¿Qué es la inteligencia sobre amenazas?

¿Por qué es importante la inteligencia contra amenazas?

En el creciente y cambiante panorama de amenazas actual, la inteligencia de amenazas desempeña un papel fundamental en la protección de los usuarios, los datos y la reputación de las organizaciones, ayudándolas a comprender y responder mejor a las amenazas potenciales. Al comprender los IOC y TTP asociados con amenazas y vulnerabilidades emergentes, las organizaciones pueden poner las alertas de seguridad en contexto, lo que les permite priorizar amenazas de alta gravedad y prevenir ataques exitosos.

La inteligencia sobre amenazas también ayuda a las organizaciones a cuantificar el riesgo en profundidad, lo que respalda el cumplimiento, la evaluación y la generación de informes de acuerdo con RGPD, HIPAA, reglas de la SEC y otras regulaciones. Además, es una herramienta poderosa para las fuerzas del orden y otros cazadores de amenazas que trabajan para neutralizar ataques o rastrear a sus perpetradores, contribuyendo a un entorno digital más seguro para todos.

¿Qué hace la inteligencia contra amenazas?

Con las herramientas y la experiencia adecuadas para agregar, analizar y correlacionar estos datos, las organizaciones obtienen conocimientos basados en datos que pueden ayudarlas a:

• Identificar amenazas y vulnerabilidades conocidas y nuevas que podrían poner en riesgo a los usuarios, los datos o la infraestructura.
• Priorizar los riesgos en función de sus gravedad y relevancia para la organización
• Refinar las medidas de seguridad para enfatizar la defensa proactiva basada en señales de advertencia de amenazas emergentes
• Acelerar la respuesta, remediación y recuperación de incidentes para reducir el impacto de una infracción
• Atribuir patrones de comportamiento y otros contextos de IOC para ayudar a identificar autores de amenazas y sus motivos
• Apoyar el cumplimiento normativo para proteger a las organizaciones de multas y consecuencias legales

¿Cuáles son los tipos de inteligencia sobre amenazas?

Los diferentes tipos de información sobre amenazas ayudan a los equipos a tomar diferentes tipos de decisiones de seguridad. En términos generales, puede categorizarla según cómo se utiliza:

• la inteligencia estratégica sobre amenazas ofrece una visión de alto nivel del panorama de amenazas y de los motivos y habilidades de los autores de amenazas para ayudar en la toma de decisiones a largo plazo en torno a un programa y gasto de seguridad. Ejemplo: datos sobre un atacante estatal que se dirige a su sector industrial.
• La inteligencia táctica sobre amenazas proporciona información sobre vectores de ataque específicos, IOC, TTP y más para ayudar a los equipos de seguridad y respuesta a incidentes a identificar y mitigar las amenazas presentes y los ataques en curso. Ejemplo: hash de archivo de una nueva cepa de malware que se propaga mediante phishing.
• La inteligencia operativa sobre amenazas ayuda al centro de operaciones de seguridad (SOC) a comprender los riesgos cotidianos (amenazas activas, vulnerabilidades y ataques continuos) para respaldar la detección y respuesta en tiempo real. Ejemplo: direcciones IP involucradas en un ataque DDoS a su organización.
• La inteligencia técnica sobre amenazas constituye información granular detallada sobre amenazas para ayudar a los equipos de seguridad a perfeccionar las políticas de seguridad y otras contramedidas para una protección más eficaz. Ejemplo: CVE y datos de revisiones para una vulnerabilidad de software específica.

O puede clasificarla según su procedencia:

• la inteligencia de código abierto proviene de fuentes públicas como fuentes de amenazas, blogs, foros y depósitos. La información de código abierto suele ser la “primera en llegar”, pero es importante validar que provenga de una fuente confiable.
• La inteligencia de código cerrado procede de fuentes privadas o confidenciales (normalmente socios o proveedores de servicios) y puede ser más detallada que el código abierto, pero suele ser un producto de pago.
• La inteligencia humana se obtiene de fuentes humanas mediante entrevistas, interrogatorios o incluso vigilancia y espionaje. Como tal, a menudo incluye los detalles internos más directos, pero puede ser difícil de obtener.

¿Cuáles son los indicadores comunes de compromiso?

