Construir la defensa definitiva requiere una dieta equilibrada de inteligencia de amenazas
Del mismo modo que ningún atleta de élite consideraría una dieta de entrenamiento que consistiera solo en pan, ningún equipo de seguridad de primer nivel debería confiar en una fuente solitaria de inteligencia sobre amenazas.


Como dice el refrán: «La gente no puede vivir solo de pan». Lo mismo ocurre con los centros de operaciones de seguridad (SOC). Una defensa verdaderamente eficaz requiere la visibilidad de varios flujos de inteligencia, cada uno de los cuales desempeña un papel único a la hora de crear una imagen completa del entorno de amenazas de su organización.
Una dieta completa: explicación de las opciones de inteligencia
Esta es una descripción general de los principales «grupos alimenticios» de inteligencia sobre amenazas:
Inteligencia de código abierto (OSINT)
OSINT es la base de cualquier estrategia de inteligencia de amenazas, ya que ofrece una amplia cobertura e información de fuentes públicas y comunitarias.
- Valor: El uso por parte de OSINT de fuentes de datos disponibles públicamente permite a las organizaciones recopilar información sin acceso especializado ni sistemas costosos, al tiempo que adapta fácilmente sus métodos de recopilación en función de sus objetivos. Este enfoque democratizado permite una verificación rápida mediante la referencia cruzada de múltiples fuentes, se escala de manera rentable y evoluciona naturalmente junto con las nuevas tecnologías y fuentes de datos.
- Capacidades: OSINT ofrece una amplia cobertura con datos de amenazas disponibles al público e información impulsada por la comunidad de fuentes como Malware Information Sharing Project (MISP), SANS Internet Storm Center (ISC), Cybersecurity and Infrastructure Security Agency (CISA), OpenPhish y muchas otras.
- Limitaciones: El OSINT suele ser reactivo en lugar de proactivo y puede implicar riesgos de cumplimiento.
- Desafíos: La integración de OSINT a menudo requiere un trabajo manual y un ajuste importantes. Rara vez detecta los ataques dirigidos antes de su divulgación pública.
¿El resultado final? Si bien es esencial, el OSINT puede dejar lagunas de inteligencia, debido a su naturaleza en constante cambio. Es el arroz blanco de la inteligencia sobre amenazas: una comida abundante y sabrosa, pero no completa.
Fuentes de investigación patentadas
Al aprovechar los laboratorios de amenazas dedicados, los canales de investigación patentados pueden descubrir patrones y campañas que pueden no estar visibles en las fuentes públicas. Estos canales tienden a ser más especializados. Algunos proveedores premium (consulta la sección «Fuentes de inteligencia premium» más adelante) también pueden ofrecer esta categoría de fuentes de inteligencia.
- Valor: Los feeds patentados ofrecen investigaciones originales de laboratorios especializados en amenazas.
- Capacidades: Estos feeds suelen ser excelentes para identificar patrones en varios puntos de datos y descubrir campañas de ataque coordinadas.
- Limitaciones: Los feeds patentados pueden estar limitados a regiones o sectores específicos y al ámbito del equipo de investigación que proporciona la inteligencia.
- Desafíos: Las organizaciones pueden tener dificultades para correlacionar eficazmente la investigación patentada con otros tipos de inteligencia.
En general, las fuentes de investigación patentadas tienen valor y pueden ser un elemento importante en una estrategia de seguridad. Son como las frutas y verduras de temporada de la inteligencia sobre amenazas.
Fuentes de inteligencia premium
Los feeds premium son fuentes de inteligencia de amenazas completas y de alta calidad que provienen de proveedores de alto nivel, así como de tecnologías de detección, como antivirus, firewalls, sistemas de detección de intrusos y sistemas de prevención de intrusos. Pueden incluir una combinación de investigaciones propias junto con datos de otras fuentes, a menudo con análisis y contexto adicionales. Los feeds premium permiten a las organizaciones ampliar sus capacidades de inteligencia sobre amenazas al disponer de fuentes seleccionadas que proporcionan un nivel de especialización y flexibilidad que puede cubrir las brechas críticas de inteligencia.
- Valor: Los feeds premium brindan una cobertura especializada a través de un ecosistema de socios seleccionado, que cubre brechas de inteligencia específicas.
- Capacidades: Proporcionan acceso a fuentes de datos únicas y permiten a las organizaciones ampliar la cobertura de inteligencia a medida que evolucionan las necesidades.
- Limitaciones: Los feeds premium pueden ser costosos y pueden requerir una integración cuidadosa para evitar la duplicación de esfuerzos entre las fuentes existentes.
- Desafíos: Es posible que los equipos de SOC deban priorizar los feeds premium a los que suscribirse en función de su panorama de amenazas específico y de los recursos disponibles.
Los piensos de primera calidad, la principal fuente de información sobre amenazas, proporcionan proteínas de alta calidad, pero pueden ser demasiado caros para comerlos todos los días de la semana.
Fuentes ISAC
Los centros de análisis e intercambio de información (ISAC) proporcionan inteligencia específica de la industria al fomentar la colaboración entre las organizaciones que enfrentan amenazas similares. Estos feeds ofrecen información relevante desde el punto de vista del contexto para mejorar las defensas específicas del sector.
- Valor: Los feeds de ISAC se centran en el intercambio de inteligencia específica de la industria y ofrecen información muy relevante adaptada a la región, el sector y otros factores.
