By Leave a Comment on ¿Qué es la inteligencia sobre amenazas?

Las tecnologías digitales se encuentran en el corazón de casi todas las industrias hoy en día. La automatización y la mayor conectividad que permiten han revolucionado las instituciones económicas y culturales del mundo, pero también han traído consigo riesgos en forma de ciberataques. La inteligencia sobre amenazas es el conocimiento que le permite prevenir o mitigar esos ataques. Basada en datos, la inteligencia sobre amenazas proporciona un contexto -como quién le está atacando, cuál es su motivación y sus capacidades, y qué indicadores de peligro hay que buscar en sus sistemas- que le ayuda a tomar decisiones informadas sobre su seguridad.

«La inteligencia sobre amenazas es un conocimiento basado en pruebas, que incluye el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento orientado a la acción sobre una amenaza o peligro existente o emergente para los activos. Esta inteligencia puede utilizarse para informar las decisiones relativas a la respuesta del sujeto a esa amenaza o peligro.» – Gartner

Para obtener información más detallada, consulte las secciones de este resumen tituladas «El ciclo de vida de la inteligencia sobre amenazas» y «Los tipos de inteligencia sobre amenazas».

¿Por qué es importante la inteligencia sobre amenazas?

Hoy en día, el sector de la ciberseguridad se enfrenta a numerosos retos: actores de amenazas cada vez más persistentes y tortuosos, una avalancha diaria de datos llenos de información extraña y falsas alarmas a través de múltiples sistemas de seguridad desconectados, y una grave escasez de profesionales cualificados.

Algunas organizaciones intentan incorporar fuentes de datos de amenazas en su red, pero no saben qué hacer con todos esos datos adicionales, lo que aumenta la carga de los analistas que pueden no tener las herramientas para decidir qué priorizar y qué ignorar.

Una solución de inteligencia sobre ciberamenazas puede abordar cada uno de estos problemas. Las mejores soluciones utilizan el aprendizaje automático para automatizar la recopilación y el procesamiento de datos, se integran con sus soluciones existentes, toman datos no estructurados de fuentes dispares y luego conectan los puntos proporcionando contexto sobre los indicadores de compromiso (IoC) y las tácticas, técnicas y procedimientos (TTP) de los actores de la amenaza.

La inteligencia sobre amenazas es procesable: es oportuna, proporciona contexto y es capaz de ser entendida por las personas encargadas de tomar decisiones.

¿Quién puede beneficiarse de la inteligencia sobre amenazas?

¡Todos! La inteligencia sobre amenazas cibernéticas es ampliamente imaginada como el dominio de los analistas de élite. En realidad, añade valor a todas las funciones de seguridad de organizaciones de todos los tamaños.

Cuando la inteligencia sobre amenazas se trata como una función separada dentro de un paradigma de seguridad más amplio, en lugar de un componente esencial que aumenta todas las demás funciones, el resultado es que muchas de las personas que más se beneficiarían de la inteligencia sobre amenazas no tienen acceso a ella cuando la necesitan.

Los equipos de operaciones de seguridad son habitualmente incapaces de procesar las alertas que reciben: la inteligencia sobre amenazas se integra con las soluciones de seguridad que ya utiliza, ayudando a priorizar y filtrar automáticamente las alertas y otras amenazas. Los equipos de gestión de la vulnerabilidad pueden priorizar con mayor precisión las vulnerabilidades más importantes con acceso a la información externa y al contexto que proporciona la inteligencia sobre amenazas. Y la prevención de fraudes, el análisis de riesgos y otros procesos de seguridad de alto nivel se enriquecen con la comprensión del panorama actual de las amenazas que proporciona la inteligencia sobre amenazas, incluida la información clave sobre los actores de las amenazas, sus tácticas, técnicas y procedimientos, y más de las fuentes de datos en toda la web.

