
Introducción a la inteligencia sobre amenazas
La inteligencia sobre ciberamenazas es un subconjunto de la inteligencia centrada en la seguridad de la información. Esta información curada pretende ayudarle a tomar mejores decisiones sobre cómo defenderse a sí mismo y a su empresa de las amenazas cibernéticas. Algunas de las preguntas a las que puede responder la inteligencia sobre amenazas son:
"La inteligencia sobre amenazas es el conocimiento basado en pruebas, incluido el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento procesable, sobre una amenaza o peligro existente o emergente para los activos que puede utilizarse para fundamentar las decisiones relativas a la respuesta del sujeto a dicha amenaza o peligro."
Niveles de información sobre amenazas
La inteligencia sobre ciberamenazas se considera generalmente en tres niveles:
Utilizar cada instancia de inteligencia es importante porque cumplen funciones diferentes. Los analistas que aprovechan la suma de conocimientos de estos tres tipos de inteligencia son más capaces de determinar qué soluciones de seguridad utilizar, cómo deben aprovecharse y cómo responder de forma proactiva y reactiva a las amenazas.
¿Por qué?
Información sobre amenazas tácticas
La inteligencia táctica sobre amenazas es la forma más básica de inteligencia sobre amenazas. Se trata de los indicadores comunes de peligro (IOC). La inteligencia táctica se utiliza a menudo para la detección de amenazas de máquina a máquina y para que el personal de respuesta a incidentes busque artefactos específicos en las redes empresariales.
Utilizar la inteligencia táctica sobre amenazas
La inteligencia táctica sobre amenazas y los IOC tienen por objeto documentar históricamente los ciberataques, sirviendo a la vez como corpus de pruebas (para el cumplimiento de la normativa, la aplicación de la ley, investigaciones, fines legales, etc.) y también como material de referencia para que los analistas interpreten y extraigan el contexto para su uso en operaciones defensivas.
Los IOC se proporcionan a los analistas para que sirvan como ejemplos de una amenaza concreta, como una muestra de malware, una familia de malware, una campaña de intrusión o un actor de amenaza. Los analistas pueden enriquecer las alertas de las soluciones de seguridad con inteligencia táctica sobre amenazas para proporcionar más contexto y determinar de qué amenazas merece la pena preocuparse y cuáles pueden ignorarse con seguridad.
Inteligencia sobre amenazas tácticas para APT29
Inteligencia táctica sobre amenazas para el sector educativo
Información sobre amenazas operativas
La inteligencia operativa sobre amenazas proporciona información sobre las metodologías de los actores y expone los riesgos potenciales. Impulsa programas de detección, respuesta a incidentes y caza más significativos. Mientras que la inteligencia táctica sobre amenazas proporciona a los analistas un contexto sobre las amenazas ya conocidas, la inteligencia operativa acerca las investigaciones al descubrimiento de amenazas completamente nuevas.
Este tipo de inteligencia es la que utilizan con más frecuencia los investigadores forenses y los responsables de la respuesta a incidentes, y suele incluir los siguientes tipos de elementos:
Considere lo siguiente desde una perspectiva de respuesta a incidentes: Si estás respondiendo a un evento de intrusión, puedes preguntarte cómo un actor en particular realiza la escalada de privilegios, el movimiento lateral o el robo de datos. Si está buscando actividad maliciosa no descubierta, puede que quiera empezar su búsqueda buscando el comportamiento de un actor específico. Sea cual sea su escenario, necesita responder a la pregunta "¿Cómo buscar a este actor dentro de su entorno?".
Utilización de la inteligencia operativa sobre amenazas
La inteligencia operativa sobre amenazas es el conocimiento obtenido a partir del examen de los detalles de ataques conocidos. Un analista puede construir una imagen sólida de la metodología de los actores reuniendo indicadores y artefactos tácticos y derivándolos a inteligencia operativa. Esto puede ayudar a lograr una serie de objetivos defensivos, como la mejora de los planes de respuesta a incidentes y las técnicas de mitigación para futuros ataques e incidentes.
Los analistas también pueden implementar y reforzar un programa de descubrimiento proactivo ("programa de caza") para identificar archivos y actividades sospechosas que hayan eludido las tecnologías de seguridad tradicionales. A partir de ahí, pueden desarrollar metodologías de detección que no dependan de los COI, garantizando una cobertura más amplia de las amenazas de forma más oportuna.