Recopilados de cualquier número de fuentes de inteligencia, los indicadores de compromiso (IOC) son piezas de evidencia que ayudan a identificar y responder a posibles infracciones, brindando a los analistas pistas sobre el origen de un ciberataque, su comportamiento o su impacto. Los IOC comunes incluyen:

• direcciones IP y nombres de dominio asociados con autores de amenazas conocidos
• URL asociadas con phishing o entrega de malware
• Firmas de malware y hash de archivos de código malicioso
• Direcciones de correo electrónico vinculadas a phishing
• Claves de registro agregadas para almacenamiento y persistencia
• Nombres de archivos y directorios asociados con actividades maliciosas
• Intentos de inicio de sesión/acceso anómalos o no autorizados
• Patrones y picos de tráfico de red inusuales
• Desviaciones del comportamiento típico del usuario o del sistema
• Signos de filtración de datos o transferencias de datos inusuales
• Rendimiento lento (p. ej., utilización inesperada de la CPU y actividad del disco)
• Procesos o servicios en ejecución inusuales

¿Quién se beneficia de la inteligencia sobre amenazas?

La inteligencia sobre amenazas beneficia a casi cualquier persona que tenga interés en la protección de activos digitales, datos confidenciales o la continuidad de las operaciones, brindándoles un contexto invaluable para reforzar las medidas de seguridad en:

• Organizaciones de todos los tamaños en todos los sectores: la información sobre amenazas brinda a los equipos de seguridad información procesable sobre cómo construir defensas más fuertes. Los ejecutivos, miembros de la junta directiva y otros responsables de la toma de decisiones pueden utilizarlo para ayudar a fundamentar las decisiones sobre inversiones en seguridad, gestión de riesgos y cumplimiento.
• Gobiernos y organismos encargados de hacer cumplir la ley: la información sobre amenazas es vital para ayudar a las organizaciones del sector público a responder y detener de manera más eficiente las amenazas a la infraestructura crítica, la seguridad pública y la seguridad nacional.
• El sector y la comunidad de la ciberseguridad: los proveedores y profesionales de la ciberseguridad (investigadores, analistas, piratas informáticos éticos, etc.) pueden utilizar información sobre amenazas para crear soluciones de seguridad más efectivas, estudiar tendencias, perfeccionar contramedidas y más, creando un circuito de retroalimentación que fortalezca la totalidad del ecosistema digital.

¿Cuál es el ciclo de vida de la inteligencia sobre ciberamenazas?

El ciclo de vida de la inteligencia sobre amenazas es el epítome del ciclo de retroalimentación antes mencionado: una serie de etapas por las que las organizaciones deben pasar para hacer un uso eficaz de la inteligencia sobre amenazas y, fundamentalmente, hacer un uso más eficaz de ella en el futuro. Las seis etapas son:

1. Dirección: las partes interesadas definen los objetivos, las prioridades, la asignación de recursos y el alcance general de su programa de inteligencia sobre amenazas.
2. Recopilación de datos: la organización recopila datos de fuentes de inteligencia pagadas o de código abierto, registros internos, analistas humanos, socios, etc.
3. Procesamiento: los analistas y las herramientas automatizadas limpian y normalizan los datos recopilados, verifican las fuentes y confirman su confiabilidad para prepararlos para el análisis.
4. Análisis: los analistas y las herramientas identifican patrones, anomalías y amenazas potenciales en los datos y luego correlacionan los datos para formar conocimientos prácticos que ayuden a priorizar y mitigar los riesgos críticos.
5. Difusión: los equipos de seguridad informan a las partes interesadas para compartir hallazgos, alertas y recomendaciones. Los equipos incorporan información sobre amenazas en sus herramientas y procesos para mejorar la detección, prevención y respuesta a amenazas en tiempo real.
6. Comentarios y retroalimentación: las organizaciones deben evaluar y perfeccionar continuamente su programa de inteligencia, utilizando los comentarios de los equipos de respuesta a incidentes. Las revisiones periódicas ayudan a mantener los objetivos y prioridades alineados con los cambios en el panorama de amenazas y en la propia organización.

¿Cuáles son las herramientas de inteligencia sobre amenazas disponibles?

Hay numerosas herramientas en el mercado diseñadas para ayudar a las organizaciones a recopilar, correlacionar, analizar y ejecutar inteligencia sobre amenazas.

Recopilación y agregación

• Los agregadores de fuentes de amenazas recopilan y consolidan datos de fuentes abiertas y/o de código cerrado
• Las tecnologías de engaño(p. ej., honeypots) provocan ataques y recopilan datos sobre cómo se comportan
• Las plataformas de inteligencia de amenazas (TIP)recopilan, organizan y difunden datos de inteligencia sobre amenazas de múltiples fuentes para generar conocimientos procesables

Correlación

• Los feeds de inteligencia de amenazasproporcionan inteligencia precorrelacionada para un consumo rápido
• Los sistemas de gestión de eventos e información de seguridad (SIEM)correlacionan datos de amenazas con eventos de red
• Las plataformas de detección y respuesta extendidas (XDR)correlacionan datos de fuentes dispares (p. ej., telemetría de red, eventos de terminales, IAM, correo electrónico, suites de productividad)
• Las plataformas de orquestación de seguridad, automatización y respuestas (SOAR)automatizan acciones de respuesta basadas en información de inteligencia correlacionada.

