La inteligencia de amenazas, también llamada inteligencia de ciberamenazas (CTI), es información detallada y que se puede ejecutar sobre las amenazas de ciberseguridad. La inteligencia de amenazas ayuda a los equipos de seguridad a adoptar un enfoque más proactivo para detectar, mitigar y prevenir los ciberataques.
La inteligencia de amenazas es algo más que información sin procesar sobre amenazas. Es información sobre amenazas que ha sido correlacionada y analizada para ofrecer a los profesionales de la seguridad un conocimiento profundo de las posibles amenazas a las que se enfrentan sus organizaciones, incluyendo cómo detenerlas.
Más concretamente, la inteligencia de amenazas tiene tres características clave que la distinguen de la información sobre amenazas sin procesar:
Específica de la organización: la inteligencia de amenazas va más allá de la información general sobre amenazas y ataques hipotéticos. En su lugar, se centra en la situación única de la organización: vulnerabilidades específicas en la superficie de ataque de la organización, los ataques que permiten estas vulnerabilidades y los activos que exponen.
Detallada y contextual: la inteligencia de amenazas cubre más que solo las amenazas potenciales para una organización. También cubre los actores de amenazas detrás de los ataques, las tácticas, las técnicas, los procedimientos (TTP) que utilizan y los indicadores de compromiso (IoC) que podrían indicar un ciberataque exitoso.
Que se puede ejecutar: la inteligencia de amenazas proporciona a los equipos de seguridad de la información conocimientos que pueden utilizar para abordar vulnerabilidades, priorizar amenazas, corregir riesgos y mejorar la posición de seguridad general.
Según el informe "Cost of a Data Breach" de IBM, la vulneración de datos le cuesta a la organización víctima una media de 4,44 millones de dólares estadounidenses. Los costes de detección y escalamiento suponen la parte más significativa de ese precio, con 1,47 millones de dólares estadounidenses.
Los programas de inteligencia de amenazas proporcionan a los profesionales de la seguridad información que puede ayudar a detectar antes los ataques, e impedir por completo que se produzcan algunos de ellos. Estas respuestas más rápidas y eficaces pueden reducir los costes de detección y limitar significativamente el impacto de las infracciones exitosas.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
El ciclo de vida de la inteligencia de amenazas es el proceso iterativo y continuo mediante el que los equipos de seguridad producen y comparten inteligencia de amenazas. Aunque las particularidades pueden variar de una organización a otra, la mayoría de los equipos de inteligencia de amenazas siguen alguna versión del mismo proceso de seis pasos.
Los analistas de seguridad trabajan con los stakeholders de la organización para establecer requisitos de inteligencia. Los stakeholders pueden incluir líderes ejecutivos, jefes de departamento, miembros del equipo de TI y seguridad y cualquier otra persona involucrada en la toma de decisiones de ciberseguridad.
Los requisitos de inteligencia son, esencialmente, las preguntas que la inteligencia de amenazas debe responder para los stakeholders. Por ejemplo, el director de seguridad de la información (CISO) podría querer saber si es probable que una nueva cepa de ransomware que ocupa titulares afecte a la organización.
El equipo de seguridad recopila datos sin procesar sobre amenazas para cumplir con los requisitos de inteligencia y responder a las preguntas de las partes interesadas.
Por ejemplo, si un equipo de seguridad está investigando una nueva cepa de ransomware, es posible que recopile información sobre la banda de ransomware que está detrás de los ataques. El equipo también analizaría los tipos de organizaciones a las que se han dirigido en el pasado y los vectores de ataque que han explotado para infectar a las víctimas anteriores.
Estos datos sobre amenazas pueden proceder de varias fuentes. Algunas de las fuentes más comunes son:
Las fuentes de inteligencia de amenazas son flujos de información sobre amenazas en tiempo real. El nombre a veces es engañoso: mientras que algunas fuentes incluyen inteligencia de amenazas procesada o analizada, otras consisten en datos de amenazas sin procesar. (Estas últimas a veces se denominan "fuentes de datos de amenazas").
Los equipos de seguridad suelen suscribirse a múltiples fuentes comerciales y de código abierto proporcionadas por varios servicios de inteligencia de amenazas. Diferentes fuentes pueden cubrir distintas cosas.
Por ejemplo, una organización podría tener fuentes separadas para cada uno de estos propósitos:
Realizar un seguimiento de los IoC de ataques comunes
Agregar noticias de ciberseguridad
Ofrecer análisis detallados de nuevas cepas de malware
Realizar análisis de las redes sociales y la dark web en busca de conversaciones sobre ciberamenazas emergentes
Las comunidades de intercambio de información son foros, asociaciones profesionales y otras comunidades en las que los analistas comparten experiencias de primera mano, conocimientos, datos sobre amenazas y otra inteligencia entre sí.
En EE. UU., muchos sectores críticos de infraestructura, como la sanidad, los servicios financieros y los sectores del petróleo y el gas, cuentan con Centros de Análisis e Intercambio de Información (ISAC) específicos para cada sector. Estos ISAC se coordinan entre sí a través del Consejo Nacional de ISAC (NSI).
A nivel internacional, la plataforma de inteligencia de código abierto MISP Threat Sharing admite varias comunidades de intercambio de información organizadas en torno a diferentes ubicaciones, sectores y temas. MISP ha recibido apoyo financiero tanto de la OTAN como de la Unión Europea.
