Inteligencia sobre ciberamenazas (CTI)

¿Qué es la inteligencia sobre ciberamenazas?

La inteligencia sobre ciberamenazas (CTI) se refiere a cualquier información sobre las amenazas a las que se enfrenta una organización en la esfera digital. Esta información se recopila a partir de un amplio conjunto de fuentes y ayuda a los analistas a comprender las motivaciones, los objetivos y los comportamientos de los actores de las amenazas. También permite a una organización evaluar la gravedad de las amenazas digitales y físicas, al tiempo que sirve de base para una estrategia de mitigación y corrección.

Los actores de las amenazas prosperan en entornos en los que pueden actuar sin ser detectados y, por tanto, sin obstáculos. La inteligencia sobre amenazas ayuda a arrojar luz sobre sus acciones, lo que permite a las organizaciones prepararse y responder a los ciberataques con mayor eficacia. Esto es beneficioso por varias razones:

  • Mayor visibilidad tanto de su ecosistema como de las amenazas a las que se enfrenta
  • Toma de decisiones más eficaz y basada en datos sobre la gestión de riesgos y amenazas.
  • Una estrategia de seguridad basada en un sólido conocimiento de las tácticas, técnicas y procedimientos habituales utilizados por los actores de las amenazas.
  • Mayor agilidad y flexibilidad a la hora de responder a las ciberamenazas
  • Mejor ciberresiliencia general
  • Reducción de los costes de seguridad
  • Operaciones de seguridad más eficaces

Por qué es importante la inteligencia sobre ciberamenazas

La agilidad, flexibilidad y eficacia de la inteligencia procesable sobre amenazas son cada vez más críticas. Los ciberataques no sólo son más numerosos que nunca, sino que también se ejecutan mucho más rápido. Los actores de las amenazas, especialmente los operadores de ransomware con motivación económica y patrocinados por el Estado, son cada vez más sofisticados.

Incluso los ciberdelincuentes poco sofisticados y sin conocimientos técnicos pueden causar graves daños a una organización. En lugar de utilizar sus propias herramientas y tácticas, pueden alquilar la infraestructura de ciberataque a actores de amenazas más sofisticados. Alternativamente, pueden comprar su entrada en un sistema comprometido a través de un intermediario de acceso inicial (IAB).

La inteligencia sobre amenazas requiere algo más que la orquestación pasiva de datos. Una organización debe tener la infraestructura necesaria para supervisar continuamente todo su ecosistema y la capacidad de analizar y contextualizar los datos sobre amenazas en tiempo real. Para la mayoría de las organizaciones, esto significa que la inteligencia sobre amenazas requiere cierto grado de automatización, ya que el volumen de información generada por las fuentes de inteligencia sobre amenazas sin filtrar está fuera del alcance incluso del equipo de seguridad mejor equipado.

Las organizaciones también deben integrar la inteligencia sobre amenazas con otros procesos, como la respuesta a incidentes y la gestión de riesgos. La inteligencia sobre amenazas no existe en el vacío; debe formar parte de un enfoque global de la ciberseguridad.

Esto también significa que cualquier solución con la que recopile datos sobre amenazas -como una solución de detección y respuesta ampliada (XDR ) o una plataforma de gestión de eventos e información de seguridad (SIEM) - debe estar totalmente integrada en su pila de seguridad.

Ciclo de vida de la inteligencia sobre ciberamenazas

El ciclo de vida de la inteligencia sobre amenazas es el proceso mediante el cual una organización recopila y examina datos brutos sobre amenazas potenciales y, a continuación, utiliza esos datos para hacer frente a esas amenazas de forma proactiva. Los principales procesos y técnicas que permiten alcanzar este objetivo no son exclusivos del sector de la ciberseguridad. Más bien se han desarrollado y perfeccionado a lo largo de varias décadas en el sector público, especialmente en las fuerzas armadas y policiales.

En el contexto de la ciberseguridad y la gestión de las ciberamenazas, este ciclo de inteligencia consta de las siguientes fases:

1. Requisitos y dirección. Aquí es donde una organización sienta las bases iniciales de su programa de inteligencia sobre amenazas, definiendo:

  1. Los activos y procesos que deben protegerse
  2. El impacto de un ataque en cada activo o proceso
  3. Cómo debe priorizarse cada activo y proceso en términos de medidas de ciberseguridad.
  4. Por qué los autores de las amenazas podrían apuntar a estos artículos, es decir, sus motivaciones.
  5. El alcance total de la superficie de ataque de la organización
  6. El tipo de información sobre amenazas necesaria para proteger esta superficie de ataque y cómo se utilizarán esos datos.

