¿Qué es una plataforma de inteligencia contra amenazas (TIP)? | Anomali

¿Qué es una plataforma de inteligencia contra amenazas (TIP)?

Recopile, gestione e intercambie inteligencia contra amenazas

El objetivo de una plataforma de inteligencia contra amenazas

El panorama de la seguridad informática actual se caracteriza por algunos problemas comunes: volúmenes masivos de datos, falta de analistas y un mayor número de ataques adversos complejos. Las infraestructuras de seguridad actuales ofrecen muchas herramientas para gestionar esta información, pero poca integración entre ellas. Esto se traduce en un esfuerzo de ingeniería frustrante para gestionar los sistemas, y en una pérdida inevitable de tiempo y recursos que de por sí son limitados.

Para combatir estos problemas, muchas empresas eligen implementar una plataforma de inteligencia contra amenazas (TIP). Las plataformas de inteligencia contra amenazas pueden implementarse como un software como servicio (SaaS) o en una solución local para facilitar la administración de la inteligencia sobre amenazas informáticas y de las entidades asociadas como actores, campañas, incidentes, firmas, boletines y tácticas, técnicas y procedimientos (TTP). Una TIP se define por su capacidad para desempeñar cuatro funciones clave:

  1. Agregación de inteligencia de fuentes variadas.
  2. Preservación, regularización, enriquecimiento y calificación del riesgo de los datos.
  3. Integraciones con sistemas de seguridad existentes.
  4. Análisis e intercambio de inteligencia contra amenazas.
78%

afirma que la inteligencia contra amenazas es fundamental para adquirir una postura de seguridad sólida

70%

de las organizaciones afirman que están abrumadas por los datos de amenazas informáticas

Definición de una plataforma de inteligencia contra amenazas

Amenaza

El potencial de cualquier otra parte para acceder o interferir con las operaciones normales planificadas de una red de información. Las amenazas comunes de hoy en día incluyen:

  • APT (Amenazas persistentes avanzadas).
  • Phishing.
  • Malware.
  • Botnets.
  • DDOS (ataque de negación de servicios).
  • Ransomware.

Inteligencia

Conocimiento de una amenaza incorporado por un analista humano o identificado por eventos dentro de un sistema. Inteligencia es un término amplio, pero una TIP presenta a los analistas con clases específicas de inteligencia que se pueden automatizar, entre ellas:

  • Conocimiento técnico de ataques, incluidos los indicadores.
  • Inteligencia acabada: el resultado de personas que miran la información disponible y llegan a conclusiones sobre el estado de la situación, predicen resultados posibles o ataques futuros o valoran las capacidades de los adversarios.
  • Inteligencia humana: toda inteligencia recopilada por personas, como leer foros para supervisar actividades sospechosas.

Plataforma

Un producto empaquetado que se integra con las herramientas y los productos existentes, brindando un sistema de administración de inteligencia contra amenazas que automatiza y simplifica gran parte del trabajo que los analistas, tradicionalmente, realizaban por sí mismos.

Plataforma de inteligencia contra amenazas

¿Quién usa las TIP?

Una plataforma de inteligencia contra amenazas es útil para muchas partes dentro de una organización.

Los equipos del centro de operaciones de seguridad (SOC)

Estos equipos se centran en las tareas operativas diarias y en la respuesta a las amenazas a medida que ocurren. Una TIP proporciona automatización para actividades rutinarias como las integraciones, el enriquecimiento y la calificación.

Los equipos de inteligencia contra amenazas

Estos equipos realizan predicciones basadas en asociaciones e información contextual entre actores, campañas y más. Una TIP les proporciona una “biblioteca” de información que simplifica y agiliza este proceso.

Los equipos ejecutivos y de administración

Una TIP le proporciona a los equipos de administración una plataforma única mediante la cual se visualizan informes técnicos y de alto nivel. Esto les permite intercambiar y analizar datos de manera efectiva a medida que ocurren los incidentes.

