¿Qué es una plataforma de inteligencia contra amenazas (TIP)?
Recopilar, gestionar y compartir inteligencia contra amenazas
Propósito de una plataforma de inteligencia contra amenazas
En la actualidad, el panorama de la seguridad informática está marcado por algunos problemas comunes: grandes volúmenes de datos, falta de analistas y ataques adversarios cada vez más complejos. Las infraestructuras de seguridad actuales ofrecen diversas herramientas para gestionar esta información, pero poca integración entre ellas. Esto se traduce en una cantidad frustrante de esfuerzo de ingeniería para gestionar sistemas y en un inevitable desperdicio de recursos y tiempo que ya están limitados.
Para combatir estos problemas, muchas empresas optan por implementar una plataforma de inteligencia contra amenazas (TIP). Las plataformas de inteligencia contra amenazas pueden implementarse como un software como servicio (SaaS) o como una solución en las instalaciones para facilitar la gestión de inteligencia contra amenazas informáticas y entidades asociadas, como actores, campañas, incidentes, firmas, boletines y TTP. Se define por su capacidad para realizar cuatro funciones clave:
- Incorporación de inteligencia desde diversas fuentes
- Tratamiento, normalización, enriquecimiento y calificación de riesgo de datos
- Integraciones con sistemas de seguridad existentes
- Análisis e intercambio de inteligencia contra amenazas
DICE QUE LA INTELIGENCIA CONTRA AMENAZAS ES FUNDAMENTAL PARA LOGRAR UNA POSTURA DE SEGURIDAD SÓLIDA
DE LAS ORGANIZACIONES DICE SENTIRSE ABRUMADO POR LOS DATOS DE AMENAZAS INFORMÁTICAS
Definición de TIP
Amenaza
La posibilidad de que cualquier otro individuo acceda a las operaciones normales planificadas de una red de información o interfiera en ellas. Entre las amenazas comunes de hoy en día se incluyen las siguientes:
- Amenazas persistentes avanzadas (APT)
- Fraude electrónico
- Malware
- Botnets
- Denegación de servicio distribuido (DDoS)
- Secuestro de datos
Inteligencia
Conocimiento de una amenaza obtenida por analistas humanos o identificada por eventos dentro del sistema. La inteligencia es un concepto amplio, pero una TIP presenta a los analistas tipos específicos de inteligencia que pueden automatizarse, entre los que se incluyen los siguientes:
- Conocimiento técnico de ataques, incluidos indicadores
- Inteligencia terminada: el resultado de seres humanos que observan la información disponible y llegan a conclusiones sobre el conocimiento de la situación, la predicción de posibles resultados o ataques futuros, o la estimación de las capacidades adversarias
- Inteligencia humana: cualquier inteligencia recopilada por humanos, como espiar en foros para verificar si hay actividad sospechosa
Plataforma
Un producto empaquetado que se integra con herramientas y productos existentes, lo que presenta un sistema de gestión de inteligencia contra amenazas que automatiza y simplifica gran parte del trabajo que los analistas tradicionalmente realizan por sí mismos.
¿Quién usa una TIP?
Una plataforma de inteligencia contra amenazas es útil para muchas partes dentro de una organización.
Equipos del Centro de Operaciones de Seguridad (SOC)
Estos equipos se centran en las tareas operativas cotidianas y en responder a las amenazas a medida que ocurren. Una TIP proporciona automatización para actividades rutinarias, como integraciones, enriquecimiento y calificación.
Equipos de inteligencia contra amenazas
Estos equipos buscan hacer predicciones basadas en asociaciones e información contextual entre actores, campañas, etc. Una TIP les proporciona una “biblioteca” de información que simplifica y optimiza este proceso.
Equipos ejecutivos y de gestión
Una TIP proporciona gestión con una sola plataforma a través de la cual se pueden ver informes tanto técnicos como de alto nivel. Esto les permite compartir y analizar de manera eficaz los datos a medida que ocurren los incidentes.
Adición de datos
Una plataforma de inteligencia contra amenazas recopila y concilia automáticamente datos de diversas fuentes y formatos. La ingesta de información de una variedad de fuentes es un componente fundamental para una infraestructura de seguridad sólida. Entre las fuentes y los formatos admitidos se incluyen los siguientes:
Fuentes:
- Recurso abierto
- Terceros pagados
- Gobierno
- Comunidades de intercambio de confianza (ISAC)
- Internas
Formatos:
- STIX y TAXII
- JSON y XML
- Correo electrónico
- Documentos .csv, .txt, PDF y de Word
Normalización y enriquecimiento de datos
La recopilación de datos a través de una amplia variedad de fuentes da como resultado millones de indicadores para clasificar por día, lo que hace que sea vital procesar los datos de manera eficiente. El procesamiento incluye varios pasos, pero se compone de tres elementos principales: la normalización, la desduplicación y el enriquecimiento de datos.
Estos son costosos de abordar en cuanto a esfuerzo computacional, tiempo de analista y dinero. Una plataforma de inteligencia contra amenazas automatiza estos procesos, lo que libera a los analistas para que analicen los datos recopilados en lugar de gestionarlos.
- Normalización: consolidación de datos en diferentes formatos de fuentes
- Desduplicación: eliminación de información duplicada
- Enriquecimiento: eliminación de falsos positivos, calificación de indicadores y adición de contexto
Integraciones
Los datos que se hayan normalizado, verificado y enriquecido se deben entregar a los sistemas que puedan utilizarlos para el cumplimiento y el monitoreo automatizados. El propósito de esto es proporcionar a estas tecnologías lo que es esencialmente una “lista de exclusión informática”, similar al tipo de lista de exclusión aérea de los aeropuertos. Según el conocimiento preliminar, no se debería poder acceder a ciertas direcciones IP, dominios y más, o no deberían estar habilitados dentro de la red.
Una plataforma de inteligencia contra amenazas trabaja con los proveedores de sistemas de gestión de registro y SIEM de manera interna extrayendo indicadores para transmitir soluciones de seguridad dentro de la infraestructura de red del consumidor. Por lo tanto, a los analistas se les retira la carga de establecer y mantener estas integraciones y, en su lugar, se transfiere a los proveedores de SIEM y TIP.
Entre las posibles integraciones de productos de seguridad se incluyen las siguientes:
- SIEM
- Terminal
- Firewall
- IPS
- API
Análisis y respuesta
Una plataforma de inteligencia contra amenazas proporciona funciones que ayudan a analizar las posibles amenazas y sus correspondientes mitigaciones. Más específicamente, estas características ayudan a los analistas a lo siguiente:
- Explorar amenazas
- Proporcionar flujos de trabajo de investigación
- Comprender el contexto más amplio y las consecuencias de las amenazas
- Compartir información
Una TIP tomará todos los datos posibles, los enriquecimientos y otros contextos disponibles, y mostrará esa información de maneras que proporcionen valor, como en los paneles, las reglas, las alertas y las notas.
Una plataforma de inteligencia contra amenazas también ayuda a los analistas mediante la automatización de los procesos de investigación y recopilación, lo que reduce significativamente el tiempo de respuesta. Entre las funcionalidades específicas de la parte de análisis de una plataforma de inteligencia contra amenazas se incluyen las siguientes:
- Soporte para la investigación y la expansión de los indicadores
- Procesos de respuesta y escalamiento de incidentes
- Procesos de flujo de trabajo de analistas
- Generar productos de inteligencia y compartirlos con las partes interesadas
