Inteligencia de amenazas, todo lo que debes saber

Las empresas están cada vez más preocupadas por los ciberataques. Con el creciente número de violaciones de datos que son noticia, no es sorprendente. Sin embargo, muchos líderes empresariales no están seguros de por dónde empezar a proteger sus organizaciones. Antes de que puedas proteger tu negocio y tus activos digitales, debes tener un conocimiento básico de algunos términos básicos cuando se trata de ciberseguridad.

Analicemos uno de los aspectos clave de la seguridad cibernética: la inteligencia de amenazas o Threat Intelligence. Sigue leyendo para obtener más información sobre qué es la inteligencia de amenazas y por qué es importante para tu empresa.

¿Qué es la inteligencia de amenazas?

Las tecnologías digitales se encuentran en el corazón de casi todas las industrias en la actualidad. La automatización y la mayor conectividad que ofrecen han revolucionado las instituciones económicas y culturales del mundo, pero también han traído riesgos en forma de ciberataques. La inteligencia de amenazas es el conocimiento que le permite prevenir o mitigar esos ataques.

Enraizada en los datos, la inteligencia de amenazas proporciona un contexto, como quién lo está atacando, cuáles son sus motivaciones y capacidades, y qué indicadores de compromiso en sus sistemas buscar, que lo ayudan a tomar decisiones informadas sobre su seguridad.

La inteligencia de amenazas es conocimiento basado en evidencia, que incluye contexto, mecanismos, indicadores, implicaciones y asesoramiento orientado a la acción sobre una amenaza o peligro existente o emergente para los activos. Esta inteligencia se puede utilizar para informar decisiones sobre la respuesta del sujeto a esa amenaza o peligro.

La inteligencia de amenazas son datos que se recopilan, procesan y analizan para comprender los motivos, objetivos y comportamientos de ataque de un actor de amenazas. La inteligencia de amenazas nos permite tomar decisiones de seguridad más rápidas, más informadas y respaldadas por datos y cambiar su comportamiento de reactivo a proactivo en la lucha contra los actores de amenazas.

Tus publicaciones de Facebook no significan nada hasta que las lees y combinas ese conocimiento con publicaciones anteriores de amigos, ¿verdad?

Eso es inteligencia de amenazas. Es cuando los especialistas en TI o las herramientas sofisticadas leen las amenazas y las analizan. Luego, aplica el conocimiento histórico para saber si una amenaza es real y, si lo es, qué hacer al respecto.

Importancia

Hoy en día, la industria de la ciberseguridad enfrenta numerosos desafíos: actores de amenazas cada vez más persistentes y tortuosos, una avalancha diaria de datos llenos de información extraña y falsas alarmas en múltiples sistemas de seguridad desconectados y una grave escasez de profesionales capacitados.

Algunas organizaciones intentan incorporar datos de amenazas en su red, pero no saben qué hacer con todos esos datos adicionales, lo que aumenta la carga de los analistas que pueden no tener las herramientas para decidir qué priorizar y qué ignorar.

Una solución de inteligencia de amenazas cibernéticas puede abordar cada uno de estos problemas. Las mejores soluciones utilizan el aprendizaje automático para automatizar la recopilación y el procesamiento de datos, integrarse con sus soluciones existentes, tomar datos no estructurados de fuentes dispares y luego conectar los puntos al proporcionar contexto sobre los indicadores de compromiso (IoC) y las tácticas, técnicas y procedimientos. (TTP) de los actores de amenazas.

La inteligencia de amenazas es procesable: es oportuna, proporciona contexto y puede ser entendida por las personas a cargo de la toma de decisiones.

Las empresas que se adhieren a este nivel básico de inteligencia sobre amenazas se están perdiendo ventajas reales que podrían fortalecer significativamente sus posturas de seguridad.

