La inteligencia de amenazas, también conocida como inteligencia de ciberamenazas (CTI), es información detallada y ejecutable sobre las amenazas de ciberseguridad. Va más allá de la información sin procesar sobre amenazas, siendo específica para la organización, detallada y contextual. Esta inteligencia cubre no solo las amenazas potenciales para una organización, sino también los peligros específicos que pueden afectarla. Según Gartner, la CTI es un elemento crucial de la arquitectura de seguridad, que ayuda a los profesionales a detectar, priorizar e investigar amenazas, mejorando así la postura de seguridad de una organización.
El mercado de CTI se proyecta que excederá los 44 mil millones de dólares estadounidenses para 2033, lo que subraya la creciente importancia de defensas informadas y basadas en datos en las estrategias comerciales contemporáneas. Integrar la inteligencia de amenazas en la estrategia de ciberseguridad puede ser un desafío, requiriendo priorizar las necesidades de información específica de la organización y evaluar los controles de seguridad para operacionalizar eficazmente la inteligencia de amenazas.
La Necesidad de la Inteligencia de Amenazas
En un panorama de amenazas en constante cambio, la ciberseguridad se enfrenta a numerosos desafíos. Los adversarios proceden, en promedio, con 11,5 ataques por minuto, y a los equipos de SecOps les toma 277 días detectar y contener una violación de datos, según IBM y el Instituto Ponemon. La inteligencia de amenazas es fundamental para detener los ciberataques modernos y proteger los datos y activos. Permite a las empresas comprender mejor los peligros cibernéticos pasados, presentes y futuros, ayudándolas a determinar qué activos cibernéticos corren mayor riesgo y dónde sería más significativo el impacto de un ataque. Las empresas que cuentan con inteligencia sobre amenazas avanzada están preparadas para comprender a sus adversarios, lo que refuerza su postura de seguridad.
Tipos de Inteligencia de Amenazas
Los profesionales de seguridad deben comprender que la CTI en ciberseguridad abarca múltiples tipos de inteligencia, cada uno con objetivos operativos y destinatarios específicos. La inteligencia sobre amenazas se clasifica en 3 tipos principales:
Inteligencia Estratégica de Amenazas
Es información de alto nivel sobre el panorama global de amenazas y la posición de una organización en él. Se centra en cuestiones como situaciones geopolíticas, tendencias de ciberamenazas en un sector específico o cómo y por qué se podrían atacar los activos de la organización. Este tipo de inteligencia se utiliza para decisiones a largo plazo que transforman los procesos y fomentan el avance de los programas de ciberseguridad. Está dirigida a audiencias de alto nivel, no técnicas, como ejecutivos de C-suite, administración de TI y consejos de directores, ayudándoles a comprender los riesgos cibernéticos en relación con los acontecimientos mundiales.
Inteligencia Operativa de Amenazas
Se enfoca en información sobre amenazas y campañas específicas, siendo más amplia y técnica que la inteligencia táctica. Proporciona información especializada para los equipos de respuesta a incidentes sobre la identidad, las motivaciones y los métodos de un atacante. Está dirigida a analistas de seguridad de SOC, cazadores de amenazas y profesionales de la gestión de vulnerabilidades, apoyando a los equipos de ciberseguridad responsables de las operaciones diarias y examinando el comportamiento de los adversarios. Esta inteligencia se basa en el análisis humano para dar formato a los datos en bruto y convertirlos en datos procesables.
Inteligencia Táctica de Amenazas
Involucra indicadores de compromiso (IOCs), como direcciones IP, dominios, URLs o hashes, consumidos por controles de seguridad y utilizados manualmente durante investigaciones. Ayuda a los Centros de Operaciones de Seguridad (SOCs) a detectar y responder a ciberataques en curso, centrándose en IOCs comunes. Este tipo de inteligencia ayuda a filtrar falsos positivos y descubrir atacantes ocultos, siendo la más sencilla de crear y recopilar, ya que puede generarse mediante herramientas automatizadas y plataformas de ciberinteligencia.
Inteligencia Técnica de Amenazas
Estrechamente alineada con la inteligencia operativa, hace referencia a signos de que se está produciendo un ataque, como IOCs. Utiliza inteligencia artificial para buscar automáticamente estos tipos de indicadores conocidos, que pueden incluir contenido de correo electrónico de phishing, direcciones IP malintencionadas o implementaciones específicas de malware. Los equipos de SOC y respuesta a incidentes pueden responder rápidamente a esta información y evitar daños en el negocio.
El Ciclo de Vida de la Inteligencia de Amenazas
El ciclo de vida de la inteligencia de amenazas es un proceso iterativo y continuo mediante el cual los equipos de seguridad producen y comparten inteligencia de amenazas. No es un proceso lineal, sino cíclico, lo que reconoce la naturaleza evolutiva del entorno de las amenazas. Consta de seis etapas, que sirven de marco para los equipos de seguridad de inteligencia sobre amenazas que crean continuamente información procesable a partir del análisis de datos brutos:
Dirección (o Requisitos)
En esta etapa, los equipos de seguridad establecen los requisitos y objetivos para una operación particular de CTI, formulando preguntas concretas que generen información accionable. Los analistas de seguridad trabajan con los stakeholders de la organización para establecer requisitos de inteligencia, que son esencialmente las preguntas que la inteligencia de amenazas debe responder para ellos.
