¿Qué es una plataforma de inteligencia de amenazas (TIP)?

Recopile, administre y comparta información sobre amenazas.

__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar

Propósito de una plataforma de inteligencia de amenazas

El panorama actual de la ciberseguridad se caracteriza por algunos problemas comunes: volúmenes masivos de datos, falta de analistas y ataques adversarios cada vez más complejos. Las infraestructuras de seguridad actuales ofrecen muchas herramientas para administrar esta información, pero hay poca integración entre ellas. Esto se traduce en una cantidad frustrante de esfuerzo de ingeniería para administrar los sistemas y en una inevitable pérdida de tiempo y recursos ya limitados.

Para combatir estos problemas, muchas empresas optan por implementar una plataforma de inteligencia de amenazas (TIP). Las plataformas de inteligencia contra amenazas se pueden implementar como una solución SaaS o local para facilitar la administración de la inteligencia sobre amenazas cibernéticas y las entidades asociadas, como actores, campañas, incidentes, firmas, boletines y TTP. Se define por su capacidad para realizar cuatro funciones clave:

  • Agregación de inteligencia de múltiples fuentes
  • Curación, normalización, enriquecimiento y puntuación de riesgo de los datos
  • Integraciones con los sistemas de seguridad existentes
78%
Say threat intelligence critical for achieving strong security posture
70%
Organizations say they’re swamped by cyberthreat data
__wf_reserved_heredar
__wf_reserved_heredar

TIP definido

Amenaza

La posibilidad de que cualquier otra parte acceda o interfiera en las operaciones normales planificadas de una red de información. Las amenazas más comunes en la actualidad incluyen:

__wf_reserved_heredar
APTO
__wf_reserved_heredar
Botnets
__wf_reserved_heredar
DDOS
__wf_reserved_heredar
ransomware

Inteligencia

Conocimiento de una amenaza obtenido por analistas humanos o identificado por eventos dentro del sistema. La inteligencia es un término amplio, pero el TIP presenta a los analistas tipos específicos de inteligencia que pueden automatizarse, por ejemplo:

__wf_reserved_heredar
Conocimientos técnicos de los ataques, incluidos los indicadores
__wf_reserved_heredar
Inteligencia acabada: el resultado de los seres humanos que analizan la información disponible y llegan a conclusiones sobre el conocimiento de la situación, la predicción de posibles resultados o ataques futuros o la estimación de las capacidades del adversario
__wf_reserved_heredar
Inteligencia humana: cualquier información recopilada por humanos, como esconderse en foros para comprobar si hay actividad sospechosa

Plataforma

Un producto empaquetado que se integra con las herramientas y los productos existentes y presenta un sistema de gestión de inteligencia de amenazas que automatiza y simplifica gran parte del trabajo que los analistas han realizado tradicionalmente por sí mismos.

__wf_reserved_heredar

¿Quién usa un TIP?

Una plataforma de inteligencia de amenazas es útil para muchas partes de una organización.

Equipos del Centro de Operaciones de Seguridad (SOC)

Los clientes de ThreatStream pueden probar y adquirir fácilmente información sobre amenazas de los socios de la APP Store. Encuentre la información adecuada para su organización, sector, ubicación, tipo de amenaza y mucho más.

Threat intelligence teams

ThreatStream customers can trial and purchase data enrichment services, sandboxes, and other analytic tools directly from Anomali APP Store partners. Identify the right enrichment data and analysis tools to add context to your indicators.

Management and executive teams

ThreatStream provides the industry’s most complete set of proven, turnkey integrations into leading enterprise SIEM, EDR, firewall, SOAR, and other security controls, delivering fast time to value.

