Actualmente se ha convertido en un cliché decir que la tecnología está en auge, que está evolucionando de manera exponencial y que se encuentra en todos lados, esta es ya la realidad en la que venimos viviendo desde hace años, en la cual existen innumerables posibilidades de utilizar la tecnología a nuestra total conveniencia, siempre y cuando se utilice de manera adecuada.
La tecnología, al estar prácticamente en todos lados, es aprovechada también de manera ventajosa por actores que no tienen las mejores intenciones y tratan de dañar a terceros, aprovechando el anonimato que les otorga el cometer delitos cibernéticos, donde la mayoría de ellos no necesita de una presencia física para llevarse a cabo.
Como deportistas de alto nivel, los ciberdelincuentes mejoran cada día sus habilidades para cometer este tipo de crímenes, lo cual complica una estrategia de defensa para las organizaciones y todas las entidades vulnerables que están expuestas a estas amenazas, donde se encuentran en total desventaja al no saber cómo actuarán los ciberdelincuentes, estando a la espera de cualquier anomalía en los sistemas organizacionales.
Este tipo de amenazas llevan dándose por mucho tiempo, cada vez más sofisticadas y difíciles de identificar, por eso mismo se crea el concepto de Cyber Threat Intelligence (CTI), el cuál el Centro para la Seguridad de la Internet (CIS por sus siglas en inglés) lo define de la siguiente manera:
“La inteligencia de amenazas cibernéticas es en lo que se convierte la información de amenazas cibernéticas una vez que se han recopilado, evaluado en el contexto de su fuente y confiabilidad, y analizado a través de técnicas comerciales rigurosas y estructuradas por parte de personas con experiencia sustancial y acceso a información de todas las fuentes, todo ello para reducir la incertidumbre para el consumidor, al mismo tiempo que lo ayuda a identificar amenazas y oportunidades, similitudes y diferencias en grandes cantidades de información y detectar engaños para producir inteligencia precisa, oportuna y relevante”.
Al estar en desventaja con los ciberdelincuentes, es importante tener técnicas para conocer el comportamiento de los adversarios, patrones e indicadores que puedan ayudar a identificar ataques incluso antes que se lleven a cabo.
¿Qué aporta CTI a la ciberseguridad?
En el mundo de la ciberseguridad, los ciberdelincuentes y sus defensores intentan constantemente superarse. Los datos sobre el próximo movimiento de un actor de amenazas son cruciales para adaptar defensas y prevenir futuros ataques.
Según datos de Crowdstrike, las organizaciones reconocen cada vez más el valor de la CTI, donde un 72% planean aumentar el gasto en inteligencia de amenazas en los próximos trimestres.
La mayoría de las organizaciones se centran solo en los casos de uso más básicos, como la integración de fuentes de datos, IPS y/o firewalls, complementando con la utilización de algún SIEM, potenciando con este último la generación de correlaciones de datos que arrojan alertamientos, reportes y/o dashboards con la información que se tiene, pero sin aprovechar al máximo los conocimientos que la inteligencia puede ofrecer, perdiendo ventajas reales que podrían fortalecer significativamente las posturas de seguridad.
CTI es importante en el proceso de la ciberseguridad, ya que aporta lo siguiente:
- Arroja información sobre las amenazas emergentes conocidas y las que no, lo que permite a los equipos de seguridad realizar mejores acciones de respuesta.
- Revela los motivos de los adversarios y sus tácticas, técnicas y procedimientos (TTP).
- Ayuda a conocer el comportamiento de los ciberdelincuentes.
- Ayuda a comprender mejor las amenazas y los eventos que pueden llegar a enfrentar, haciéndolos más eficiente en la toma decisiones más informadas, las vulnerabilidades que presenta y el impacto en el negocio que conllevan.
¿Cómo se implementa?
Se necesita una serie de pasos para implementar un ciclo de vida de CTI en una organización, que son los siguientes:
1. Requisitos
La etapa de requisitos es crucial para el ciclo de vida de la inteligencia de amenazas porque establece la hoja de ruta para una operación de inteligencia de amenazas específica. Durante esta etapa de planificación, el equipo acordará los objetivos y la metodología de su programa de inteligencia en función de las necesidades de las partes involucradas. El equipo puede proponerse descubrir:
- Quiénes son los atacantes y sus motivaciones
- Cuál es la superficie de ataque.
- Qué acciones específicas se deben tomar para fortalecer sus defensas contra un ataque futuro.
2. Colección
Una vez que se definen los requisitos, se recopilará la información necesaria para satisfacer esos objetivos. Dependiendo de los objetivos, se buscarán registros de tráfico, fuentes de datos disponibles públicamente, foros relevantes, redes sociales y expertos en la industria o en la materia.
3. Procesamiento
Una vez recopilados los datos, deberán procesarse en un formato adecuado para el análisis. La mayoría de las veces esto implica organizar puntos de datos en hojas de cálculo, descifrar archivos, traducir información de fuentes extranjeras y evaluar la relevancia y confiabilidad de los datos.
4. Producir Inteligencia
Una vez que se ha procesado el conjunto de datos, el equipo debe realizar un análisis exhaustivo para encontrar respuestas a las preguntas planteadas en la fase de requisitos. Durante la fase de análisis, el equipo también trabaja para descifrar el conjunto de datos en elementos de acción y recomendaciones valiosas para las partes interesadas.
Imagen del Information Security Forum. Los pasos del ciclo de CTI y su propósito.
