Cyber Threat Intelligence: ¿qué son y cómo ponerlas en práctica?
La inteligencia de amenazas son datos que se recogen, procesan y analizan para entender los motivos, objetivos y conductas de ataque de un actor de amenaza. Esta práctica nos permite tomar decisiones de seguridad más rápidas, más sostenibles y respaldadas por datos en la lucha contra actores de amenaza. Está basado en pruebas (por ejemplo, contexto, mecanismos, indicaciones, implicaciones y consejos orientados a la acción) sobre amenazas existentes o emergentes o peligros para los activos. — Gartner
En el mundo de la seguridad cibernética, las amenazas persistentes avanzadas (APT) y las soluciones de ciberseguridad estamos constantemente tratando de superarnos mutuamente. Los datos que informan del siguiente movimiento de una amenaza son decisivos para adaptar proactivamente las defensas de las empresas y prevenir futuros ataques. Es ahí donde la inteligencia de amenazas se vuelve extremadamente importante para las empresas. Algunos de los ejemplos son:
– Permitir luz a lo desconocido, permitiendo que los equipos de seguridad tomen mejores decisiones.
– Empoderar al equipo de seguridad revelando tácticas, técnicas y procedimientos (TTP).
– Ayudar a los profesionales de seguridad a entender mejor el proceso de toma de decisiones de la amenaza.
– Capacitar a las partes interesadas de las empresas -como las juntas ejecutivas, los CISOs, los CIOs y los CTOs; para invertir con conocimiento, mitigar el riesgo, llegar a ser más eficiente y tomar decisiones más rápidas.
El ciclo de vida de la inteligencia de amenaza es un proceso que va de transformar datos “en bruto” en “inteligencia terminada” para la toma de decisiones. Es posible que veas diferentes versiones del ciclo de inteligencia en tu investigación, pero el objetivo es el mismo: guiar a un equipo de seguridad a través del desarrollo y ejecución de un programa de inteligencia de amenaza eficaz.
El ciclo de inteligencia proporciona un marco que permite a los equipos optimizar sus recursos y responder eficazmente al panorama de amenaza moderna. Vamos a explorar los 6 pasos:
1) Requisitos
La etapa de los requisitos es crucial para el ciclo de vida de la inteligencia de amenaza porque establece la hoja de ruta para una operación de inteligencia de amenaza específica. Durante esta etapa de planificación, el equipo estará de acuerdo en los objetivos y la metodología de su programa de inteligencia basada en las necesidades de las partes interesadas. El equipo puede establecerse para descubrir:
– quienes son los atacantes y sus motivaciones.
– cuál es la superficie de ataque.
– qué acciones específicas deben tomarse para fortalecer sus defensas ante un futuro ataque.
2) Colección
Una vez que se definen los requisitos, el equipo se establece para recoger la información necesaria para cumplir esos objetivos. Dependiendo de los objetivos, el equipo buscará registros de tráfico, fuentes de datos disponibles públicamente, foros relevantes, redes sociales, expertos en industria o temas.
3) Procesamiento
Después de que se hayan recogido los datos “en bruto”, se procesan en un formato adecuado para el análisis. La mayor parte del tiempo implicará organizar puntos de datos en hojas de cálculo, descifrar archivos, traducir información de fuentes extranjeras y evaluar los datos para su relevancia y fiabilidad.
4) Análisis
Una vez que se haya procesado el conjunto de datos, el equipo debe realizar un análisis completo para encontrar respuestas a las preguntas planteadas en la fase de requisitos. Durante la fase de análisis, el equipo también trabaja para descifrar el conjunto de datos.
5) Difusión
La fase de difusión requiere que el equipo de inteligencia de amenaza traduzca su análisis a un formato digestible y presente los resultados al equipo. Cómo se presenta el análisis depende del público. En la mayoría de los casos, las recomendaciones deben presentarse de forma concisa, sin confundir la jerga técnica, ya sea en un informe de una página o en una plataforma corta.
6) Comentarios
La etapa final del ciclo de vida de la inteligencia de amenaza consiste en recibir comentarios sobre el informe proporcionado para determinar si hay que hacer ajustes para las operaciones de inteligencia de amenaza futuras. El equipo puede hacer cambios en función a sus prioridades, la cadencia en la que desean recibir informes de inteligencia o cómo se deben difundir o presentar los datos.
El diagrama dado te presenta un camino para elevar tus capacidades de inteligencia amenaza, de manera paso a paso. Es por eso que te aconseja dedicarle tiempo para asentar en todos los puntos clave de la empresa.
La solución de redborder ofrece a los equipos de seguridad las herramientas completas para una visibilidad comprensible, inteligencia procesable y respuesta para la protección ante amenazas conocidas y emergentes.