La inteligencia de amenazas es importante por las siguientes razones:

  • Arroja luz sobre lo desconocido, lo que permite a los equipos de seguridad tomar mejores decisiones.
  • Empodera a las partes interesadas en la seguridad cibernética al revelar los motivos del adversario y sus tácticas, técnicas y procedimientos (TTP).
  • Ayuda a los profesionales de seguridad a entender mejor el proceso de decisión del actor de amenazas.
  • Empodera a las partes interesadas del negocio , como juntas ejecutivas, CISO, CIO y CTO; invertir sabiamente, mitigar el riesgo, ser más eficiente y tomar decisiones más rápidas.

¿Quién puede beneficiarse de Threat Intelligence?

¡Todos! La inteligencia de las amenazas cibernéticas es ampliamente imaginada como el dominio de los analistas de élite. En realidad, agrega valor en todas las funciones de seguridad para organizaciones de todos los tamaños.

Cuando la inteligencia de amenazas se trata como una función separada dentro de un paradigma de seguridad más amplio en lugar de un componente esencial que aumenta todas las demás funciones, el resultado es que muchas de las personas que se beneficiarían más de la inteligencia de amenazas no tienen acceso a ella cuando la necesitan.

Los equipos de operaciones de seguridad normalmente no pueden procesar las alertas que reciben: la inteligencia de amenazas se integra con las soluciones de seguridad que ya usa, lo que ayuda a priorizar y filtrar automáticamente las alertas y otras amenazas.

Los equipos de administración de vulnerabilidades pueden priorizar con mayor precisión las vulnerabilidades más importantes con acceso a la información externa y al contexto proporcionado por la inteligencia de amenazas. Y la prevención del fraude, el análisis de riesgos y otros procesos de seguridad de alto nivel se enriquecen con la comprensión del panorama actual de amenazas que proporciona la inteligencia de amenazas, incluida información clave sobre los actores de amenazas, sus tácticas, técnicas y procedimientos, y más de las fuentes de datos en todo el mundo.

Ciclo de vida de la inteligencia de amenazas

Entonces, ¿cómo se produce la inteligencia sobre amenazas cibernéticas? Los datos brutos no son lo mismo que la inteligencia: la inteligencia sobre amenazas cibernéticas es el producto final que surge de un ciclo de seis partes de recopilación, procesamiento y análisis de datos. Este proceso es un ciclo porque se identifican nuevas preguntas y lagunas en el conocimiento durante el curso del desarrollo de la inteligencia, lo que lleva a establecer nuevos requisitos de recopilación. Un programa de inteligencia eficaz es iterativo y se perfecciona con el tiempo.

Para maximizar el valor de la inteligencia de amenazas que produce, es fundamental que identifiques tus casos de uso y definas tus objetivos antes de hacer cualquier otra cosa.

Planificación y dirección

El primer paso para producir inteligencia de amenazas procesable es hacer la pregunta correcta.

Las preguntas que mejor impulsan la creación de inteligencia de amenazas procesable se centran en un solo hecho, evento o actividad; por lo general, deben evitarse las preguntas amplias y abiertas.

Prioriza tus objetivos de inteligencia en función de factores como qué tan cerca se adhieren a los valores centrales de tu organización, qué impacto tendrá la decisión resultante y qué tan urgente es la decisión.

Un factor rector importante en esta etapa es comprender quién consumirá y se beneficiará del producto terminado: ¿la inteligencia irá a un equipo de analistas con experiencia técnica que necesitan un informe rápido sobre un nuevo exploit, o a un ejecutivo que busca una amplia descripción general de las tendencias para informar sus decisiones de inversión en seguridad para el próximo trimestre?

Colección

El siguiente paso es recopilar datos sin procesar que cumplan con los requisitos establecidos en la primera etapa. Es mejor recopilar datos de una amplia gama de fuentes: internas, como registros de eventos de la red y registros de respuestas a incidentes anteriores, y externas de la web abierta, la web oscura y fuentes técnicas.

Los datos de amenazas generalmente se consideran listas de IoC, como direcciones IP maliciosas, dominios y hashes de archivos, pero también pueden incluir información de vulnerabilidad, como la información de identificación personal de los clientes, código sin procesar de sitios de pegado y texto de noticias, fuentes o redes sociales.

Procesamiento

Una vez que se han recopilado todos los datos sin procesar, debes ordenarlos, organizarlos con etiquetas de metadatos y filtrar la información redundante o los falsos positivos y negativos.

