Temas técnicos

¿Qué es Threat Intelligence ?

Ilustración de artículos informáticos centrada en un ordenador portátil

Visión general

¿Qué es la inteligencia sobre ciberamenazas? También conocida como inteligencia de ciberseguridad, la inteligencia sobre amenazas es información basada en pruebas sobre la actividad delictiva dirigida a las redes, dispositivos, aplicaciones y datos de una organización. Proporciona a las empresas una mejor comprensión de los ciberpeligros pasados, presentes y futuros. Incluye mecanismos, contexto, implicaciones, indicadores y asesoramiento orientado a la acción sobre peligros emergentes o existentes para los activos de información.

Threat La información de inteligencia puede guiar a las empresas a la hora de determinar cuáles de sus activos cibernéticos corren mayor riesgo de sufrir un ataque y dónde sería más significativo su impacto. Proporciona a las empresas los conocimientos que necesitan para saber qué activos de información proteger, los mejores medios para protegerlos y las herramientas de mitigación más apropiadas. Threat intelligence proporciona el contexto necesario para una toma de decisiones precisa, relevante, procesable, oportuna e informada.

Como concepto, la inteligencia sobre amenazas es fácil de entender. Sin embargo, recopilar la información necesaria y analizarla supone un reto mucho mayor. El gran número de amenazas que podrían comprometer o paralizar la tecnología de la información de una empresa puede resultar abrumador.

Algunos de los contextos que recopila la inteligencia sobre amenazas incluyen cuáles son sus vulnerabilidades, quién le está atacando, cuál es su motivación, cuáles son sus capacidades, qué daño podrían causar a sus activos de información y a qué indicadores de compromiso debería prestar atención.

OpenText™ ArcSight™ Intelligence le proporciona información sobre las amenazas más potentes para su infraestructura, sus finanzas y su reputación. Con ello, puede crear mecanismos de defensa y establecer una mitigación de riesgos que funcione.

Threat Intelligence

Por qué es importante la inteligencia sobre amenazas

Threat Las herramientas de inteligencia leen datos sin procesar sobre amenazas existentes y emergentes y actores de amenazas procedentes de múltiples fuentes. Los datos se analizan y filtran para desarrollar fuentes de inteligencia e informes que puedan ser utilizados por soluciones de seguridad automatizadas. ¿Por qué es importante?

  • Obtener la información necesaria para que la organización se proteja frente a amenazas y ataques.
  • Mantenerse al día sobre los riesgos que plantean los malos actores, las diversas vulnerabilidades, los métodos de ataque, los exploits de día cero y las amenazas persistentes avanzadas.
  • Mantener una forma estructurada de tratar los ingentes datos sobre amenazas internas y externas que abarcan a numerosos actores y sistemas desconectados.
  • Evitar las falsas alarmas.
  • Minimizar las violaciones de datos y el coste financiero, de reputación y de cumplimiento que conllevan.
  • Adquirir los conocimientos necesarios para identificar las herramientas de seguridad con más probabilidades de funcionar.
  • Los equipos de ciberseguridad y análisis pueden mantenerse proactivos ante futuras amenazas, al tiempo que evitan la carga de tratar con enormes datos en bruto sin procesar ni priorizar.
  • Mantenga informados a los dirigentes, usuarios y partes interesadas sobre las últimas amenazas y las repercusiones que éstas podrían tener en la organización.
  • Proporcionar un contexto oportuno que pueda ser comprendido por los responsables de la toma de decisiones.

Threat La inteligencia es crucial para cualquiera cuya red esté conectada a la web mundial, que es prácticamente cualquier organización hoy en día. Los cortafuegos y otros sistemas de seguridad son importantes, pero no sustituyen la necesidad de que la empresa se mantenga al día de las amenazas que ponen en peligro sus sistemas de información. La naturaleza variada, compleja y escalable de los ciberataques actuales hace que la inteligencia sobre amenazas sea esencial.


El ciclo de vida de la inteligencia sobre amenazas

Threat La inteligencia no es un proceso de principio a fin que se rige por una lista de comprobación. Es continuo, cíclico e iterativo. Nunca llegará un momento en que una organización haya identificado y neutralizado todas las amenazas potenciales.