Recolección
Una vez que los objetivos y metas están claros, los equipos pueden comenzar el proceso de recolección de datos de diversas fuentes, incluyendo registros de seguridad, fuentes de amenazas, foros, redes sociales, expertos en la materia, y comunidades de intercambio de información (como los ISAC).
Procesamiento
Una vez recopilados los datos brutos, se transforman en un formato utilizable para el análisis. Esto implica agregar, estandarizar y correlacionar los datos, y puede incluir la gestión de datos, la traducción de datos a otros idiomas y el descifrado de archivos. Muchas herramientas de inteligencia sobre amenazas automatizan este procesamiento utilizando inteligencia artificial (IA) y machine learning.
Análisis
Es el punto donde los datos sin procesar sobre amenazas se convierten en verdadera inteligencia de amenazas. Los analistas de seguridad aplican técnicas analíticas estructuradas para dar sentido a la información procesada y cuantificar la amenaza, organizando la información en función del público al que se presenta.
Difusión
El equipo de seguridad comparte sus conocimientos y recomendaciones con las partes interesadas adecuadas, utilizando canales de comunicación internos y externos predefinidos. La información se difunde en un formato que el público destinatario pueda comprender más fácilmente, desde listas de amenazas hasta informes revisados por expertos.
Retroalimentación (o Enseñanzas)
En esta etapa, las partes interesadas y los analistas reflexionan sobre el ciclo de inteligencia de amenazas más reciente para determinar si se cumplieron los requisitos. Recibir comentarios sobre los informes ayuda a mejorar el proceso del ciclo de vida de la inteligencia sobre amenazas y extraer enseñanzas a largo plazo e implicaciones más amplias.
Fuentes de Inteligencia de Amenazas
Las fuentes de inteligencia de amenazas son flujos de información sobre amenazas en tiempo real que proporcionan a las organizaciones información sobre ataques emergentes. Pueden incluir inteligencia procesada o analizada, o datos de amenazas sin procesar. Los equipos de seguridad suelen suscribirse a múltiples fuentes comerciales y de código abierto proporcionadas por varios servicios de inteligencia de amenazas. Algunas de las fuentes más comunes incluyen:
- Comunidades de Intercambio de Información: Foros, asociaciones profesionales y otras comunidades (como los Centros de Análisis e Intercambio de Información, ISAC) donde los analistas comparten experiencias, conocimientos y datos sobre amenazas.
- Soluciones de Seguridad Interna: Datos de sistemas de detección de amenazas y otras soluciones de seguridad internas pueden ofrecer conocimientos valiosos sobre ciberamenazas reales y potenciales.
- Inteligencia de Código Abierto (OSINT): Información disponible públicamente en internet.
- Foros de la Dark Web: Información sobre actividades maliciosas y venta de exploits.
- Honeypots: Sistemas señuelo diseñados para atraer y estudiar ataques cibernéticos.
- Análisis de Malware: Investigación de software malicioso para comprender sus funcionalidades y vectores de ataque.
Aplicaciones Prácticas de la CTI
La inteligencia de amenazas es un elemento esencial de un programa integral de ciberseguridad con aplicaciones prácticas en múltiples áreas para mejorar la detección, respuesta y preparación general de la postura de ciberseguridad:
- Evaluación y Priorización de Alertas: Ayuda a los analistas de SOC a acelerar la evaluación de alertas, proporcionando información contextual para comprender y priorizar alertas y evaluar si la escalación o remediación es necesaria.
- Detección y Caza de Amenazas Proactivas: Es crucial en la búsqueda de amenazas basadas en TTP, permitiendo a los equipos de seguridad buscar proactivamente signos de amenazas avanzadas. Ayuda a descubrir amenazas ocultas y vulnerabilidades que evaden controles de seguridad tradicionales.
- Gestión de Vulnerabilidades: Proporciona información sobre vulnerabilidades emergentes y exploits de día cero, lo que permite a las organizaciones priorizar la mitigación de las vulnerabilidades más críticas.
- Detección de Phishing y Fraude: Ayuda a identificar campañas de phishing, dominios maliciosos y direcciones IP sospechosas asociadas con actividades fraudulentas, lo que es crucial dado el aumento de estos ataques impulsados por la IA.
- Toma de Decisiones Estratégicas: Ayuda a mapear el panorama de amenazas, evaluar riesgos y ofrecer contexto esencial para tomar decisiones oportunas que refinen las estrategias de ciberseguridad.
- Colaboración Comunitaria e Intercambio de Conocimientos: Fomenta el intercambio de información y la colaboración global en la industria, proporcionando valiosos conocimientos sobre amenazas emergentes y tácticas de adversarios.