Hoy en día, incluso las organizaciones pequeñas recopilan datos del orden de millones de eventos de registro y cientos de miles de indicadores todos los días. Es demasiado para que los analistas humanos lo procesen de manera eficiente: la recopilación y el procesamiento de datos deben automatizarse para comenzar a tener algún sentido.

Las soluciones como SIEM son un buen lugar para comenzar porque facilitan relativamente la estructuración de datos con reglas de correlación que se pueden configurar para algunos casos de uso diferentes, pero solo pueden admitir un número limitado de tipos de datos.

Si estás recopilando datos no estructurados de muchas fuentes internas y externas diferentes, necesitarás una solución más sólida.

Análisis

El siguiente paso es dar sentido a los datos procesados. El objetivo del análisis es buscar posibles problemas de seguridad y notificar a los equipos relevantes en un formato que cumpla con los requisitos de inteligencia descritos en la etapa de planificación y dirección.

La inteligencia de amenazas puede tomar muchas formas dependiendo de los objetivos iniciales y la audiencia prevista, pero la idea es obtener los datos en un formato que la audiencia pueda comprender. Esto puede variar desde simples listas de amenazas hasta informes revisados ​​por pares.

Difusión

Luego, el producto terminado se distribuye a los consumidores previstos. Para que la inteligencia de amenazas sea procesable, debe llegar a las personas adecuadas en el momento adecuado.

También es necesario realizar un seguimiento para que haya continuidad entre un ciclo de inteligencia y el siguiente y no se pierda el aprendizaje. Utiliza sistemas de emisión de tickets que se integran con tus otros sistemas de seguridad para realizar un seguimiento de cada paso del ciclo de inteligencia: cada vez que surge una nueva solicitud de inteligencia, varias personas de diferentes equipos pueden enviar, redactar, revisar y completar los tickets, todo en uno.

Comentarios

El paso final es cuando el ciclo de inteligencia completa el círculo, lo que lo relaciona estrechamente con la fase inicial de planificación y dirección. Después de recibir el producto de inteligencia terminado, quien hizo la solicitud inicial lo revisa y determina si sus preguntas fueron respondidas.

Esto impulsa los objetivos y procedimientos del próximo ciclo de inteligencia, lo que nuevamente hace que la documentación y la continuidad sean esenciales.

Tipos de inteligencia sobre amenazas

Como lo demuestra el ciclo de vida de la inteligencia de amenazas, el producto final se verá diferente según los requisitos de inteligencia iniciales, las fuentes de información y la audiencia prevista. Puede resultar útil dividir la inteligencia sobre amenazas en algunas categorías según estos criterios.

La inteligencia de amenazas a menudo se divide en tres subcategorías:

  • Estratégica: las tendencias más amplias suelen estar destinadas a un público no técnico.
  • Táctica: descripciones de las tácticas, técnicas y procedimientos de los actores de amenazas para una audiencia más técnica.
  • Operativa: detalles técnicos sobre ataques y campañas específicos

Inteligencia de amenazas estratégicas

La inteligencia estratégica sobre amenazas proporciona una amplia descripción general del panorama de amenazas de una organización. Su objetivo es informar las decisiones de alto nivel tomadas por ejecutivos y otros tomadores de decisiones en una organización; como tal, el contenido es generalmente menos técnico y se presenta a través de informes o sesiones informativas.

Una buena inteligencia estratégica debe proporcionar información sobre áreas como los riesgos asociados con ciertas líneas de acción, patrones generales en las tácticas y objetivos de los actores de amenazas, y eventos y tendencias geopolíticas.

Las fuentes comunes de información para la inteligencia de amenazas estratégicas incluyen:

  • Documentos de políticas de estados-nación u organizaciones no gubernamentales
  • Noticias de los medios de comunicación locales y nacionales, publicaciones de la industria y de temas específicos u otros expertos en la materia
  • Documentos técnicos, informes de investigación y otro contenido producido por organizaciones de seguridad

La producción de una sólida inteligencia estratégica sobre amenazas comienza con la formulación de preguntas específicas y enfocadas para establecer los requisitos de inteligencia. También se necesitan analistas con experiencia más allá de las habilidades típicas de ciberseguridad, en particular, una sólida comprensión de los conceptos sociopolíticos y comerciales.

