En este artículo, exploramos la importancia de la inteligencia contra amenazas en un escenario digital plagado de desafíos, ofreciendo un análisis detallado de sus tipos y cómo fortalecen las capacidades de observabilidad para una defensa eficiente.
La diferencia determinante entre Monitoreo y Observabilidad es que mientras el primero nos informa de una falla o comportamiento anómalo, la observabilidad nos aporta el porqué de esa falla o comportamiento. En las arquitecturas complejas y distribuidas como con las que convivimos hoy, el hecho de tener capacidad de correlación, contexto e indicadores de referencia nos permiten ser resilientes en un entorno con innumerables amenazas.
Aplicando este mismo enfoque a la ciberseguridad, es que surge y se hace necesario generar las capacidades asociadas a Inteligencia de Amenazas. No alcanza con el dato, sino que se requiere el conocimiento y contexto, no solamente hacia la infraestructura, sino también en lo que está pasando en el terreno del adversario con mis activos.
¿Qué es la Inteligencia de Amenazas?
La Inteligencia de Amenazas, también conocida como CTI (del inglés “Cyber Threat Intelligence”), es definida por Gartner como “conocimiento basado en la evidencia, incluido el contexto, indicadores, implicaciones sobre una amenaza o peligro existente o emergente para los activos de TI”. En una definición más básica, podemos considerarla como el arte de convertir datos sobre amenazas, en inteligencia a través de una metodología denominada “ciclo de inteligencia”, que incluye diferentes fases, como se observa en la Figura 1.
Esta inteligencia, como producto final, permite a los decisores tomar decisiones de seguridad más rápidas, más informadas y basadas en datos y cambiar su comportamiento de reactivo a proactivo en la lucha contra los actores de amenazas. En resumen, son datos que se recopilan, procesan y analizan para comprender los motivos, los objetivos y los comportamientos de ataque de un actor de amenazas, permitiendo prevenir o mitigar posibles ataques.
¿Por qué es importante la inteligencia contra amenazas?
En el mundo de la ciberseguridad, las amenazas persistentes avanzadas (APT) y los datos sobre el próximo movimiento de un actor de amenazas son cruciales para que las organizaciones tomen decisiones sobre la seguridad más rápido y con más información.
Hoy en día, la industria de la ciberseguridad enfrenta varios desafíos: amenazas cada vez más persistentes y complejas, una cantidad diaria enorme de datos, junto a información sin procesar y falsos positivos, en múltiples sistemas de seguridad que no están interconectados. Algunas organizaciones intentan incorporar fuentes de datos de amenazas en su red, pero no saben qué hacer con todos esos datos adicionales, lo que aumenta la carga de los analistas que tal vez no tengan las herramientas para decidir qué priorizar y qué ignorar. Contar con plataformas o servicios de CTI dentro de su organización permite fortalecer estas capacidades de observabilidad.
A modo de ejemplo, estas capacidades de Inteligencia de Amenazas permiten priorizar y accionar sobre campañas de Phishing, tendencias de Ciberamenazas, dominios apócrifos, monitoreo VIP, ataques a la cadena de suministro, cuentas falsas en redes sociales, alertas de potenciales ataques (DDOS Hactivismo), análisis de TTP, data leaks, indicadores de compromiso, brand protection, venta de productos y servicios no autorizados, entre otros.
¿Cuáles son los tipos de Inteligencia de Amenazas?
Existen diferentes tipos de inteligencia sobre amenazas, desde información de alto nivel y no-técnica hasta detalles técnicos sobre ataques específicos. A continuación, se muestran algunos tipos de Inteligencia de Amenazas:
- Estratégica: Dirigida a la Dirección o alta gerencia de una organización (CISO, CTO, COO, Ejecutivos, etc.). Proporciona información como tendencias, riesgos emergentes e información necesaria para tomar decisiones estratégicas. Es información no-técnica que una organización podría presentar a una junta directiva. Un ejemplo de inteligencia estratégica sobre amenazas es el análisis de riesgos de cómo una decisión empresarial podría hacer que la organización sea vulnerable a los ciberataques.
- Operativa: Información que un departamento de TI puede utilizar como parte de la gestión activa de amenazas para tomar medidas contra un ataque específico. Es información sobre la intención detrás del ataque, capacidad del adversario y el momento del ataque. Determina el quién, por qué y cómo.
- Táctica: Consumida por analistas SOC, Operadores de Seguridad, etc., la información táctica contiene evidencia específica de que se está produciendo un ataque o indicadores de compromiso (IOC). Algunas herramientas de inteligencia de amenazas utilizan inteligencia artificial para buscar estos indicadores, que pueden incluir contenido de correo electrónico de campañas de phishing, direcciones IP de infraestructuras C2 o artefactos de muestras de malware conocidas; incluye los detalles de cómo se llevan a cabo, incluidos los vectores de ataque, las herramientas y las infraestructuras que utilizan los atacantes, los tipos de empresas o tecnologías a las que se dirigen y las estrategias para evitarlas. También ayuda a una organización a comprender la probabilidad de que sea objetivo de diferentes tipos de ataques.