Análisis

• Las herramientas de análisis de amenazas, respaldadas por IA y ML, analizan datos para identificar patrones y tendencias.
• Las plataformas para compartir inteligencia de amenazasfacilitan el análisis colaborativo entre organizaciones.
• Los sandboxesanalizan y ejecutan archivos y URL sospechosos en entornos aislados

Ejecución

• Los sistemas de detección y prevención de intrusiones (IDS/IPS) bloquean o alertan sobre actividades maliciosas basadas en datos de amenazas
• Las herramientas de administración de políticas actualizan políticas en firewalls, servidores proxy y más en función de direcciones IP, dominios, firmas, etc. maliciosos conocidos.
• Las soluciones de detección y respuesta de terminales (EDR) ponen en cuarentena o reparan los terminales comprometidos
• Las herramientas de búsqueda de amenazas respaldan la búsqueda proactiva de amenazas basada en la inteligencia recopilada.

¿Cómo mejora el aprendizaje automático la inteligencia contra amenazas?

En su mayor parte, el aprendizaje automático (ML) mejora la inteligencia sobre amenazas de la misma manera que mejora cualquier otra cosa: operando a una velocidad, escala y nivel de 24/7 disponibilidad que los operadores humanos no pueden igualar. Los modelos de aprendizaje automático avanzados actuales se entrenan en conjuntos de datos masivos que los convierten en herramientas excepcionales para encontrar patrones, anomalías de comportamiento, correlaciones y otras complejidades con una tasa muy baja de falsos positivos.

Debido a que las herramientas de aprendizaje automático asumen fácilmente el trabajo más pesado y tedioso de la inteligencia sobre amenazas, dejan a los analistas humanos más libres para asumir proyectos que requieren pensamiento creativo y comprensión del comportamiento, el contexto y la motivación humanos. Al final, están mejor juntos.

Casos de uso de inteligencia sobre amenazas

La inteligencia sobre amenazas es una de las herramientas más poderosas y versátiles en la caja de herramientas de un equipo de seguridad, capaz de respaldar una mejor protección, respuesta y postura general de seguridad.

Detección, prevención y respuesta a amenazas

La información sobre amenazas ayuda a los equipos de seguridad a identificar y mitigar amenazas de forma proactiva, utilizando IOC para detectar actividades maliciosas, perfeccionar políticas y reforzar las defensas. También fortalece la respuesta a incidentes al brindar a los equipos de investigación y búsqueda de amenazas datos precisos y oportunos para ayudar a identificar signos de compromiso, movimiento lateral y amenazas ocultas.

Gestión de vulnerabilidades y evaluación de riesgos

La información sobre amenazas puede ayudar a las organizaciones a priorizar los parches de vulnerabilidades en función del riesgo, así como a obtener información sobre su postura general de riesgo cibernético para medir el impacto potencial de las amenazas emergentes. También es tremendamente valiosa para evaluar y supervisar la postura de seguridad de terceros vendedores y proveedores para comprender y mitigar los riesgos de seguridad en la cadena de suministro.

Compartir inteligencia sobre amenazas y tomar decisiones

La colaboración entre industrias y gobiernos es clave para adelantarse a las ciberamenazas. Compartir inteligencia sobre amenazas, tácticas y vulnerabilidades emergentes fortalece nuestras defensas colectivas y ayuda a las partes interesadas a tomar las decisiones estratégicas correctas tanto para la seguridad como para los objetivos de sus organizaciones.

El papel de Zscaler en la inteligencia sobre amenazas

El equipo de investigación de seguridad e inteligencia de amenazas de Zscaler ThreatLabz analiza 500 billones de puntos de datos de la mayor nube de seguridad del mundo y bloquea 9 mil millones de amenazas por día. El equipo rastrea a los autores de amenazas de delitos cibernéticos y de estado-nación más avanzados y sus TTP para discernir ataques y tendencias emergentes.

Los investigadores de ThreatLabz descubrieron docenas de vulnerabilidades de día cero en aplicaciones populares y trabajaron con los proveedores para abordar los problemas subyacentes. ThreatLabz también ha desarrollado una plataforma patentada de automatización de malware, integrada con la nube Zscaler, que puede identificar y extraer indicadores de inteligencia de amenazas para proteger a nuestros clientes a escala.