Aunque el producto final no es técnico, la producción de inteligencia estratégica eficaz requiere una investigación profunda a través de grandes volúmenes de datos, a menudo en varios idiomas. Eso puede hacer que la recopilación y el procesamiento inicial de datos sea demasiado difícil de realizar manualmente, incluso para aquellos analistas enrarecidos que poseen las habilidades lingüísticas, la experiencia técnica y el oficio adecuados.

Una solución de inteligencia de amenazas que automatiza la recopilación y el procesamiento de datos ayuda a reducir esta carga y permite que los analistas que no tienen tanta experiencia trabajen de manera más efectiva.

Inteligencia táctica sobre amenazas

La inteligencia de amenazas táctica describe las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas. Debería ayudar a los defensores a comprender, en términos específicos, cómo su organización podría ser atacada y las mejores formas de defenderse o mitigar esos ataques. Por lo general, incluye contexto técnico y lo utiliza el personal directamente involucrado en la defensa de una organización, como arquitectos de sistemas, administradores y personal de seguridad.

Los informes producidos por los proveedores de seguridad suelen ser la forma más fácil de obtener inteligencia táctica sobre amenazas. Busca información en los informes sobre los vectores de ataque, las herramientas y la infraestructura que utilizan los atacantes, incluidos los detalles sobre las vulnerabilidades que están siendo atacadas y los exploits que aprovechan los atacantes, así como las estrategias y herramientas que pueden estar usando para evitar o retrasar la detección.

La inteligencia táctica sobre amenazas debe usarse para informar las mejoras a los controles y procesos de seguridad existentes y acelerar la respuesta a incidentes.

Porque muchas de las preguntas que responde la inteligencia táctica son exclusivas de tu organización y deben responderse en un plazo breve, por ejemplo, «¿Los agentes de amenazas que se dirigen a mi industria están explotando esta vulnerabilidad crítica en mis sistemas?» Tener una solución de inteligencia de amenazas que integre datos desde tu propia red es crucial.

Inteligencia operativa sobre amenazas

La inteligencia operativa es el conocimiento sobre ciberataques, eventos o campañas. Brinda información especializada que ayuda a los equipos de respuesta a incidentes a comprender la naturaleza, la intención y el momento de los ataques específicos.

Debido a que esto generalmente incluye información técnica, información como qué vector de ataque se está utilizando, qué vulnerabilidades se están explotando o qué dominios de comando y control se están empleando, este tipo de inteligencia también se conoce como inteligencia técnica sobre amenazas. Una fuente común de información técnica son las fuentes de datos de amenazas, que generalmente se enfocan en un solo tipo de indicador, como hashes de malware o dominios sospechosos.

Pero si se piensa estrictamente que la inteligencia técnica sobre amenazas deriva de información técnica, como las fuentes de datos de amenazas, entonces la inteligencia técnica y operativa sobre amenazas no son totalmente sinónimos, más como un diagrama de Venn con grandes superposiciones. Otras fuentes de información sobre ataques específicos pueden provenir de fuentes cerradas como la interceptación de comunicaciones de grupos de amenazas, ya sea mediante infiltración o irrumpiendo en esos canales de comunicación.

En consecuencia, existen algunas barreras para recopilar este tipo de inteligencia:

  • Acceso: los grupos de amenazas pueden comunicarse a través de canales privados y cifrados, o requerir alguna prueba de identificación. También existen barreras de idioma con grupos de amenazas ubicados en países extranjeros.
  • Ruido: puede ser difícil o imposible recopilar manualmente buena inteligencia de fuentes de gran volumen como salas de chat y redes sociales.
  • Ofuscación: para evitar la detección, los grupos de amenazas pueden emplear tácticas de ofuscación, como el uso de nombres en clave.

Las soluciones de inteligencia de amenazas que se basan en procesos de aprendizaje automático para la recopilación de datos automatizados a gran escala pueden superar muchos de estos problemas al intentar desarrollar una inteligencia de amenazas operativa eficaz.

