- ¿Qué es la computación en la nube?›
- Centro de conceptos de computación en la nube›
- Seguridad, identidad y cumplimiento›
- ¿Qué es la inteligencia de amenazas?
¿Qué es la inteligencia de amenazas?
Temas de la página
- ¿Qué es la inteligencia de amenazas?
- ¿Por qué es importante la inteligencia de amenazas?
- ¿Qué es un sistema de inteligencia de amenazas?
- ¿Cuáles son los componentes del ciclo de vida de la inteligencia de amenazas?
- ¿Cuáles son las características de los programas de inteligencia de amenazas?
- ¿Cuáles son los diferentes tipos de inteligencia de amenazas?
- ¿Cómo apoya AWS su programa de inteligencia de amenazas?
¿Qué es la inteligencia de amenazas?
La inteligencia de amenazas combina datos de varios orígenes internos y externos para comprender los riesgos cibernéticos existentes y emergentes para la empresa y fortalecer las estrategias defensivas. Un buen programa de inteligencia de amenazas triangula la información sobre amenazas, filtra y prioriza las amenazas en función del riesgo para la empresa y retroalimenta los sistemas internos y los controles de seguridad. La inteligencia de amenazas es un componente clave de un programa de ciberseguridad maduro.
¿Por qué es importante la inteligencia de amenazas?
La inteligencia de ciberamenazas revela las amenazas actuales y emergentes para la organización. Al comprender las tácticas, las técnicas y los procedimientos de los adversarios, las organizaciones pueden contrarrestar las amenazas de manera más eficaz antes, durante y después de un evento de seguridad.
Los programas de inteligencia de amenazas ayudan a las organizaciones a tomar decisiones más eficaces sobre cómo abordar las vulnerabilidades, llevar a cabo estrategias de prueba, desarrollar planes de respuesta a incidentes y garantizar la continuidad de la empresa en caso de que se produzca un evento. Los equipos de inteligencia de amenazas trabajan en colaboración con los equipos de riesgos cibernéticos y los equipos de seguridad.
¿Qué es un sistema de inteligencia de amenazas?
Un sistema de inteligencia de amenazas es una ubicación central que recopila, analiza y genera información en respuesta a los datos de ciberseguridad. Estos sistemas ayudan a rastrear los eventos de seguridad y determinar qué actores de amenazas están presentes e informan a los equipos de seguridad sobre cómo responder. A menudo se basan en la inteligencia de ciberamenazas (CTI), que es una colección de orígenes de datos internos y externos que ayudan a proporcionar contexto al sistema.
Un sistema de inteligencia de amenazas funciona como parte de una solución holística de software de seguridad. Las soluciones como AWS Security Hub suelen integrar actividades del ciclo de vida de inteligencia de amenazas para una administración centralizada.
¿Cuáles son los componentes del ciclo de vida de la inteligencia de amenazas?
El ciclo de vida de la inteligencia de amenazas es un proceso continuo que requiere actualizaciones y revisiones periódicas.
Estas son las etapas principales del ciclo de vida de la inteligencia de amenazas.
Alcance en el entorno
Antes de implementar un programa de inteligencia de amenazas, las organizaciones deben definir sus sistemas, datos, redes, servicios, usuarios y otros activos organizacionales. Las organizaciones deben clasificar los activos organizacionales según la criticidad operativa y la confidencialidad de los datos. Al comprender el alcance del entorno de la organización, es posible comprender qué amenazas serán relevantes para la empresa y qué activos pueden ser un objetivo mayor.
Recopilación de datos sobre amenazas
Una vez que se haya completado el análisis, el siguiente paso en el ciclo de vida de la inteligencia de ciberamenazas es recopilar numerosos orígenes de datos en un origen central de verdad. El sistema de inteligencia de amenazas ingerirá datos de seguridad internos, informes del sistema y orígenes externos, como fuentes de amenazas distribuidas por proveedores y de código abierto en tiempo real, bases de datos de vulnerabilidades y supervisión de las redes sociales y la web oscura.
Esta etapa tiene como objetivo capturar la mayor cantidad posible de datos de amenazas para obtener una gama completa de información. La ingesta de datos en esta etapa es altamente automatizada, constante y no se filtra para el ámbito de la empresa.