Agregación de datos

Una plataforma de inteligencia contra amenazas recopila y reconcilia, en forma automática, datos de distintas fuentes y en varios formatos. Poder procesar información de una variedad de fuentes es un componente crítico para lograr una infraestructura de seguridad sólida. Los formatos y fuentes respaldadas incluyen:

Fuentes:

  • De código abierto.
  • De terceros, pagas.
  • Del gobierno.
  • De las comunidades de intercambio de confianza (ISAC).
  • Internas.

Formatos:

  • STIX y TAXII.
  • JSON y XML.
  • Correo electrónico.
  • .csv, .txt, PDF y documento de Word.
Agregación de inteligencia contra amenazas

Estandarización y enriquecimiento de datos

Recopilar datos de una gran variedad de fuentes implica organizar millones de indicadores por día; por lo tanto, resulta esencial procesar estos datos de manera efectiva. El procesamiento incluye varios pasos, pero se compone de tres elementos principales: estandarización, deduplicación y enriquecimiento de datos.

Estos son costosos de abordar en relación con el esfuerzo computacional, el tiempo de los analistas y los costos monetarios. Una plataforma de inteligencia contra amenazas automatiza estos procesos, liberando a los analistas para poder realizar su trabajo de análisis en vez de gestionar los datos recopilados.

  • Estandarización: La consolidación de los datos para todos los formatos de las distintas fuentes.
  • Deduplicación: La eliminación de la información duplicada.
  • Enriquecimiento: La eliminación de falsos positivos, la clasificación de los indicadores y el agregado de contexto.
Plataforma de inteligencia contra amenazas

Integraciones

Los datos que han sido estandarizados, examinados y enriquecidos deben luego enviarse a los sistemas que pueden utilizarlos para el monitoreo y la ejecución automatizada. El objetivo es, básicamente, proporcionar a estas tecnologías una “lista de exclusión informática”, parecida a una lista de exclusión de un aeropuerto. Con base en el conocimiento de fondo, no se deberían acceder o permitir algunas direcciones IP o dominios dentro de la red.

Una plataforma de inteligencia contra amenazas trabaja en segundo plano con la gestión de incidentes y eventos de seguridad (SIEM) y con los proveedores del sistema de administración de registros, seleccionando indicadores para enviarlos a las soluciones de seguridad dentro de la infraestructura de red del cliente. Por lo tanto, la carga de establecer y mantener estas integraciones se transfiere de los analistas hacia la SIEM y los proveedores de la TIP.

Las posibles integraciones con los productos de seguridad incluyen:

  • Gestión de incidentes y eventos de seguridad (SIEM).
  • Puntos de conexión.
  • Firewalls.
  • Sistemas de prevención de intrusiones (IPS).
  • Interfaces de programación de aplicaciones (API).
Integraciones de la inteligencia contra amenazas

Análisis y respuesta

Una plataforma de inteligencia contra amenazas brinda funciones que ayudan con el análisis de las posibles amenazas y sus mitigaciones correspondientes. Más específicamente, estas funciones ayudan a los analistas a:

  • Explorar amenazas.
  • Proporcionar flujos de trabajo de investigación.
  • Comprender las implicaciones y el contexto más amplio de las amenazas.
  • Intercambiar información.

Una TIP tomará todos los datos posibles, los enriquecimientos y demás contextos disponibles y mostrará esa información de manera que aporte valor, como por ejemplo en tableros, reglas, alertas y notas.

Una plataforma de inteligencia contra amenazas también ayuda a los analistas al automatizar la investigación y los procesos de recopilación, reduciendo significativamente el tiempo de respuesta. Algunas funciones específicas del área de análisis de una plataforma de inteligencia contra amenazas incluyen:

  • Soporte para la expansión y la investigación de los indicadores.
  • Escalamiento de incidentes y procesos de respuesta.
  • Procesos de flujo de trabajo para los analistas.
  • Producción de productos inteligentes y su intercambio con las partes interesadas.