5. Difusión
La fase de difusión requiere que el equipo de inteligencia de amenazas traduzca su análisis a un formato digerible y presente los resultados a las partes interesadas. La forma en que se presenta el análisis depende de la audiencia. En la mayoría de los casos, las recomendaciones deben presentarse de manera concisa, sin jerga técnica confusa, ya sea en un informe de una página o en una breve presentación de diapositivas.
6. Tomar decisiones
En esta etapa es donde se incorpora la inteligencia de amenazas en la toma de decisiones. Cuando la CTI se combina con acciones reales, marca un punto donde el valor de la inteligencia de amenazas se vuelve real. Una vez evaluada la CTI, se debe decidir sí y cómo responder a un ataque.
7. Acciones
La CTI debe conducir a llevar a cabo acciones respecto a los resultados obtenidos, de lo contrario se convierte en información ociosa. Este último paso no es más que llevar a cabo las decisiones tomadas en el paso anterior. Las acciones requeridas variarán según la naturaleza de los ataques y las decisiones tomadas.
¿Quiénes participan en la CTI?
La CTI beneficia a las organizaciones de todas las formas y tamaños al ayudar a procesar los datos de amenazas para comprender mejor a sus atacantes, responder más rápido a los incidentes y adelantarse de manera proactiva al próximo movimiento de un ciberdelincuente. Para las PYMES, estos datos les ayudan a lograr un nivel de protección que de otro modo estaría fuera de su alcance. Por otro lado, las empresas con grandes equipos de seguridad pueden reducir el costo y las habilidades requeridas al aprovechar la inteligencia de amenazas externas y hacer que sus analistas sean más efectivos.
De arriba a abajo, la inteligencia de amenazas ofrece ventajas únicas a cada miembro de un equipo de seguridad, que incluyen:
- Analista de seguridad/TI
- SOC
- CSIRT
- Analista Intel
- Dirección Ejecutiva
Así es cómo puede beneficiar a cada puesto y los casos de uso específicos que se aplican a cada uno:
Función |
Beneficios |
Analista de seguridad/TI |
Optimice las capacidades de prevención y detección y refuerce las defensas |
SOC |
Priorizar los incidentes en función del riesgo y el impacto en la organización |
CSIRT |
Acelere las investigaciones, la gestión y la priorización de incidentes |
Analista Intel |
Descubrir y rastrear a los actores de amenazas que apuntan a la organización |
Dirección Ejecutiva |
Comprender los riesgos a los que se enfrenta la organización y cuáles son las opciones para abordar su impacto |
¿Qué diferencia hay entre una TIP y un Feed de Inteligencia?
Las Plataformas de Inteligencia de Amenazas o Threat Intelligence Platforms (TIP) son herramientas de seguridad críticas que utilizan datos de seguridad global para ayudar a identificar, mitigar y remediar de manera proactiva las amenazas de seguridad. Todos los días surgen amenazas nuevas y en continua evolución. Si bien los analistas de seguridad saben que la clave para mantenerse a la vanguardia de estas amenazas es analizar los datos sobre ellas, el problema que surge es cómo recopilar de manera eficiente grandes volúmenes de datos y, en consecuencia, obtener información procesable para frustrar de manera proactiva futuros ataques.
Las TIP agregan inteligencia de seguridad de proveedores, analistas y otras fuentes acreditadas sobre amenazas y actividades sospechosas detectadas en todo el mundo a través de estas plataformas. Estos datos pueden venir en forma de direcciones IP maliciosas, dominios, hash de archivos y más. Las TIP luego convierten estos análisis avanzados en inteligencia procesable para detectar actividad maliciosa dentro de su red. Estas fuentes a menudo se integran en otros productos de seguridad, como EDR, SIEM y firewalls de última generación.
En cambio, las fuentes de inteligencia de amenazas son flujos de datos continuos llenos de información de amenazas recopilada por inteligencia artificial. Estos feeds brindan información sobre amenazas y tendencias de seguridad cibernética en tiempo real, lo que permite a las organizaciones defenderse de manera proactiva contra los ataques. Los equipos de seguridad también pueden usar esta información para comprender mejor las tácticas, técnicas y procedimientos de los piratas informáticos potenciales y mejorar su postura de seguridad en consecuencia.
Existe una multitud de fuentes de inteligencia de amenazas de código abierto, incluidas las siguientes:
- Intercambio de Indicadores Automatizados (AIS) de la Agencia de Seguridad de Infraestructura y Ciberseguridad
- El InfraGard del FBI
- Centro de tormentas de Internet SANS
- Navegación segura de Google
La integración de estas fuentes en una plataforma de seguridad también hace posible aprovechar la inteligencia de amenazas y convertirla en información procesable.
Para tomar decisiones inteligentes relacionadas con la seguridad, las organizaciones deben tener una inteligencia de amenazas adecuada. Eso comienza con el uso de indicadores técnicos y madura al desarrollar una comprensión de quién está atacando, cómo están atacando y por qué. Culmina con la implementación de decisiones de seguridad guiadas por la inteligencia estratégica. Obtener el nivel adecuado de inteligencia y usarlo de manera efectiva puede optimizar en gran medida las capacidades de prevención, acortar el tiempo de detección de amenazas, acelerar incidentes, responder y ayudar a los equipos a tomar mejores decisiones de seguridad.
Por: Edgar Daniel Sánchez Rangel