
Propósito de una plataforma de inteligencia sobre amenazas
El panorama actual de la ciberseguridad está marcado por algunos problemas comunes: volúmenes masivos de datos, falta de analistas y ataques adversos cada vez más complejos. Las infraestructuras de seguridad actuales ofrecen muchas herramientas para gestionar esta información, pero poca integración entre ellas. Esto se traduce en una cantidad frustrante de esfuerzo de ingeniería para gestionar los sistemas y una pérdida inevitable de recursos y tiempo ya limitados.
Para combatir estos problemas, muchas empresas están optando por implantar una Plataforma de Inteligencia de Amenazas (TIP). Las plataformas de inteligencia sobre amenazas pueden desplegarse como una solución SaaS o local para facilitar la gestión de la inteligencia sobre ciberamenazas y entidades asociadas como actores, campañas, incidentes, firmas, boletines y TTP. Se define por su capacidad para realizar cuatro funciones clave:
- Agregación de información de múltiples fuentes
- Curación, normalización, enriquecimiento y puntuación de riesgo de los datos
- Integración con los sistemas de seguridad existentes
- Análisis e intercambio de información sobre amenazas
Definición de TIP
Amenaza
La posibilidad de que cualquier otra parte acceda a las operaciones normales planificadas de una red de información o interfiera en ellas. Las amenazas más comunes hoy en día incluyen:
Inteligencia
Conocimiento de una amenaza obtenido por analistas humanos o identificado por eventos dentro del sistema. Inteligencia es un término amplio, pero un TIP presenta a los analistas tipos específicos de inteligencia que pueden automatizarse, entre ellos:
Plataforma
Un producto empaquetado que se integra con las herramientas y productos existentes, presentando un sistema de gestión de inteligencia sobre amenazas que automatiza y simplifica gran parte del trabajo que tradicionalmente han realizado los propios analistas.
¿Quién utiliza un TIP?
Una plataforma de inteligencia sobre amenazas es útil para muchas partes dentro de una organización.
Equipos del Centro de Operaciones de Seguridad (SOC)
ThreatStream los clientes pueden probar y adquirir fácilmente inteligencia sobre amenazas de los socios de APP Store. Encuentre la inteligencia adecuada para su organización, sector, zona geográfica, tipo de amenaza y mucho más.
Equipos de información sobre amenazas
ThreatStream los clientes pueden probar y comprar servicios de enriquecimiento de datos, sandboxes y otras herramientas analíticas directamente a los socios de Anomali APP Store. Identifique los datos de enriquecimiento y las herramientas de análisis adecuadas para añadir contexto a sus indicadores.
Equipos directivos y ejecutivos
ThreatStream ofrece el conjunto más completo del sector de integraciones probadas y listas para usar en los principales SIEM, EDR, cortafuegos, SOAR y otros controles de seguridad de la empresa, con una rápida rentabilidad.
Agregación de datos
Una plataforma de inteligencia sobre amenazas recopila y concilia automáticamente datos de diversas fuentes y formatos. La ingesta de información procedente de diversas fuentes es un componente crítico para disponer de una infraestructura de seguridad sólida. Entre las fuentes y formatos compatibles se incluyen:
Fuentes:
Formatos:
Normalización y enriquecimiento de datos
La recopilación de datos a través de una amplia variedad de fuentes da como resultado millones de indicadores que hay que clasificar al día, por lo que es vital procesar los datos de manera eficiente. El procesamiento incluye varios pasos, pero se compone de tres elementos principales: normalización, eliminación de duplicidades y enriquecimiento de los datos.
Estos procesos son costosos en términos de esfuerzo computacional, tiempo de los analistas y dinero. Una plataforma de inteligencia sobre amenazas automatiza estos procesos, liberando a los analistas para que analicen los datos recopilados en lugar de gestionarlos.
Integraciones
A continuación, los datos normalizados, examinados y enriquecidos deben entregarse a sistemas que puedan utilizarlos para la aplicación y el control automatizados. El propósito de esto es proporcionar a estas tecnologías lo que es esencialmente una "lista cibernética de exclusión aérea", muy parecida al tipo de lista de exclusión aérea que se puede encontrar en un aeropuerto. Basándose en el conocimiento de fondo, ciertas IP, dominios, etc. no deberían ser accedidos o permitidos dentro de la red.
Una Plataforma de Inteligencia de Amenazas trabaja con SIEM y proveedores de sistemas de gestión de registros entre bastidores, extrayendo indicadores para enviarlos a las soluciones de seguridad dentro de la infraestructura de red del cliente. La carga de establecer y mantener estas integraciones se libera así de los analistas y se traslada a los proveedores de SIEM y TIP.
Entre las posibles integraciones de productos de seguridad se incluyen:
Análisis y respuesta
Una plataforma de inteligencia sobre amenazas ofrece funciones que ayudan a analizar las amenazas potenciales y a mitigarlas. Más concretamente, estas funciones ayudan a los analistas a:
Una TIP tomará todos los datos posibles, enriquecimientos y otros contextos disponibles y mostrará esta información de forma que aporte valor, como en cuadros de mando, reglas, alertas y notas.
Una Plataforma de Inteligencia de Amenazas también ayuda a los analistas automatizando los procesos de investigación y recopilación, reduciendo significativamente el tiempo de respuesta. Algunas funcionalidades específicas de la parte de análisis de una Plataforma de Inteligencia de Amenazas incluyen: