¿Qué es una plataforma de inteligencia sobre amenazas (TIP)?

Recopilar, gestionar y compartir información sobre amenazas.

Propósito de una plataforma de inteligencia sobre amenazas

El panorama actual de la ciberseguridad está marcado por algunos problemas comunes: volúmenes masivos de datos, falta de analistas y ataques adversos cada vez más complejos. Las infraestructuras de seguridad actuales ofrecen muchas herramientas para gestionar esta información, pero poca integración entre ellas. Esto se traduce en una cantidad frustrante de esfuerzo de ingeniería para gestionar los sistemas y una pérdida inevitable de recursos y tiempo ya limitados.

Para combatir estos problemas, muchas empresas están optando por implantar una Plataforma de Inteligencia de Amenazas (TIP). Las plataformas de inteligencia sobre amenazas pueden desplegarse como una solución SaaS o local para facilitar la gestión de la inteligencia sobre ciberamenazas y entidades asociadas como actores, campañas, incidentes, firmas, boletines y TTP. Se define por su capacidad para realizar cuatro funciones clave:

  • Agregación de información de múltiples fuentes
  • Curación, normalización, enriquecimiento y puntuación de riesgo de los datos
  • Integración con los sistemas de seguridad existentes

Definición de TIP

Amenaza

La posibilidad de que cualquier otra parte acceda a las operaciones normales planificadas de una red de información o interfiera en ellas. Las amenazas más comunes hoy en día incluyen:

APT
Botnets
DDOS
ransomware

Inteligencia

Conocimiento de una amenaza obtenido por analistas humanos o identificado por eventos dentro del sistema. Inteligencia es un término amplio, pero un TIP presenta a los analistas tipos específicos de inteligencia que pueden automatizarse, entre ellos:

Conocimiento técnico de los ataques, incluidos los indicadores
Inteligencia terminada: el resultado de la observación por seres humanos de la información disponible y la obtención de conclusiones sobre el conocimiento de la situación, la predicción de posibles resultados o futuros ataques, o la estimación de las capacidades del adversario.
Inteligencia humana: cualquier tipo de inteligencia recopilada por humanos, como por ejemplo el acecho en foros para detectar actividades sospechosas.

Plataforma

Un producto empaquetado que se integra con las herramientas y productos existentes, presentando un sistema de gestión de inteligencia sobre amenazas que automatiza y simplifica gran parte del trabajo que tradicionalmente han realizado los propios analistas.

Agregación de datos

Una plataforma de inteligencia sobre amenazas recopila y concilia automáticamente datos de diversas fuentes y formatos. La ingesta de información procedente de diversas fuentes es un componente crítico para disponer de una infraestructura de seguridad sólida. Entre las fuentes y formatos compatibles se incluyen:

Fuentes:

Código abierto
Pagado por terceros
Gobierno
Comunidades de intercambio de confianza (ISAC)
Interno

Formatos:

STIX/TAXII
JSON y XML
Correo electrónico
CSV, TXT, PDF, documento Microsoft Word

Normalización y enriquecimiento de datos

La recopilación de datos a través de una amplia variedad de fuentes da como resultado millones de indicadores que hay que clasificar al día, por lo que es vital procesar los datos de manera eficiente. El procesamiento incluye varios pasos, pero se compone de tres elementos principales: normalización, eliminación de duplicidades y enriquecimiento de los datos.

Estos procesos son costosos en términos de esfuerzo computacional, tiempo de los analistas y dinero. Una plataforma de inteligencia sobre amenazas automatiza estos procesos, liberando a los analistas para que analicen los datos recopilados en lugar de gestionarlos.

Normalización - Consolidación de datos en distintos formatos de fuentes
Desduplicación - Eliminación de información duplicada
Enriquecimiento: eliminación de falsos positivos, puntuación de indicadores y adición de contexto.

Integraciones

A continuación, los datos normalizados, examinados y enriquecidos deben entregarse a sistemas que puedan utilizarlos para la aplicación y el control automatizados. El propósito de esto es proporcionar a estas tecnologías lo que es esencialmente una "lista cibernética de exclusión aérea", muy parecida al tipo de lista de exclusión aérea que se puede encontrar en un aeropuerto. Basándose en el conocimiento de fondo, ciertas IP, dominios, etc. no deberían ser accedidos o permitidos dentro de la red.

Una Plataforma de Inteligencia de Amenazas trabaja con SIEM y proveedores de sistemas de gestión de registros entre bastidores, extrayendo indicadores para enviarlos a las soluciones de seguridad dentro de la infraestructura de red del cliente. La carga de establecer y mantener estas integraciones se libera así de los analistas y se traslada a los proveedores de SIEM y TIP.

Entre las posibles integraciones de productos de seguridad se incluyen:

SIEM
Punto final
Cortafuegos
IPS
API

Análisis y respuesta

Una plataforma de inteligencia sobre amenazas ofrece funciones que ayudan a analizar las amenazas potenciales y a mitigarlas. Más concretamente, estas funciones ayudan a los analistas a:

Explorar las amenazas
Proporcionar flujos de trabajo de investigación
Comprender el contexto más amplio y las implicaciones de las amenazas
Compartir información

Una TIP tomará todos los datos posibles, enriquecimientos y otros contextos disponibles y mostrará esta información de forma que aporte valor, como en cuadros de mando, reglas, alertas y notas.

Una Plataforma de Inteligencia de Amenazas también ayuda a los analistas automatizando los procesos de investigación y recopilación, reduciendo significativamente el tiempo de respuesta. Algunas funcionalidades específicas de la parte de análisis de una Plataforma de Inteligencia de Amenazas incluyen:

Apoyo a la ampliación de indicadores y a la investigación
Procesos de escalado y respuesta a incidentes
Procesos de flujo de trabajo de los analistas
Elaborar productos de inteligencia y compartirlos con las partes interesadas