Ejemplos de inteligencia operativa sobre amenazas
- Tareas programadas para la mayoría de las puertas traseras
- WMI mediante instalación manual para puertas traseras que no tienen persistencia incorporada
- Sustitución legítima del archivo de informe de errores de Windows (wermgr.exe)
Inteligencia sobre amenazas estratégicas
La inteligencia estratégica sobre amenazas ofrece una visión global de la evolución de las amenazas y los ataques a lo largo del tiempo. La inteligencia estratégica sobre amenazas puede identificar tendencias históricas, motivaciones o atribuciones sobre quién está detrás de un ataque. Conocer el quién y el por qué de sus adversarios también proporciona pistas sobre sus futuras operaciones y tácticas. Esto convierte a la inteligencia estratégica en un sólido punto de partida para decidir qué medidas defensivas serán más eficaces.
La inteligencia estratégica sobre amenazas podría incluir información sobre las siguientes áreas temáticas:
Utilizar la inteligencia estratégica sobre amenazas
La inteligencia sobre amenazas estratégicas se basa en un enorme corpus de conocimientos e incluye opiniones y puntos de vista de expertos que se basan en la agregación de inteligencia sobre amenazas operativas y tácticas procedentes de ciberataques conocidos. Esta inteligencia es especialmente útil para las personas que desempeñan funciones de liderazgo, como los CISO y la dirección ejecutiva, que deben justificar los presupuestos y tomar decisiones de inversión mejor informadas. Algunos usos de la inteligencia estratégica sobre amenazas incluyen:
Ejemplos de inteligencia estratégica sobre amenazas
- APT10 alias "Grupo MenuPass"
- APT22 alias "Equipo Barista"
- APT29 alias "Los Duques"
Inteligencia sobre amenazas y objetivos empresariales
La inteligencia sobre amenazas siempre tiene un propósito : informar la toma de decisiones e impulsar la acción. Sin embargo, no es raro que las empresas tengan dificultades a la hora de determinar el valor de su equipo, procesos y herramientas de inteligencia sobre amenazas. La terminología de la inteligencia sobre amenazas no suele ser compatible con el léxico empresarial, lo que lleva a malentendidos sobre su propósito y valor.
Las empresas pueden ayudar a obtener valor de sus programas de inteligencia alineándolos con un conjunto genérico de prioridades a nivel macro, como puede verse a continuación (no se incluyen todas):
Una vez que el equipo de inteligencia sobre amenazas comprende los objetivos empresariales, puede alinear sus operaciones y esfuerzos para apoyar al negocio. No todas las prioridades empresariales se alinearán perfectamente con las capacidades de inteligencia de amenazas, y eso está bien. Puede desarrollar granularidad y matices a medida que construye sus requisitos. He aquí algunos objetivos iniciales para cualquier equipo de inteligencia sobre amenazas:
- Colabore con el equipo de Fraude para determinar los 3-5 principales tipos de fraude y pregunte qué información les ayudaría a detectarlo y prevenirlo en el futuro.
- ¿Qué revela el análisis de las entradas de incidentes sobre la naturaleza y el tipo de datos objeto de las anteriores violaciones de datos?
- ¿Qué vulnerabilidades se han explotado y por qué medios?
- ¿Qué sistemas almacenan PII y cómo se alinean las vulnerabilidades de esos sistemas con los vectores de explotación conocidos?
- TI puede centrarse en reducir el riesgo derivado de la pérdida de datos y las amenazas externas identificando a los actores y obteniendo información sobre las amenazas externas dirigidas a su sector, asegurándose de que existen técnicas y mecanismos de detección capaces de detectar estas amenazas.
Evolución de la inteligencia sobre amenazas
La inteligencia sobre amenazas seguirá evolucionando y será una función de seguridad clave. La integración de la inteligencia sobre amenazas tácticas, operativas y estratégicas proporcionará información valiosa sobre los COI y las metodologías de los actores de amenazas. Esto conducirá a entornos más seguros en los que se podrá identificar a los adversarios. Cada vez son más las organizaciones de los sectores público y privado que utilizan inteligencia sobre ciberamenazas. Una investigación reciente publicada por el Ponemon Institute reveló que el 80% de las organizaciones la utilizan y que un porcentaje aún mayor la considera crítica.
Las organizaciones que utilizan inteligencia sobre ciberamenazas están superando numerosos retos de seguridad. Detectan y responden a amenazas avanzadas. Evitan la filtración de datos y protegen la información confidencial. Reducen los costes de la ciberdelincuencia y el fraude. Y lo que es más importante, están reduciendo el riesgo empresarial global.