Inteligencia de Amenazas : Lo que necesitas saber.


A Brief Overview of Threat Intelligence. (2018, 19 noviembre). FileCloudBlog. Recuperado 7 de junio de 2022, de https://www.filecloud.com/blog/2018/11/a-brief-overview-of-threat-intelligence/#.Yp95VijMJPY


¿Qué es Inteligencia de Amenazas?

La inteligencia de amenazas son datos que se recopilan, procesan y analizan para comprender los motivos, objetivos y comportamientos de ataque de un intruso. La inteligencia de amenazas nos permite tomar decisiones de seguridad más rápidas, más informadas y respaldadas por datos y cambiar su comportamiento de reactivo a proactivo en la lucha contra los intrusos.

En otras palabras, las plataformas de Inteligencia de Amenazas aprenden de otros ataques que han ocurrido y que han sido documentados mediante el uso de las fuentes de Inteligencia de Amenazas.


Los beneficios de la inteligencia de amenazas.

La inteligencia de amenazas beneficia a las organizaciones de todas las formas y tamaños al ayudar a procesar los datos de amenazas para comprender mejor a sus atacantes, responder más rápido a los incidentes y adelantarse de manera proactiva al próximo movimiento de un actor de amenazas. Para las PYMES, estos datos les ayudan a alcanzar un nivel de protección que de otro modo estaría fuera de su alcance. Por otro lado, las empresas con grandes equipos de seguridad pueden reducir el costo y las habilidades requeridas al aprovechar la inteligencia de amenazas externas y hacer que sus analistas sean más efectivos.

De arriba a abajo, la inteligencia de amenazas ofrece ventajas únicas a cada miembro de un equipo de seguridad, que incluyen:

  • Analista de Sec/IT

  • SOC

  • CSIRT

  • Analista intel

  • Dirección Ejecutiva


¿Cómo puede beneficiar a cada posición?ficios

Analista de Sec/IT Optimice las capacidades de prevención y detección y fortalezca las defensas

SOC Priorizar los incidentes en función del riesgo y el impacto en la organización

CSIRT Acelere las investigaciones, la gestión y la priorización de incidentes

Analista intel Descubrir y rastrear actores de amenazas dirigidos a la organización

Dirección Ejecutiva Comprender los riesgos que enfrenta la organización y cuáles son las opciones para abordar su impacto.


Plataformas de Inteligencia de Amenazas.

Una plataforma de inteligencia de amenazas (TIP) es una solución tecnológica que recopila, agrega y organiza datos de inteligencia de amenazas de múltiples fuentes y formatos. Un TIP proporciona a los equipos de seguridad información sobre malware conocido y otras amenazas, lo que impulsa la identificación, investigación y respuesta de amenazas eficientes y precisas.

Una plataforma de inteligencia de amenazas es:

  • Conectado a sistemas internos y fuentes de investigación de seguridad externas

  • Actualizado en tiempo real para reflejar los últimos eventos globales e internos

  • Integrado con sistemas de gestión de incidentes

A pesar de que hay un gran número de TIPs por ahí, los mejores basados en una lista de eSecurity Planet (https://www.esecurityplanet.com/products/threat-intelligence-platforms/) son:

  • IBM X-Force Exchange.

  • Anomali ThreatStream.

  • SolarWinds Security Event Manager.

  • Palo Alto Networks Cortex XSOAR TIM.

  • LogRhythm Threat Lifecycle Management (TLM) Platform.

  • Mandiant Threat Intelligence Suite.

  • LookingGlass Cyber Solutions.

  • ThreatConnect.

Las características clave en una plataforma de inteligencia de amenazas superior incluyen la consolidación de fuentes de inteligencia de amenazas de múltiples fuentes, identificación automatizada y contención de nuevos ataques, análisis de seguridad e integración con otras herramientas de seguridad como SIEM, Next-Gen Firewalls y EDR.


Al buscar un TIP, estas son las 5 características que necesita tener:


1. Alimentación de inteligencia dinámica (Dynamic Intelligence Feed)

El propósito principal de la inteligencia de amenazas es proporcionar información regular y actualizada sobre los ataques de ciberseguridad. La plataforma debe estar vinculada con los puntos finales de TI y los sistemas de seguridad para monitorear el panorama en busca de amenazas.


2. Flujos de trabajo automatizados (Automated WorkFlows)

Una plataforma de inteligencia de amenazas puede implementar la automatización en múltiples niveles. Puede obtener y actualizar automáticamente fuentes de información sin actualizaciones manuales ni generación de informes ad-hoc. Las plataformas de inteligencia de amenazas de próxima generación utilizan tecnologías cognitivas para filtrar el ruido y mostrar solo información de alta prioridad automáticamente.


3. Integración con el ecosistema de TI (Integration with the IT Ecosystem)

La plataforma de inteligencia de amenazas que elija debe admitir una integración perfecta con el resto de su infraestructura de TI. Idealmente, esta debería ser una integración bidireccional, lo que significa que sus sistemas de TI entregan datos de amenazas internas a la plataforma mientras que la plataforma transmite una fuente de datos en tiempo real a su centro de operaciones de seguridad. La mayoría de las plataformas incluyen interfaces de programación de aplicaciones (API) flexibles para conectarlas a prácticamente cualquier sistema de software.