- Respuesta a Incidentes: Proporciona a los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) información crucial sobre las últimas amenazas, incluidos IOCs y patrones de ataque, para identificar y remediar rápidamente los incidentes.
Desafíos y Consideraciones en la Implementación de CTI
Implementar con éxito las capacidades de inteligencia sobre ciberamenazas requiere una planificación minuciosa que considere las limitaciones organizacionales, la arquitectura de seguridad existente y los flujos de trabajo operativos. Es fundamental identificar la mejor fuente de inteligencia de amenazas para cada operación, ya que no todas las fuentes son relevantes para todas las empresas. Además, la velocidad a la que un programa de inteligencia frente a ciberamenazas reacciona a las amenazas es un factor crucial en su éxito, ya que una cuestión de minutos puede marcar la diferencia entre un ataque costoso y una perturbación menor.
Un desafío común es la subestimación del valor de la inteligencia de amenazas por parte de los responsables de la toma de decisiones. Es crucial que el equipo de análisis de amenazas describa los problemas comerciales específicos que surgen debido a las amenazas descritas durante la fase de difusión, evitando así malentendidos. Aunque la inteligencia de amenazas se enfoca en problemas comerciales importantes, una presentación insuficiente por parte del equipo de ciberseguridad puede llevar a que no se le dé la prioridad adecuada.
La Inteligencia de Vulnerabilidades
La inteligencia de vulnerabilidades brinda una descripción general de las tendencias de revelación de vulnerabilidades y conocimientos sobre la demografía de vulnerabilidades reales en entornos empresariales. Para obtener una vista completa del ecosistema de vulnerabilidades, es fundamental evaluar los desarrollos y tendencias en la investigación y la revelación de vulnerabilidades, con proveedores y organizaciones de la industria que publican comentarios sobre tendencias en Common Vulnerabilities and Exposures (CVE) y en la Base de Datos de Vulnerabilidad Nacional (NVD).
Según Tenable Research, de las 107.710 CVE distintas publicadas desde 1999, 22.625 (el 23%) existen, en realidad, en entornos empresariales. La gestión efectiva de amenazas y vulnerabilidades ahora está determinada por la escala y la complejidad de redes y usuarios distribuidos, el volumen de las vulnerabilidades resultantes y la velocidad con la que se revelan y explotan vulnerabilidades nuevas. Esto exige inteligencia procesable como nunca antes.
La versión 3 de CVSS, presentada en 2015, tenía como objetivo resolver algunas limitaciones en la forma en que la versión 2 evaluaba el impacto de una vulnerabilidad. Los comentarios de los informes de campo y de terceros han detectado debilidades en la versión 3 desde su lanzamiento. Un estudio de prevalencia de vulnerabilidades reveló que, por ejemplo, Firefox, con un poco más del 10% de la cuota de mercado de navegadores web, representó el 53% de todas las vulnerabilidades de gravedad Alta en el conjunto de datos de Tenable Research entre 2012 y 2017. Además, se descubrió que había exploits públicos disponibles para el 7% de las vulnerabilidades reveladas en 2017.
La investigación también destacó la alta disponibilidad de exploits públicos para actualizaciones de seguridad faltantes que reparan vulnerabilidades en aplicaciones como Adobe Flash (79%) y Adobe PDF (96%). Este descubrimiento subraya la importancia de considerar la explotabilidad como un criterio para evaluar la urgencia de una vulnerabilidad.
Estrategias y Herramientas para la CTI
La tecnología moderna de inteligencia sobre amenazas aprovecha varias ventajas frente a los ciberdelincuentes, lo que permite a los equipos de respuesta a incidentes y de seguridad informática actuar con mayor rapidez y tomar decisiones informadas respaldadas por datos. Un programa de inteligencia de ciberamenazas debe incorporar respuestas automatizadas a las amenazas. La automatización puede servir para varios propósitos, como la recopilación y detección de datos de inteligencia frente a amenazas, liberando a los equipos de seguridad de tareas repetitivas.
Si bien es mejor realizar algunos análisis del comportamiento de las amenazas utilizando la resolución de problemas humanos y el pensamiento creativo, el sistema de inteligencia puede contener y eliminar automáticamente las amenazas. La integración de un sistema de inteligencia de ciberamenazas debe ser simple y fácil de ejecutar, idealmente con toda la recopilación de datos de inteligencia accesible a través de un solo panel personalizable.
Las organizaciones pueden fortalecer sus defensas educando a los empleados sobre ciberseguridad, manteniendo el software actualizado, utilizando contraseñas seguras, implementando la autenticación multifactor, empleando software antivirus y antimalware, realizando copias de seguridad periódicas de los datos, controlando el acceso a datos sensibles y monitoreando la actividad de la red. La plataforma SOC Prime, por ejemplo, ofrece capacidad de CTI lista para usar, lo que permite a los equipos reducir significativamente el tiempo y el esfuerzo requerido para cada etapa del ciclo de vida de inteligencia de amenazas.
tags: #elementos #de #inteligencia #en #vulnerabilidades