Una solución que utilice el procesamiento del lenguaje natural, por ejemplo, podrá recopilar información de fuentes en idiomas extranjeros sin necesidad de conocimientos humanos para descifrarla.

Aprendizaje automático para una mejor inteligencia sobre amenazas

El procesamiento de datos se lleva a cabo en la actualidad a una escala que requiere que la automatización sea integral. Combina puntos de datos de muchos tipos diferentes de fuentes, incluidas fuentes abiertas, de la web oscura y técnicas, para formar la imagen más sólida posible.

Pueden utilizarse técnicas de aprendizaje automático de cuatro formas para mejorar la recopilación y agregación de datos: estructurar los datos en categorías, analizar texto en varios idiomas, proporcionar puntuaciones de riesgo y generar modelos predictivos.

1. Estructurar los datos en entidades y eventos

La ontología tiene que ver con cómo dividimos los conceptos y cómo los agrupamos. En la ciencia de datos, las ontologías representan categorías de entidades en función de sus nombres, propiedades y relaciones entre sí, lo que facilita su clasificación en jerarquías de conjuntos. Por ejemplo, Boston, Londres y Gotemburgo son entidades distintas que también se incluirán en la entidad de «ciudad» más amplia.

Si las entidades representan una forma de clasificar conceptos físicamente distintos, los eventos clasifican conceptos a lo largo del tiempo.

Las ontologías y los eventos permiten búsquedas potentes sobre categorías, lo que permite a los analistas centrarse en el panorama general en lugar de tener que ordenar manualmente los datos por sí mismos.

2. Estructurar texto en varios idiomas mediante el procesamiento del lenguaje natural

Con el procesamiento del lenguaje natural, las entidades y los eventos pueden ir más allá de las meras palabras clave, convirtiendo el texto no estructurado de fuentes en diferentes idiomas en una base de datos estructurada.

El aprendizaje automático que impulsa este proceso puede separar la publicidad del contenido principal, clasificar el texto en categorías como prosa, registros de datos o código, y eliminar la ambigüedad entre entidades con el mismo nombre (como «Apple» la empresa y «manzana» la fruta) utilizando pistas contextuales en el texto circundante.

De esta manera, el sistema puede analizar el texto de millones de documentos diariamente en siete idiomas diferentes, una tarea que requeriría un equipo de analistas humanos increíblemente grande y capacitado.

3. Clasificar eventos y entidades, ayudando a los analistas humanos a priorizar las alertas

El aprendizaje automático y la metodología estadística se utilizan para clasificar entidades y eventos por importancia, por ejemplo, asignando puntuaciones de riesgo a entidades maliciosas.

Las puntuaciones de riesgo se calculan a través de dos sistemas: uno impulsado por reglas basadas en la intuición y la experiencia humanas, y el otro impulsado por el aprendizaje automático entrenado en un conjunto de datos ya examinado.

Los clasificadores como las puntuaciones de riesgo proporcionan tanto un juicio («este evento es crítico») como un contexto que explica la puntuación («porque varias fuentes confirman que esta dirección IP es maliciosa»).

Automatizar cómo se clasifican los riesgos ahorra tiempo a los analistas para clasificar los falsos positivos y decidir qué priorizar, lo que ayuda al personal de seguridad de TI a dedicar un 34% menos de tiempo a compilar informes.

4. Para pronosticar eventos y propiedades de entidades a través de modelos predictivos

El aprendizaje automático también puede generar modelos que predicen el futuro, a menudo con mucha más precisión que cualquier analista humano, basándose en los fondos profundos de datos previamente extraídos y categorizados.

Esta es una aplicación de aprendizaje automático de la “ley de los grandes números” particularmente sólida: a medida que sigamos recurriendo a más fuentes de datos, estos modelos predictivos se volverán cada vez más precisos.