Procesamiento de datos
Tras la recopilación de datos, la organización los filtra, estructura, estandariza, enriquece y transforma para que sean útiles. Los datos no estructurados se transforman en un formato legible por máquina, mientras que los datos estructurados se limpian para mejorar la calidad de los datos y se etiquetan con metadatos. Se eliminan los datos redundantes y que no están en el alcance. El procesamiento debe ser lo más automatizado posible.
Análisis
La fase de análisis transforma los datos de inteligencia de amenazas en información útil para la empresa. Los sistemas automatizados comenzarán a identificar patrones y relaciones en cualquier dato procesado, buscando anomalías, discrepancias o resultados que los equipos de ciberseguridad investigarán más a fondo.
En esta etapa, los analistas de datos pueden usar una variedad de técnicas avanzadas, como la aplicación de machine learning y el modelado predictivo, para mapear indicadores de amenazas específicos. Estos procesos son tanto manuales como automáticos, y están diseñados para proporcionar a los equipos de seguridad información relevante y útil que sirva de base para las estrategias de ciberdefensa.
Informes
Los informes proporcionan los resultados del análisis de inteligencia de amenazas a las partes interesadas de la empresa y a los equipos pertinentes. Los informes se adaptan a la audiencia y pueden incluir paneles limitados, archivos de texto, presentaciones u otras formas de comunicación.
La fase de informes suele estar automatizada y los sistemas de inteligencia de amenazas generan un informe y lo distribuyen al personal necesario. Cuando surgen amenazas de seguridad más grandes, puede provocar la necesidad de elaborar informes manuales.
Los equipos también pueden informar de amenazas nuevas y desconocidas a la comunidad en general, de modo que otras organizaciones puedan integrar esta información en sus propios sistemas.
Supervisión y ajustes
Los sistemas de inteligencia de amenazas supervisan los posibles problemas de seguridad, rastrean los IOC y apoyan a los equipos de seguridad. Un sistema de inteligencia de amenazas es un software clave dentro de un centro de operaciones de seguridad (SOC) con personal las 24 horas del día, los 7 días de la semana.
Durante el análisis, los equipos pueden hacer un seguimiento de los indicadores de compromiso (IOC) relacionados con posibles eventos de seguridad para desarrollar planes y guías de respuesta a incidentes, implementar controles de seguridad nuevos o ajustados, realizar cambios en la arquitectura del sistema y actualizar los riesgos para la empresa. Esta respuesta informada garantiza que la postura de seguridad de la empresa no se vea comprometida.
Los equipos deben aprender de los eventos de seguridad inesperados y de la nueva información para luego iterar y mejorar su rendimiento anterior. Los equipos de seguridad pueden revisar el rendimiento de las herramientas de seguridad, comentar las respuestas y señalar las incoherencias para ayudar a que el software de inteligencia de amenazas mejore continuamente.
¿Cuáles son las características de los programas de inteligencia de amenazas?
Las características de un programa de inteligencia de ciberamenazas dependen de la complejidad del entorno empresarial, los requisitos de la información confidencial y las obligaciones de cumplimiento. Estas son algunas de las características más comunes de los programas de inteligencia de amenazas.
Fuentes de datos
Las fuentes de datos hacen referencia a todos los orígenes de información en los que se basan las plataformas de inteligencia de amenazas para ofrecer su información. Estos servicios de inteligencia de amenazas son un componente central de un programa de inteligencia de amenazas.
Las fuentes de datos externas incluyen inteligencia de código abierto en tiempo real (OSINT), fuentes de amenazas públicas e información proporcionada por las agencias gubernamentales de ciberseguridad. Las fuentes de datos internas incluyen los registros de firewall, los comportamientos de acceso de los usuarios, las alertas del sistema de detección de intrusos (IDS), los registros de puntos de conexión y la telemetría de servicios en la nube.
Tecnologías
La inteligencia de amenazas se basa en varias tecnologías que funcionan en armonía para entregar datos, analizar información y proporcionar información útil para los equipos de seguridad. Por ejemplo, algunos programas de inteligencia de amenazas ayudan a recopilar y organizar los datos, así como a compartir información directamente con los equipos de seguridad cuando tienen que tomar medidas.
Las tecnologías de análisis son esenciales para encontrar patrones y anomalías en los datos que ayudan a detectar posibles eventos de seguridad. Las capacidades analíticas de la inteligencia de ciberamenazas hacen referencia a cualquier tecnología que los equipos utilicen para mejorar la claridad, la precisión y la profundidad de los datos. Estos incluyen el análisis con machine learning, los algoritmos predictivos y el análisis del comportamiento.