- Capacidades: Ofrecen validación en el mundo real a través de la colaboración con organizaciones homólogas y pueden revelar tácticas, técnicas y procedimientos (TTP) específicos de cada sector.
- Limitaciones: Los feeds de ISAC pueden carecer de amplitud, ya que se centran exclusivamente en industrias o amenazas específicas.
- Desafíos: La participación en los ISAC puede requerir una coordinación y un compromiso significativos por parte de las organizaciones miembros para maximizar el valor.
Los alimentos de ISAC son alimentos básicos importantes, pero se centran en los nichos de mercado y en la comunidad, algo así como la comida de temporada de su vecindario.
El poder de la integración
Una vez que haya reunido los ingredientes de inteligencia de amenazas, el siguiente desafío es convertirlos en una comida cohesiva. Por ejemplo, un feed de OSINT puede detectar una campaña de suplantación de identidad, una investigación propia puede validar la amenaza con un contexto más profundo y un feed de ISAC puede añadir relevancia específica para el sector. En conjunto, estos feeds ayudan a los equipos del SOC a rastrear un ataque a lo largo de todo su ciclo de vida. La combinación de estas fuentes crea un panorama completo de las amenazas, lo que permite a su SOC detectar, validar y responder a las amenazas con mayor rapidez.
Para que esto funcione, su plataforma de inteligencia de amenazas debe:
- Correlacionar datos: Agregue la inteligencia de diversas fuentes en información procesable.
- Integre sin problemas: Trabaje con las herramientas existentes, como los SIEM, las plataformas SOAR y los EDR.
- Amplíe de forma eficaz: Admita fuentes adicionales a medida que surjan nuevas necesidades y amenazas.
Consideraciones sobre la implementación
La elección de la plataforma de inteligencia de amenazas adecuada no se basa solo en las funciones, sino también en la forma en que la plataforma se adapta a las necesidades de su organización. Esto es lo que debe buscar:
- Capacidades de integración: Asegúrese de que la plataforma se integre sin problemas con sus herramientas existentes, como la gestión de eventos e información de seguridad (SIEM), la orquestación y respuesta de seguridad (SOAR) y la detección y respuesta de puntos finales (EDR).
- Cumplimiento y seguridad: Las plataformas desarrolladas en regiones con estándares de cumplimiento estrictos, como los Estados Unidos, ayudan a minimizar el riesgo.
- Soporte y formación: Busque una plataforma con soporte integral, como gestores de éxito de clientes dedicados y recursos educativos.
- Escalabilidad: La plataforma debería permitirle escalar sin esfuerzo, añadiendo nuevos canales a medida que su organización crezca o las amenazas evolucionen.
Un análisis de costo-beneficio lo ayudará a evaluar el ROI de una plataforma al equilibrar el costo inicial de la implementación con los beneficios a largo plazo de la reducción de los tiempos de respuesta, la visibilidad acelerada de las amenazas y la mejora de la postura de seguridad general.
Anomali: inteligencia superior, integrada con el flujo de trabajo de seguridad
Al integrar análisis potentes, inteligencia artificial avanzada e inteligencia de amenazas sin igual en una plataforma unificada, Anomali ofrece lo que ninguna otra solución puede ofrecer: un sistema completo de extremo a extremo para detectar, analizar y responder a las amenazas. Ya sea que necesite correlacionar fuentes de datos dispares, automatizar tareas tediosas u obtener información más profunda sobre el comportamiento de los atacantes, Anomali ayuda a su equipo a anticiparse incluso a los adversarios más sofisticados.
Anomali ofrece:
- Inteligencia de amenazas líder en la industria: Anomali ThreatStream recopila y correlaciona datos de OSINT, fuentes de investigación patentadas, ISAC y fuentes de inteligencia de primera calidad para brindar una comprensión completa y práctica de las amenazas a sus cazadores de amenazas, investigadores de seguridad, analistas y equipos de TI.
- Copiloto impulsado por IA: El asistente impulsado por IA de Anomali mejora las capacidades de su SOC y ayuda a los equipos a trabajar de forma más rápida e inteligente. Su interfaz de PNL permite a los analistas de todos los niveles de habilidad hacer más sin tener que aprender lenguajes de consulta patentados.
- Plataforma unificada: Anomali es la única solución que combina extracción-transformación-carga (ETL), SIEM, SIEM de próxima generación, XDR, UBA, SOAR y TIP en una plataforma única y cohesiva. Esto garantiza que su SOC tenga la visibilidad, el análisis y la automatización necesarios para fortalecer las defensas y reducir los riesgos, todo en un solo lugar.
La plataforma de operaciones de TI y seguridad basada en inteligencia artificial de Anomali ofrece una velocidad, escala y rendimiento asombrosos a una fracción del costo de las soluciones de la competencia. Su enfoque nativo de la nube moderniza la entrega de sistemas antiguos para ofrecer análisis de seguridad que permitan a las organizaciones líderes detectar, investigar, responder y corregir las amenazas en una plataforma integrada.
¿Está listo para crear la mejor defensa para su organización? Programe una demostración.
Discover More About Anomali
Get the latest news about cybersecurity, threat intelligence, and Anomali's Security and IT Operations platform.
Propel your mission with amplified visibility, analytics, and AI.
Learn how Anomali can help you cost-effectively improve your security posture.