El ciclo de vida de la inteligencia sobre amenazas es un reconocimiento de la naturaleza evolutiva del entorno de amenazas. Evitar un ataque o una crisis no significa que el trabajo esté hecho. Hay que pensar, anticipar y prepararse inmediatamente para el siguiente. Seguirán surgiendo nuevas lagunas y preguntas que exigirán nuevos requisitos de inteligencia.

El ciclo de vida de la inteligencia sobre amenazas comprende los siguientes pasos.

  • Planificación - Defina los requisitos para la recopilación de datos. Formule preguntas específicas que le lleven en la dirección correcta y que tengan como objetivo generar información procesable. Determine quién será el consumidor final de la información sobre amenazas.
  • Recopilación - Recopilar datos brutos sobre amenazas de fuentes creíbles. Las fuentes creíbles pueden incluir registros de auditoría del sistema, incidentes pasados, informes de riesgo internos, fuentes técnicas externas y la Internet en general.
  • Procesamiento - Organice los datos brutos para prepararlos para el análisis. Colocar etiquetas de metadatos que faciliten la eliminación de información redundante, falsos negativos y falsos positivos. Un SIEM podría facilitar esta organización. Utilizan reglas de correlación para estructurar los datos para diferentes casos de uso.
  • Análisis - La fase de análisis es la que diferencia la inteligencia sobre amenazas de la recopilación y difusión de información básica, ya que es donde se da sentido a los datos. Aplica técnicas analíticas estructuradas a la información procesada y cuantifica la amenaza. De este modo se obtienen fuentes de inteligencia sobre amenazas que las herramientas y los analistas escanean para determinar los indicadores de compromiso. Los indicadores de peligro incluyen direcciones IP, URL, correos electrónicos, archivos adjuntos de correo electrónico, claves de registro y hashes sospechosos.
  • Difusión - Threat la inteligencia funciona cuando se transmite a las personas adecuadas en el momento oportuno. Comparta el análisis con las partes interesadas utilizando canales de comunicación internos y externos predefinidos. Difunda la información en un formato que el público destinatario pueda comprender más fácilmente. Esto puede incluir desde listas de amenazas hasta informes revisados por expertos. En las grandes organizaciones, la detección y mitigación de amenazas son esfuerzos colectivos que implican a varios equipos. Mantenga a todos informados para descubrir nuevas ideas, soluciones y oportunidades.
  • Integración: integre la información procesable sobre amenazas en los flujos de trabajo, los programas de respuesta a incidentes y los sistemas de tickets.
  • Lecciones - Analice la información en busca de lecciones a largo plazo e implicaciones más amplias. Realice los cambios oportunos en sus políticas, procedimientos, procesos, infraestructuras y configuraciones.
  • Comentarios - Revise las acciones y confirme si la amenaza ha sido bloqueada o contenida.

Tipos de amenazas a la ciberseguridad e información sobre amenazas

Las amenazas a la ciberseguridad y la inteligencia sobre amenazas pueden clasificarse en función de los requisitos de la empresa, las fuentes de inteligencia y el público destinatario. En este sentido, existen tres tipos de amenazas a la ciberseguridad y de inteligencia sobre amenazas.

Inteligencia sobre amenazas estratégicas

Se trata de tendencias o problemas generales o a largo plazo. El examen de las amenazas estratégicas suele estar reservado a audiencias de alto nivel, no técnicas, como los ejecutivos de la C-suite. La inteligencia sobre amenazas estratégicas proporciona una visión a vista de pájaro de las capacidades e intenciones de las amenazas, lo que permite una toma de decisiones informada y alertas rápidas.

Las fuentes de información sobre amenazas estratégicas incluyen los medios de comunicación, expertos en la materia, documentos políticos de organizaciones no gubernamentales, libros blancos sobre seguridad e informes de investigación.

Información sobre amenazas tácticas

La inteligencia táctica sobre amenazas da estructura a los procedimientos, técnicas y tácticas de los actores de amenazas abordando los indicadores de compromiso a través de eventos y operaciones de inteligencia cotidianas. Se trata de información destinada a un público más técnico, como profesionales de la seguridad, arquitectos de sistemas y administradores de redes.