Los sistemas de administración de eventos e información de seguridad (SIEM) correlacionan los datos de registro de seguridad internos con la información de los eventos para ofrecer información en tiempo real sobre cómo las amenazas emergentes podrían afectar a la empresa. Algunas empresas también incluyen advertencias integradas en sus productos, lo que proporcionará a los desarrolladores mayor contexto sobre posibles errores a la hora de trabajar en ciertos aspectos.
Marcos
Los marcos que incluyen inteligencia de amenazas ofrecen una estructura estandarizada que las organizaciones pueden seguir. Estos marcos son muy valorados y se actualizan periódicamente para incluir orientación descriptiva y prescriptiva para las organizaciones. Los marcos de ciberseguridad que se centran en la inteligencia de amenazas son el marco MITRE ATT&CK y Cyber Kill Chain. Ambos marcos incluyen formas de gestionar las tácticas, los vectores estándar y los IOC.
Actividades
Los sistemas de inteligencia de ciberamenazas participan en una serie de actividades para generar información y mejorar sus capacidades. Por ejemplo, estos sistemas pueden realizar evaluaciones de riesgos en tiempo real, corregir las vulnerabilidades conocidas con actualizaciones, responder a los incidentes con comentarios y ofrecer a los expertos en ciberseguridad información sobre qué eventos deben priorizar.
¿Cuáles son los diferentes tipos de inteligencia de amenazas?
Hay cuatro tipos principales de inteligencia de ciberamenazas que utilizarán los profesionales de la seguridad.
Inteligencia de amenazas estratégica
La inteligencia de amenazas estratégica hcae referencia a la información más amplia sobre el panorama de amenazas que recopilan los sistemas, incluidos los datos geopolíticos, los datos económicos y otra inteligencia no técnica que puede ser útil para crear un perfil contextual de un posible evento de seguridad. Este tipo de inteligencia de amenazas estratégica no técnica proporciona información valiosa que ayuda a comprender las vulnerabilidades de seguridad más amplias y su desarrollo.
Inteligencia de amenazas táctica
La inteligencia de amenazas táctica hace referencia a la recopilación de información relacionada con las tácticas, técnicas y procedimientos (TTP) de los adversarios, como los TTP de las amenazas persistentes avanzadas (APT). Los datos de inteligencia de todo el sector se comparten en fuentes de seguridad públicas. Esta información permite que los profesionales de la seguridad comprendan el comportamiento típico de ataques específicos, los vectores utilizados y la secuencia de acciones que se producen en cualquier evento de seguridad determinado.
Inteligencia de amenazas técnica
La inteligencia de amenazas técnica hace referencia a cualquier señal de compromiso que identifique una máquina. Estos IOC, como la presencia de direcciones IP maliciosas, URL de seguridad inesperadas, respuestas de firewall o el cambio repentino en los valores operativos esperados de un sistema, se marcarán para que los equipos investiguen más a fondo.
Inteligencia de amenazas operativa
La inteligencia de amenazas operativa es una forma compuesta de inteligencia entre información táctica y técnica. Esta forma de inteligencia operativa ofrecerá información sobre el conocimiento de todo el sector; por ejemplo, la manera en que una forma específica de ransomware o malware se ve cada vez más en determinadas empresas o regiones. La inteligencia de amenazas operativa permite que las empresas tomen medidas para mitigar los posibles eventos de seguridad antes de que ocurran.
¿Cómo apoya AWS su programa de inteligencia de amenazas?
La seguridad en la nube de AWS ayuda a proteger su entorno de nube con integraciones, automatizaciones y visualizaciones específicas de la inteligencia de amenazas. La seguridad en la nube de AWS ayuda a identificar posibles riesgos, proteger la infraestructura mediante la adopción de medidas de protección de datos, supervisar la postura de seguridad para detectar eventos inesperados e incluso responder directamente a los incidentes.
AWS Security Hub prioriza los problemas de seguridad críticos y lo ayuda a responder a escala para proteger su entorno. Proporciona inteligencia de amenazas, detecta problemas críticos al correlacionar y enriquecer las señales para convertirlas en información procesable, lo que permite una respuesta optimizada.
Cree una cuenta gratuita hoy mismo para comenzar a utilizar la inteligencia de amenazas en AWS.