2. Recopilación. En esta fase se recopila información de una amplia gama de fuentes internas y externas. Esto podría incluir registros antivirus, tráfico web, feeds de la industria y monitorización superficial y profunda de la web.

3. Procesamiento. Gran parte de los datos recogidos en la segunda fase no están filtrados ni formateados; antes de que puedan utilizarse, deben ser procesados y organizados. Dado el enorme volumen de datos recogidos incluso por un programa modesto de inteligencia sobre amenazas, rara vez es factible hacerlo manualmente.

4. Análisis. El personal humano examina los datos procesados, aplicando sus conocimientos, intuición y experiencia para contextualizar aún más la información. A continuación, determinan la mejor manera de aprovechar los conocimientos obtenidos de los datos sobre amenazas.

5. Difusión. Una vez definidas las ideas centrales y los elementos de acción a partir de los datos sobre amenazas recopilados, el equipo de inteligencia sobre amenazas despliega esta información a las partes interesadas clave de la organización, que la utilizan para orientar su toma de decisiones.

6. Comentarios. Una vez recibidos los informes finales sobre amenazas del equipo de inteligencia, las partes interesadas vuelven a reunirse para colaborar en los ajustes que consideren necesarios. 

Tipos de información sobre ciberamenazas

Toda la información sobre ciberamenazas puede dividirse en una de estas cuatro categorías.

Inteligencia estratégica sobre ciberamenazas

La Inteligencia Estratégica sobre Ciberamenazas se centra en perspectivas de más alto nivel, como el panorama general de amenazas de una organización, los posibles motivos de los actores de la amenaza y el impacto potencial de un ataque con éxito. Apoya la planificación a largo plazo y ayuda a una organización a identificar tendencias más amplias del sector, definir su postura general ante el riesgo y diseñar estrategias de mitigación del riesgo. La inteligencia estratégica sobre amenazas suele estar orientada a la dirección de la organización.

Inteligencia táctica sobre ciberamenazas

Tactical Cyber Threat Intelligence se centra en la recopilación e ingesta de información procesable sobre las tácticas, técnicas y procedimientos utilizados por los actores de las amenazas. Proporciona a los equipos de seguridad información sobre posibles vulnerabilidades y defensas.

Información técnica sobre ciberamenazas

Inteligencia técnica sobre ciberamenazas se ocupa principalmente de los indicadores de compromiso. Se trata de identificar y responder rápidamente a un ciberataque en curso. Como es comprensible, existe un solapamiento significativo entre la CTI técnica y la CTI operativa, y ambas suelen agruparse.

Inteligencia operativa sobre ciberamenazas

Inteligencia operativa sobre ciberamenazas consiste en el conocimiento detallado y en tiempo real de la naturaleza, el motivo y el momento de las amenazas potenciales, así como información detallada sobre las capacidades y motivaciones de los actores de las amenazas. La caza de amenazas entra dentro de la CTI operativa, al igual que la infiltración en foros de la web oscura y comunidades de hackers.
Inteligencia sobre ciberamenazas

Casos de uso de la inteligencia sobre ciberamenazas

Los casos de uso de la inteligencia sobre ciberamenazas son bastante amplios e incluyen los siguientes:

  • Búsqueda activa y mitigación de amenazas
  • Enriquecer y categorizar las alertas de seguridad
  • Desarrollar una hoja de ruta de seguridad a largo plazo
  • Evaluar el nivel de amenaza, la postura de seguridad y la tolerancia al riesgo de una organización.
  • Implantación y configuración de nuevos controles de seguridad
  • Ciberinformática forense posterior a incidentes
  • Comprender a los actores de amenazas emergentes y amenazas persistentes avanzadas y tomar medidas preventivas contra ellos.
CylanceINTELLIGENCE es un servicio de suscripción que proporciona a las organizaciones inteligencia contextual y procesable sobre ciberamenazas, para que pueda prevenir, cazar y responder a amenazas sofisticadas.