4. Visualización inteligente de datos (Analysis Tool)

La visualización de datos está en el corazón de la inteligencia de amenazas. Los datos pueden ser útiles para los equipos de TI solo cuando se representan de una manera inteligente y fácil de consumir. La plataforma debe tener paneles que admitan el acceso basado en roles, el filtrado y la búsqueda de datos, la personalización del diseño, etc. Los datos de inteligencia de amenazas deben visualizarse a través de mapas, gráficos de tendencias, líneas de tiempo, tablas y gráficos, según sea necesario, para que pueda detectar fácilmente las correlaciones y realizar un análisis más profundo.

5. Herramientas de análisis (Smart Data Visualization)

Una característica que ahora es cada vez más popular al seleccionar plataformas de inteligencia de amenazas son las herramientas de análisis integradas. Si bien la plataforma se puede integrar con una herramienta de análisis externa utilizando API, puede ser útil incluir herramientas integradas para el análisis y la investigación de amenazas. Por ejemplo, las dimensiones de búsqueda prediseñadas podrían ayudarlo a navegar por la información densa contenida en la fuente de inteligencia de amenazas. Algunas plataformas también admiten el análisis colaborativo.


Feeds de Inteligencia de Amenazas.

Las fuentes de inteligencia de amenazas son flujos de datos continuos llenos de información de amenazas recopilada por inteligencia artificial. Estos feeds proporcionan información sobre amenazas y tendencias de ciberseguridad en tiempo real, lo que permite a las organizaciones defenderse proactivamente contra los ataques. El equipo de seguridad y las organizaciones también pueden usar esta información para comprender mejor las tácticas, técnicas y procedimientos de los posibles piratas informáticos para poder mejorar su postura y enfoque de seguridad en consecuencia.

Hay una gran cantidad de Feeds que trabajan con TIPs para aprender y ser mejores. No puedo mencionarlos todos, ya que tomaría mucho tiempo discutir cada uno, pero enumeraré 5 de los mejores feeds de código abierto a partir de hoy.


1. Departamento de Seguridad Nacional: Intercambio automatizado de indicadores

Las empresas privadas pueden reportar indicadores de amenazas cibernéticas con el DHS, que luego se distribuyen a través del sitio web de Intercambio Automatizado de Indicadores. Esta base de datos ayuda a reducir la efectividad de ataques simples al exponer direcciones IP maliciosas, remitentes de correo electrónico y más.


2. FBI: Portal InfraGard

El Portal InfraGard del FBI proporciona información relevante para 16 sectores de infraestructura crítica. Las organizaciones del sector público y privado pueden compartir información y eventos de seguridad, y el FBI también proporciona información sobre ataques cibernéticos y amenazas que están rastreando.


3. @abuse.ch: Rastreador de ransomware

Ransomware Tracker recopila datos relacionados con los ataques de ransomware para que los equipos de seguridad puedan verificar las direcciones IP y las URL contra aquellos que se sabe que están involucrados en los ataques. El rastreador proporciona información detallada sobre los servidores, sitios e infraestructura que han sido explotados por los actores de ransomware, así como recomendaciones para prevenir ataques.


4. SANS: Centro de tormentas de Internet

El Internet Storm Center, anteriormente conocido como Consensus Incidents Database, saltó a la fama en 2001, cuando fue responsable de la detección del gusano "León". Utiliza una red de sensores distribuidos que recibe más de 20 millones de entradas de registro de detección de intrusiones por día para generar alertas sobre amenazas de seguridad. El sitio también proporciona análisis, herramientas y foros para profesionales de la seguridad.


5. VirusTotal: VirusTotal

VirusTotal utiliza docenas de escáneres antivirus, servicios de listas negras y otras herramientas para analizar y extraer datos de archivos y URL enviados por los usuarios. El servicio se puede utilizar para verificar rápidamente incidentes como correos electrónicos sospechosos de phishing, y cada envío se conserva en su base de datos para crear una imagen global de las amenazas cibernéticas.


Basándonos en la información proporcionada anteriormente y cómo los ataques y cómo el atacante continúa mejorando y evitando las herramientas que antes, "irrompibles", nosotros en la industria de la seguridad necesitamos seguir pensando en el futuro y aprendiendo de los ataques. Si hay una lección que aprender en cualquier incidente de piratería en el pasado, es que, continuarán tratando y son implacables para dejar de tratar de acceder, y usar ataques pasados para aprender y mejorar cómo defender y no solo jugar a la defensa cuando ocurre una amenaza, sino ser capaces de reaccionar y, a veces, incluso prevenir el ataque es de lo que se trata Threat Intelligence.

Crear una base de datos que continúe aprendiendo de escenarios pasados para intentar adivinar y predecir el siguiente paso de un atacante.


Autor

Francisco Cosio

Ingeniero de Seguridad Senior



Fuentes:

https://www.esecurityplanet.com/products/threat-intelligence-platforms/

https://www.toolbox.com/it-security/vulnerability-management/articles/best-threat-intelligence-platforms/

https://www.trustradius.com/threat-intelligence-platforms

https://securityscorecard.com/blog/what-are-threat-intelligence-feeds#:~:text=Threat%20intelligence%20feeds%20are%20continuous,to%20proactively%20defend%20against%20attacks.

https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/

23 views0 comments

Recent Posts

See All