Casos de uso de Threat Intelligence

Los diversos casos de uso de la inteligencia sobre amenazas la convierten en un recurso esencial para los equipos multifuncionales en cualquier organización. Si bien es quizás el más valioso de inmediato cuando te ayuda a prevenir un ataque, la inteligencia de amenazas también es una parte útil del triaje, el análisis de riesgos, la administración de vulnerabilidades y la toma de decisiones de amplio alcance.

Respuesta al incidente

Los analistas de seguridad a cargo de la respuesta a incidentes informan algunos de los niveles más altos de estrés en la industria, y no es de extrañar por qué: la tasa de incidentes cibernéticos ha aumentado constantemente durante las últimas dos décadas, y una alta proporción de alertas diarias resultan falsos positivos.

Cuando se trata de incidentes reales, los analistas a menudo deben dedicar tiempo a clasificar minuciosamente los datos manualmente para evaluar el problema.

La inteligencia de amenazas reduce la presión de múltiples formas:

  • Identifica y descarta automáticamente falsos positivos
  • Enriquecimiento de alertas con contexto en tiempo real, como puntuaciones de riesgo personalizadas
  • Comparación de información de fuentes internas y externas

Los futuros usuarios registrados identifican los riesgos 10 veces más rápido de lo que lo hacían antes de integrar la inteligencia sobre amenazas en sus soluciones de seguridad, lo que les da más días en promedio para responder a las amenazas en una industria en la que incluso los segundos pueden ser importantes.

Operaciones de seguridad

La mayoría de los equipos de los centros de operaciones de seguridad (SOC) deben lidiar con grandes volúmenes de alertas generadas por las redes que monitorizan. La clasificación de estas alertas lleva demasiado tiempo y muchas nunca se investigan.

La “fatiga de las alertas” lleva a los analistas a tomar las alertas con menos seriedad de lo que deberían. La inteligencia de amenazas resuelve muchos de estos problemas, lo que ayuda a recopilar información sobre amenazas de manera más rápida y precisa, filtrar falsas alarmas, acelerar la clasificación y simplificar el análisis de incidentes. Con él, los analistas pueden dejar de perder tiempo buscando alertas basadas en:

  • Acciones que tienen más probabilidades de ser inocuas en lugar de maliciosas
  • Ataques que no son relevantes para esa empresa
  • Ataques para los que ya existen defensas y controles

Además de acelerar la clasificación, la inteligencia de amenazas puede ayudar a los equipos de SOC a simplificar el análisis y la contención de incidentes. Los futuros usuarios registrados resuelven las amenazas un 63 por ciento más rápido, reduciendo las horas críticas que dedican a la reparación a más de la mitad.

Gestión de vulnerabilidades

La gestión eficaz de las vulnerabilidades significa pasar de adoptar un enfoque de “parchear todo, todo el tiempo”, uno que nadie puede lograr de manera realista, a priorizar las vulnerabilidades en función del riesgo real.

Aunque la cantidad de vulnerabilidades y amenazas ha aumentado cada año, la investigación muestra que la mayoría de las amenazas apuntan a la misma pequeña proporción de vulnerabilidades. Los actores de amenazas también son más rápidos: ahora solo toma quince días en promedio entre el anuncio de una nueva vulnerabilidad y la aparición de un exploit dirigido a ella.

Esto tiene dos implicaciones:

  • Tienes dos semanas para parchear o reparar sus sistemas contra un nuevo exploit. Si no puedes parchear en ese período de tiempo, ten un plan para mitigar el daño.
  • Si una nueva vulnerabilidad no se explota en un plazo de dos semanas a tres meses, es poco probable que lo sea; parchearla puede tener una prioridad menor.

La inteligencia de amenazas te ayuda a identificar las vulnerabilidades que representan un riesgo real para tu organización, yendo más allá de la puntuación CVE al combinar datos internos de escaneo de vulnerabilidades, datos externos y contexto adicional sobre los TTP de los actores de amenazas.

Análisis de riesgo

El modelado de riesgos puede ser una forma útil para que las organizaciones establezcan prioridades de inversión. Pero muchos modelos de riesgo adolecen de resultados vagos y no cuantificados que se compilan apresuradamente, basados ​​en información parcial, basados ​​en suposiciones infundadas, o sobre los que es difícil actuar.