Los datos de las soluciones de seguridad interna y los sistemas de detección de amenazas pueden ofrecer conocimientos valiosos sobre las ciberamenazas reales y potenciales. Las fuentes habituales de registros de seguridad interna incluyen:
Sistemas de gestión de información y eventos de seguridad (SIEM)
Plataformas de orquestación, automatización y respuesta de seguridad (SOAR)
Herramientas de detección y respuesta de endpoints (EDR)
Plataformas de detección y respuesta extendidas (XDR)
Soluciones de gestión de superficies de ataque (ASM)
Los registros de seguridad internos proporcionan un registro de las amenazas y ciberataques a los que se ha enfrentado la organización, y pueden ayudar a descubrir pruebas de amenazas internas o externas no reconocidas previamente.
La información procedente de estas fuentes dispares suele agregarse en un panel de control centralizado, como un SIEM o una plataforma dedicada a la inteligencia de amenazas, para facilitar la gestión y el procesamiento automatizado.
En esta etapa, los analistas de seguridad agregan, estandarizan y correlacionan los datos sin procesar que han recopilado para facilitar el análisis. El procesamiento puede incluir la aplicación de MITRE ATT&CK u otro marco de inteligencia de amenazas para contextualizar los datos, filtrar los falsos positivos y agrupar incidentes similares.
Muchas herramientas de inteligencia sobre amenazas automatizan este procesamiento, utilizando inteligencia artificial (IA) y machine learning para correlacionar información sobre amenazas procedente de múltiples fuentes e identificar tendencias o patrones iniciales en los datos. Algunas plataformas de inteligencia de amenazas ahora incorporan modelos de IA generativa que pueden ayudar a interpretar los datos de amenazas y generar pasos de acción basados en su análisis.
El análisis es el punto en el que los datos sin procesar sobre amenazas se convierten en verdadera inteligencia de amenazas. En esta fase, los analistas de seguridad extraen el conocimiento que necesitan para cumplir los requisitos de inteligencia y planificar sus próximos pasos.
Por ejemplo, los analistas de seguridad podrían descubrir que la banda relacionada con una nueva cepa de ransomware ha atacado a otras empresas del sector de la organización. Este hallazgo indica que esta cepa de ransomware también podría ser un problema para la organización.
Con esta información, el equipo puede identificar las vulnerabilidades de la infraestructura informática de la organización que la banda podría explotar y los controles de seguridad que pueden usar para mitigar esas vulnerabilidades.
El equipo de seguridad comparte sus conocimientos y recomendaciones con las partes interesadas adecuadas. Se pueden tomar medidas basadas en estas recomendaciones, como establecer nuevas reglas de detección de SIEM para dirigirse a los indicadores de amenazas recién identificados o actualizar los firewalls para bloquear direcciones IP y nombres de dominio sospechosos.
Muchas herramientas de inteligencia de amenazas integran y comparten datos con herramientas de seguridad como SOAR, XDR y sistemas de gestión de vulnerabilidades. Estas herramientas pueden utilizar la inteligencia de amenazas para generar automáticamente alertas de ataques activos, asignar puntuaciones de riesgo para priorizar las amenazas y activar otras acciones de respuesta.
En esta etapa, las partes interesadas y los analistas reflexionan sobre el ciclo de inteligencia de amenazas más reciente para determinar si se cumplieron los requisitos. Cualquier nueva pregunta que surja o nuevas brechas de inteligencia identificadas informarán la siguiente ronda del ciclo de vida.
Los equipos de seguridad producen y utilizan diferentes tipos de inteligencia, en función de sus objetivos. Los tipos de inteligencia de amenazas incluyen:
La inteligencia de amenazas táctica ayuda a los centros de operaciones de seguridad (SOC) a predecir futuros ataques y detectar mejor los ataques en curso.
Esta inteligencia de amenazas suele identificar IoC comunes, como direcciones IP asociadas a servidores de mando y control, hashes de archivos de ataques de malware conocidos o líneas de asunto de correo electrónico de ataques de phishing.
Además de ayudar a los equipos de respuesta a incidentes a interceptar ataques, los equipos de búsqueda de amenazas también utilizan la inteligencia táctica de amenazas para rastrear amenazas persistentes avanzadas (APT) y otros atacantes activos que están ocultos.
La inteligencia de amenazas operativa es más amplia y más técnica que la inteligencia de amenazas táctica. Se centra en la comprensión de las TTP y los comportamientos de los actores de las amenazas: los vectores de ataque que utilizan, las vulnerabilidades que explotan, los activos que tienen como objetivo y otras características definitorias.
Los responsables de la toma de decisiones en materia de seguridad de la información utilizan la inteligencia de amenazas operativa para identificar a los actores de amenazas que probablemente ataquen a sus organizaciones y determinar los controles de seguridad y las estrategias que pueden frustrar eficazmente sus ataques.
La inteligencia estratégica de amenazas es información de alto nivel sobre el panorama global de amenazas y la posición de una organización en él. La inteligencia estratégica de amenazas ofrece a los responsables de la toma de decisiones fuera del ámbito de TI, como los CEO y otros ejecutivos, una comprensión de las ciberamenazas a las que se enfrentan sus organizaciones.
La inteligencia estratégica de amenazas suele centrarse en cuestiones como las situaciones geopolíticas, las tendencias de las ciberamenazas en un sector concreto o cómo y por qué se podrían atacar los activos de la organización. Los stakeholders utilizan la inteligencia estratégica de amenazas para alinear las estrategias e inversiones más amplias de gestión de riesgos organizacionales con el panorama de ciberamenazas.
Refuerce la seguridad y el cumplimiento normativo con los servicios IAM de IBM, y optimice la identidad en entornos de nube híbrida.
Optimice su programa de seguridad con los servicios globales de respuesta ante amenazas de IBM, independientes de cualquier proveedor.
Cree una base de identidad segura con IBM Verify para simplificar el acceso, mejorar la autenticación y escalar con confianza.