__wf_reserved_heredar

Agregación de datos

Una plataforma de inteligencia de amenazas recopila y concilia automáticamente los datos de varias fuentes y formatos. La ingesta de información de una variedad de fuentes es un componente fundamental para tener una infraestructura de seguridad sólida. Entre las fuentes y formatos compatibles se incluyen:

Fuentes:

__wf_reserved_heredar
Código abierto
__wf_reserved_heredar
Pagado por terceros
__wf_reserved_heredar
Gobierno
__wf_reserved_heredar
Comunidades de intercambio confiables (ISAC)
__wf_reserved_heredar
Interno

Formatos:

__wf_reserved_heredar
STIX/TAXI
__wf_reserved_heredar
JSON y XML
__wf_reserved_heredar
Correo electrónico
__wf_reserved_heredar
CSV, TXT, PDF, documento de Microsoft Word
__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar

Normalización y enriquecimiento de datos

La recopilación de datos de una amplia variedad de fuentes da como resultado millones de indicadores que clasificar por día, por lo que es vital procesar los datos de manera eficiente. El procesamiento incluye varios pasos, pero se compone de tres elementos principales: la normalización, la deduplicación y el enriquecimiento de los datos.

Estos son costosos de abordar en lo que respecta al esfuerzo computacional, el tiempo de los analistas y el dinero. Una plataforma de inteligencia sobre amenazas automatiza estos procesos, lo que permite a los analistas analizar los datos recopilados en lugar de gestionarlos.

__wf_reserved_heredar
Normalización — Consolidación de datos en diferentes formatos de fuentes
__wf_reserved_heredar
Deduplicación — Eliminación de información duplicada
__wf_reserved_heredar
Enriquecimiento — Eliminación de falsos positivos, puntuación de los indicadores y adición de contexto
__wf_reserved_heredar

Integraciones

Los datos que se han normalizado, examinado y enriquecido deben entregarse luego a sistemas que puedan usarlos para la aplicación y el monitoreo automatizados. El propósito de esto es proporcionar a estas tecnologías lo que es esencialmente una «lista de exclusión aérea cibernética», muy parecida a la lista de exclusión aérea que se puede encontrar en un aeropuerto. Según los conocimientos previos, no se debe acceder ni permitir el acceso a determinadas IP, dominios y más en la red.

Una plataforma de inteligencia de amenazas trabaja con los proveedores de sistemas de administración de registros y SIEM entre bastidores, y extrae indicadores para ofrecer soluciones de seguridad dentro de la infraestructura de red del cliente. Por lo tanto, la carga de establecer y mantener estas integraciones recae en los analistas y, en cambio, recae en los proveedores de SIEM y TIP.

Las posibles integraciones de productos de seguridad incluyen:

__wf_reserved_heredar
SIEM
__wf_reserved_heredar
Punto final
__wf_reserved_heredar
Firewall
__wf_reserved_heredar
IPS
__wf_reserved_heredar
API
__wf_reserved_heredar
__wf_reserved_heredar

Análisis y respuesta

Una plataforma de inteligencia de amenazas proporciona funciones que ayudan con el análisis de las posibles amenazas y la correspondiente mitigación. Más específicamente, estas funciones ayudan a los analistas a:

__wf_reserved_heredar
Explore las amenazas
__wf_reserved_heredar
Proporcione flujos de trabajo de investigación
__wf_reserved_heredar
Comprenda el contexto más amplio y las implicaciones de las amenazas
__wf_reserved_heredar
Compartir información

Un TIP tomará todos los datos, enriquecimientos y otros contextos posibles disponibles y mostrará esta información de manera que aporte valor, como en paneles, reglas, alertas y notas.

Una plataforma de inteligencia de amenazas también ayuda a los analistas a automatizar los procesos de investigación y recopilación, lo que reduce significativamente el tiempo de respuesta. Algunas funcionalidades específicas de la parte de análisis de un Plataforma de inteligencia de amenazas incluyen:

__wf_reserved_heredar
Apoyo a la expansión y la investigación de indicadores
__wf_reserved_heredar
Procesos de escalamiento y respuesta a incidentes
__wf_reserved_heredar
Procesos de flujo de trabajo de
__wf_reserved_heredar
Producir productos de inteligencia y compartirlos con las partes interesadas
__wf_reserved_heredar