La inteligencia de amenazas proporciona un contexto que ayuda a los modelos de riesgo a realizar mediciones de riesgo definidas y a ser más transparentes sobre sus supuestos, variables y resultados. Puede ayudar a responder preguntas como:

  • ¿Qué actores de amenazas están utilizando este ataque y se dirigen a nuestra industria?
  • ¿Con qué frecuencia empresas como la nuestra han observado recientemente este ataque específico?
  • ¿La tendencia es hacia arriba o hacia abajo?
  • ¿Qué vulnerabilidades explota este ataque? ¿Están presentes esas vulnerabilidades en nuestra empresa?
  • ¿Qué tipo de daño, técnico y financiero, ha causado este ataque en empresas como la nuestra?

Hacer las preguntas correctas es una de las formas en que los usuarios ven una reducción del 86 por ciento en el tiempo de inactividad no planificado, una gran diferencia cuando incluso un minuto de tiempo de inactividad puede costar a algunas organizaciones hasta $ 9,000 en pérdida de productividad y otros daños.

Prevención del fraude

Para mantener tu organización segura, no es suficiente solo detectar y responder a las amenazas que ya explotan tus sistemas. También debes evitar usos fraudulentos de tus datos o marca.

La inteligencia de amenazas recopilada de comunidades criminales clandestinas proporciona una ventana a las motivaciones, métodos y tácticas de los actores de amenazas, especialmente cuando esta inteligencia se correlaciona con información de la web superficial, incluidos los indicadores y las fuentes técnicas.

Utiliza inteligencia de amenazas para prevenir:

  • Fraude de pago: la monitorización de fuentes como comunidades delictivas, sitios de pegado y otros foros para obtener números de tarjetas de pago relevantes, números de identificación bancaria o referencias específicas a instituciones financieras puede proporcionar una advertencia temprana de los próximos ataques que podrían afectar a tu organización.
  • Datos comprometidos: los ciberdelincuentes cargan regularmente cachés masivos de nombres de usuario y contraseñas para pegar sitios y la web oscura, o ponerlos a la venta en mercados clandestinos. Supervisa estas fuentes con inteligencia de amenazas para estar atento a credenciales, datos corporativos o códigos de propiedad filtrados.
  • Typosquatting: recibe alertas en tiempo real sobre dominios de phishing y typosquatting registrados recientemente para evitar que los ciberdelincuentes se hagan pasar por tu marca y defrauden a usuarios desprevenidos.

Al evitar más infracciones con inteligencia de amenazas, los usuarios pueden ahorrar más de $ 1 millón por posible infracción mediante multas perjudiciales, sanciones y pérdida de la confianza del consumidor.

Liderazgo en seguridad

Los CISO y otros líderes de seguridad deben gestionar el riesgo equilibrando los recursos limitados disponibles con la necesidad de proteger a sus organizaciones de las amenazas en constante evolución. La inteligencia de amenazas puede ayudar a mapear el panorama de amenazas, calcular el riesgo y brindar al personal de seguridad la inteligencia y el contexto para tomar decisiones mejores y más rápidas.

Hoy, los líderes de seguridad deben:

  • Evaluar los riesgos comerciales y técnicos, incluidas las amenazas emergentes y las «incógnitas conocidas» que podrían afectar al negocio.
  • Identificar las estrategias y tecnologías adecuadas para mitigar los riesgos.
  • Comunicar la naturaleza de los riesgos a la alta dirección y justificar las inversiones en medidas defensivas.

La inteligencia de amenazas puede ser un recurso crítico para todas estas actividades, proporcionando información sobre tendencias generales, tales como:

  • Qué tipos de ataques son cada vez más (o menos) frecuentes
  • Qué tipos de ataques son más costosos para las víctimas
  • Nuevos tipos de actores de amenazas se están presentando y los activos y empresas a los que se dirigen

Las prácticas y tecnologías de seguridad que han demostrado ser más (o menos) exitosas para detener o mitigar estos ataques.

