Propósito de una plataforma de inteligencia de amenazas
El panorama actual de la ciberseguridad se caracteriza por algunos problemas comunes: volúmenes masivos de datos, falta de analistas y ataques adversarios cada vez más complejos. Las infraestructuras de seguridad actuales ofrecen muchas herramientas para administrar esta información, pero hay poca integración entre ellas. Esto se traduce en una cantidad frustrante de esfuerzo de ingeniería para administrar los sistemas y en una inevitable pérdida de tiempo y recursos ya limitados.
Para combatir estos problemas, muchas empresas optan por implementar una plataforma de inteligencia de amenazas (TIP). Las plataformas de inteligencia contra amenazas se pueden implementar como una solución SaaS o local para facilitar la administración de la inteligencia sobre amenazas cibernéticas y las entidades asociadas, como actores, campañas, incidentes, firmas, boletines y TTP. Se define por su capacidad para realizar cuatro funciones clave:
- Agregación de inteligencia de múltiples fuentes
- Curación, normalización, enriquecimiento y puntuación de riesgo de los datos
- Integraciones con los sistemas de seguridad existentes
- Análisis y intercambio de información sobre amenazas
TIP definido
Amenaza
La posibilidad de que cualquier otra parte acceda o interfiera en las operaciones normales planificadas de una red de información. Las amenazas más comunes en la actualidad incluyen:
Inteligencia
Conocimiento de una amenaza obtenido por analistas humanos o identificado por eventos dentro del sistema. La inteligencia es un término amplio, pero el TIP presenta a los analistas tipos específicos de inteligencia que pueden automatizarse, por ejemplo:
Plataforma
Un producto empaquetado que se integra con las herramientas y los productos existentes y presenta un sistema de gestión de inteligencia de amenazas que automatiza y simplifica gran parte del trabajo que los analistas han realizado tradicionalmente por sí mismos.
¿Quién usa un TIP?
Una plataforma de inteligencia de amenazas es útil para muchas partes de una organización.
Equipos del Centro de Operaciones de Seguridad (SOC)
Los clientes de ThreatStream pueden probar y adquirir fácilmente información sobre amenazas de los socios de la APP Store. Encuentre la información adecuada para su organización, sector, ubicación, tipo de amenaza y mucho más.
Threat intelligence teams
ThreatStream customers can trial and purchase data enrichment services, sandboxes, and other analytic tools directly from Anomali APP Store partners. Identify the right enrichment data and analysis tools to add context to your indicators.
Management and executive teams
ThreatStream provides the industry’s most complete set of proven, turnkey integrations into leading enterprise SIEM, EDR, firewall, SOAR, and other security controls, delivering fast time to value.
Agregación de datos
Una plataforma de inteligencia de amenazas recopila y concilia automáticamente los datos de varias fuentes y formatos. La ingesta de información de una variedad de fuentes es un componente fundamental para tener una infraestructura de seguridad sólida. Entre las fuentes y formatos compatibles se incluyen:
Fuentes:
Formatos:
Normalización y enriquecimiento de datos
La recopilación de datos de una amplia variedad de fuentes da como resultado millones de indicadores que clasificar por día, por lo que es vital procesar los datos de manera eficiente. El procesamiento incluye varios pasos, pero se compone de tres elementos principales: la normalización, la deduplicación y el enriquecimiento de los datos.
Estos son costosos de abordar en lo que respecta al esfuerzo computacional, el tiempo de los analistas y el dinero. Una plataforma de inteligencia sobre amenazas automatiza estos procesos, lo que permite a los analistas analizar los datos recopilados en lugar de gestionarlos.
Integraciones
Los datos que se han normalizado, examinado y enriquecido deben entregarse luego a sistemas que puedan usarlos para la aplicación y el monitoreo automatizados. El propósito de esto es proporcionar a estas tecnologías lo que es esencialmente una «lista de exclusión aérea cibernética», muy parecida a la lista de exclusión aérea que se puede encontrar en un aeropuerto. Según los conocimientos previos, no se debe acceder ni permitir el acceso a determinadas IP, dominios y más en la red.
Una plataforma de inteligencia de amenazas trabaja con los proveedores de sistemas de administración de registros y SIEM entre bastidores, y extrae indicadores para ofrecer soluciones de seguridad dentro de la infraestructura de red del cliente. Por lo tanto, la carga de establecer y mantener estas integraciones recae en los analistas y, en cambio, recae en los proveedores de SIEM y TIP.
Las posibles integraciones de productos de seguridad incluyen:
Análisis y respuesta
Una plataforma de inteligencia de amenazas proporciona funciones que ayudan con el análisis de las posibles amenazas y la correspondiente mitigación. Más específicamente, estas funciones ayudan a los analistas a:
Un TIP tomará todos los datos, enriquecimientos y otros contextos posibles disponibles y mostrará esta información de manera que aporte valor, como en paneles, reglas, alertas y notas.
Una plataforma de inteligencia de amenazas también ayuda a los analistas a automatizar los procesos de investigación y recopilación, lo que reduce significativamente el tiempo de respuesta. Algunas funcionalidades específicas de la parte de análisis de un Plataforma de inteligencia de amenazas incluyen: