendaciones.
Por ejemplo, si los analistas de seguridad detectan que los ciberdelincuentes relacionados con una nueva cepa de ransomware han atacado a otras empresas del mismo sector, el equipo puede identificar vulnerabilidades específicas en la infraestructura de TI de la organización que es probable que exploten, así como controles de seguridad o parches que podrían mitigar o eliminar dichas vulnerabilidades.
Paso 5: Difusión
El equipo de seguridad comparte sus conocimientos y recomendaciones con las partes implicadas correspondientes. Se pueden tomar medidas con base en estas recomendaciones, como establecer nuevas reglas de detección de SIEM para abordar los últimos IoC identificados o actualizar las listas negras de cortafuegos para bloquear tráfico de direcciones IP sospechosas recientemente identificadas. Muchas herramientas de inteligencia de amenazas integran y comparten datos con herramientas de seguridad, como SOAR o XDR, para generar automáticamente alertas de ataques activos, asignar puntuaciones de riesgo para la priorización de amenazas o activar otras acciones.
Paso 6: Feedback
En esta fase, las partes implicadas y los analistas reflexionan sobre el ciclo de inteligencia de amenazas más reciente para determinar si se han cumplido los requisitos. Cualquier nueva duda que surja o nuevo vacíos de inteligencia identificados podrán ser de utilidad para la siguiente ronda del ciclo de vida.
El ciclo de vida de inteligencia de amenazas genera diferentes tipos de inteligencia en función de las partes implicadas, los requisitos definidos y los objetivos generales de una determinada instancia del ciclo de vida. Existen tres grandes categorías de inteligencia de amenazas:
La inteligencia táctica de amenazas es la que utiliza el centro de operaciones de seguridad (SOC, por sus siglas en inglés) para detectar y responder a ciberataques en curso. Por lo general, se centra en IoC comunes, por ejemplo, direcciones IP asociadas a servidores de control y mandatos, hashes de archivos relacionados con ataques de malware y ransomware conocidos o líneas de asunto de correo electrónico asociados a ataques de phishing.
Además de ayudar a los equipos de respuesta a incidentes a filtrar falsos positivos e interceptar ataques genuinos, la inteligencia táctica de amenazas también sirve a los equipos de detección de amenazas para rastrear amenazas persistentes avanzadas (APT, por sus siglas en inglés) y a otros atacantes activos pero ocultos.
La inteligencia operativa de amenazas ayuda a las organizaciones a anticipar y prever futuros ataques. A veces se denomina "inteligencia técnica de amenazas" porque detalla las tácticas, las técnicas y los procedimientos, así como los comportamientos de los actores de amenazas conocidos, por ejemplo, los vectores de ataque que utilizan, las vulnerabilidades que explotan o los activos a los que dirigen su ataque. Los CISO, CIO y otros responsables de tomar decisiones sobre seguridad de la información utilizan la inteligencia operativa de amenazas para identificar a los actores de amenazas que probablemente ataquen a sus organizaciones y responder con controles de seguridad y otras acciones destinadas específicamente a impedir sus ataques.
La inteligencia estratégica de amenazas es información de alto nivel sobre el panorama de amenazas global y el lugar que ocupa una organización en él. La inteligencia estratégica de amenazas brinda a los responsables de la toma de decisiones externos a la TI, como los CEO y otros ejecutivos, una perspectiva global de las ciberamenazas que afrontan sus organizaciones. La inteligencia estratégica de amenazas normalmente se centra en temas como situaciones geopolíticas, tendencias de ciberamenazas en un sector en particular, o cómo o por qué pueden ser atacados determinados activos estratégicos de la organización. Las partes implicadas utilizan la inteligencia estratégica de amenazas para alinear las estrategias de gestión de riesgo e inversiones de la organización con el panorama de ciberamenazas.
Los expertos en información de seguridad global con análisis líder en el sector permiten simplificar y automatizar su plataforma de ciberamenazas.
Transforme su negocio y gestione el riesgo con un líder global del sector en servicios gestionados de seguridad, cloud y consultoría de ciberseguridad.
Los servicios ofensivos y defensivos de X-Force están respaldados por servicios de investigación, inteligencia y remediación de amenazas.
En un enfoque de seguridad de confianza cero, se desconfía de todos los puntos finales de forma predeterminada y se les otorga el acceso privilegiado mínimo necesario para poder realizar sus trabajos o funciones.
La gestión de amenazas es el proceso que utilizan los profesionales de ciberseguridad para impedir ciberataques, detectar ciberamenazas y responder a incidentes de seguridad
La detección de amenazas es un enfoque proactivo para identificar amenazas desconocidas o en curso no remediadas dentro de la red de una organización.