La inteligencia táctica sobre amenazas proporciona a las organizaciones un conocimiento más profundo de cómo podrían ser atacadas y de las mejores defensas contra esos ataques. Los informes de los proveedores de seguridad y los consultores de ciberseguridad empresarial suelen ser la principal fuente de inteligencia táctica sobre amenazas.

Información sobre amenazas operativas

La inteligencia operativa sobre amenazas también se conoce como inteligencia técnica sobre amenazas. Es muy especializada y altamente técnica. Se ocupa de ataques, malware, herramientas o campañas específicas.

La inteligencia operativa sobre amenazas puede adoptar la forma de informes forenses de inteligencia sobre amenazas, fuentes de datos sobre amenazas o comunicaciones interceptadas de grupos de amenazas. Proporciona a los equipos de respuesta a incidentes información sobre el momento, la naturaleza y la intención de ataques concretos.


¿Qué es la detección de amenazas?

Threat detección es un término que a veces se utiliza indistintamente con el de inteligencia sobre amenazas, pero ambos no significan lo mismo. Threat detección es la supervisión pasiva de los datos para detectar posibles problemas de seguridad.

Se centra en el descubrimiento y la identificación de amenazas antes, durante o después de una brecha de seguridad. La amenaza puede ser una cadena en una muestra de malware, conexiones de red a través de partes inusuales, un pico o una caída inesperados en el tráfico de red, o un archivo ejecutable guardado en un directorio temporal.

Las herramientas de detección de violaciones de datos analizan el comportamiento de usuarios, datos, aplicaciones y redes en busca de actividades anómalas. Un sistema de detección de intrusiones es un ejemplo de herramienta de detección de amenazas.


Cómo colaboran la inteligencia y la detección de amenazas

Threat Los sistemas de detección suelen inspeccionar el tráfico de red utilizando información sobre amenazas procedente de una amplia gama de comunidades como H-ISAC. Despliegan alertas personalizadas y notificaciones de eventos. Threat las herramientas de detección permiten supervisar registros de diversas fuentes y adaptarlos a distintos entornos.

Así, cuando se detecta una amenaza, se envía una alerta. Normalmente, intervendría un humano, revisaría la amenaza, determinaría qué está pasando y tomaría las medidas oportunas.


Las herramientas adecuadas para la información correcta sobre amenazas

Las organizaciones actuales están expuestas a atacantes que potencialmente tienen millones de formas de obtener acceso no autorizado y causar estragos. Además, las amenazas crecen constantemente en escala, complejidad y sofisticación. Esto significa que lo mejor es asumir que un atacante se abrirá paso, a pesar de sus mejores esfuerzos y los de su organización. Establecer los controles físicos y lógicos adecuados contribuye en gran medida a reducir las posibilidades de éxito de un ataque.

Threat La inteligencia es indispensable para la detección y respuesta oportunas y eficaces a las amenazas, y es un elemento necesario para comprender y protegerse contra las posibles amenazas a la ciberseguridad. Cuanto mejor conozcan su equipo y su organización las amenazas potenciales, mejor equipados estarán para desarrollar y priorizar respuestas funcionales y detectar amenazas con rapidez.

Threat es un ejercicio arduo y que requiere mucho tiempo, incluso para las pequeñas empresas. Afortunadamente, existen en el mercado numerosas herramientas de inteligencia sobre amenazas que pueden ayudar. Sin embargo, no todas son iguales. Reconocido como líder mundial en el espacio de la ciberseguridad, OpenText proporciona las herramientas adecuadas que su organización necesita para generar rápidamente inteligencia sobre amenazas significativa, procesable y dinámica.

Productos relacionados

OpenText™ ArcSight Intelligence

Detección proactiva de riesgos internos, nuevos ataques y amenazas persistentes avanzadas.

OpenText™ ArcSight™ Enterprise Security Manager (ESM)

Acelere la detección y respuesta a las amenazas con detección en tiempo real y SOAR nativo.

OpenText™ Cybersecurity Cloud

Protección más inteligente y sencilla

ArcSight Recon de OpenText™

Simplifique la gestión de registros y el cumplimiento de normativas al tiempo que acelera la investigación forense. Caza y derrota amenazas con búsqueda, visualización y generación de informes de big data.

Notas a pie de página