También puede permitir que los grupos de seguridad evalúen si es probable que una amenaza emergente afecte a tu empresa específica en función de factores como:

  • Industria: ¿la amenaza está afectando a otras empresas de nuestra vertical?
  • Tecnología: ¿La amenaza implica comprometer software, hardware u otras tecnologías utilizadas en nuestra empresa?
  • Geografía: ¿La amenaza apunta a instalaciones en regiones donde tenemos operaciones?
  • Método de ataque: ¿se han utilizado con éxito los métodos utilizados en el ataque, incluida la ingeniería social y los métodos técnicos, contra nuestra empresa o empresas similares?

Con este tipo de inteligencia, recopilada de un amplio conjunto de fuentes de datos externas, los responsables de la toma de decisiones de seguridad obtienen una visión holística del panorama del riesgo cibernético y los mayores riesgos para su empresa.

Áreas en que la inteligencia sobre amenazas ayuda a tomar decisiones

Aquí hay cuatro áreas clave en las que la inteligencia sobre amenazas ayuda a los líderes de seguridad a tomar decisiones:

  • Mitigación: la inteligencia de amenazas ayuda a los líderes de seguridad a priorizar las vulnerabilidades y debilidades a las que es más probable que se dirijan los actores de amenazas, brindando un contexto sobre los TTP que utilizan esos actores de amenazas y, por lo tanto, las debilidades que tienden a explotar.
  • Comunicación: los CISO a menudo se enfrentan a la necesidad de describir las amenazas y justificar las contramedidas en términos que motiven a los líderes empresariales no técnicos, como el coste, el impacto en los clientes y las nuevas tecnologías. La inteligencia de amenazas proporciona municiones poderosas para estas discusiones, como el impacto de ataques similares en empresas del mismo tamaño en otras industrias o tendencias e inteligencia de la web oscura que indican que es probable que la empresa sea el objetivo.
  • Apoyar a los líderes: la inteligencia de amenazas puede proporcionar a los líderes de seguridad una imagen en tiempo real de las últimas amenazas, tendencias y eventos, ayudando a los líderes de seguridad a responder a una amenaza o comunicar el impacto potencial de un nuevo tipo de amenaza a los líderes empresariales y miembros de la junta en una de manera oportuna y eficiente.
  • La brecha de habilidades de seguridad: los CISO deben asegurarse de que la organización de TI tenga los recursos humanos para llevar a cabo su misión. Pero la escasez de habilidades en ciberseguridad significa que el personal de seguridad existente suele hacer frente a cargas de trabajo inmanejables. La inteligencia de amenazas automatiza algunas de las tareas más laboriosas, recopilando datos rápidamente y correlacionando el contexto de múltiples fuentes de inteligencia, priorizando los riesgos y reduciendo las alertas innecesarias. La poderosa inteligencia sobre amenazas también ayuda al personal subalterno a mejorar rápidamente sus habilidades y desempeñarse por encima de su nivel de experiencia.

Reducir riesgos de terceros

Innumerables organizaciones están transformando la forma en que hacen negocios a través de procesos digitales. Están moviendo datos de las redes internas a la nube y recopilando más información que nunca.

Hacer que los datos sean más fáciles de recopilar, almacenar y analizar ciertamente está mejorando muchas industrias, pero este flujo libre de información tiene un precio. Significa que para evaluar el riesgo de nuestra propia organización, también debemos considerar la seguridad de nuestros socios, proveedores y otros terceros.

Desafortunadamente, muchas de las prácticas de administración de riesgos de terceros más comunes que se emplean en la actualidad están rezagadas con respecto a los requisitos de seguridad. Las evaluaciones estáticas de riesgo, como las auditorías financieras y las verificaciones de certificados de seguridad, siguen siendo importantes, pero a menudo carecen de contexto y no siempre son oportunas. Existe la necesidad de una solución que ofrezca un contexto en tiempo real sobre el panorama de amenazas real.

La inteligencia de amenazas es una forma de hacerlo. Puede proporcionar transparencia en los entornos de amenazas de los terceros con los que trabajas, proporcionando alertas en tiempo real sobre amenazas y cambios en sus riesgos y brindándote el contexto que necesitas para evaluar tus relaciones.