Mire nuestra sección sobre casos de uso a continuación para obtener una visión más profunda de cómo cada función de seguridad puede beneficiarse de la inteligencia sobre amenazas.

El ciclo de vida de la inteligencia sobre amenazas

Entonces, ¿cómo se produce la inteligencia sobre ciberamenazas? Los datos en bruto no son lo mismo que la inteligencia: la inteligencia sobre ciberamenazas es el producto final que surge de un ciclo de seis partes de recopilación, procesamiento y análisis de datos. Este proceso es un ciclo porque durante el desarrollo de la inteligencia se identifican nuevas preguntas y lagunas de conocimiento, lo que lleva a establecer nuevos requisitos de recopilación. Un programa de inteligencia eficaz es iterativo y se va perfeccionando con el tiempo.

Para maximizar el valor de la inteligencia sobre amenazas que produce, es fundamental que identifique sus casos de uso y defina sus objetivos antes de hacer cualquier otra cosa.

Planificación y dirección

El primer paso para producir inteligencia sobre amenazas procesable es hacer la pregunta correcta.

Las preguntas que mejor impulsan la creación de inteligencia sobre amenazas procesable se centran en un solo hecho, evento o actividad; por lo general se deben evitar las preguntas amplias y abiertas.

Priorice sus objetivos de inteligencia basándose en factores como el grado de adhesión a los valores fundamentales de su organización, la magnitud del impacto que tendrá la decisión resultante y el tiempo que requiere la decisión.

Un importante factor de orientación en esta etapa es comprender quién consumirá y se beneficiará del producto final: ¿se destinará la inteligencia a un equipo de analistas con conocimientos técnicos que necesitan un informe rápido sobre un nuevo exploit, o a un ejecutivo que busca una visión general de las tendencias para informar de sus decisiones de inversión en seguridad para el próximo trimestre?

Recogida

El siguiente paso es recoger datos en bruto que cumplan los requisitos establecidos en la primera etapa. Lo mejor es recopilar datos de una amplia gama de fuentes: las internas, como los registros de eventos de red y los registros de respuestas a incidentes pasados, y las externas, procedentes de la web abierta, la web oscura y las fuentes técnicas.

Los datos sobre amenazas suelen considerarse listas de IoC, como direcciones IP maliciosas, dominios y hashes de archivos, pero también pueden incluir información sobre vulnerabilidades, como la información de identificación personal de los clientes, código en bruto de sitios de pasta y texto de fuentes de noticias o medios sociales.

Procesamiento

Una vez que se han recogido todos los datos en bruto, es necesario clasificarlos, organizándolos con etiquetas de metadatos y filtrando la información redundante o los falsos positivos y negativos.

Hoy en día, incluso las organizaciones pequeñas recogen datos del orden de millones de eventos de registro y cientos de miles de indicadores cada día. Es demasiado para que los analistas humanos lo procesen de forma eficiente: la recopilación y el procesamiento de los datos deben automatizarse para empezar a darles sentido.

Las soluciones como los SIEM son un buen punto de partida porque facilitan relativamente la estructuración de los datos con reglas de correlación que pueden configurarse para unos cuantos casos de uso diferentes, pero sólo pueden admitir un número limitado de tipos de datos.

Si está recopilando datos no estructurados de muchas fuentes internas y externas diferentes, necesitará una solución más sólida. Recorded Future utiliza el aprendizaje automático y el procesamiento del lenguaje natural para analizar el texto de millones de documentos no estructurados en siete idiomas diferentes y clasificarlos utilizando ontologías y eventos independientes del idioma, lo que permite a los analistas realizar búsquedas potentes e intuitivas que van más allá de simples palabras clave y reglas de correlación.

Análisis

El siguiente paso es dar sentido a los datos procesados. El objetivo del análisis es buscar posibles problemas de seguridad y notificar a los equipos pertinentes en un formato que cumpla con los requisitos de inteligencia esbozados en la etapa de planificación y dirección.

La inteligencia sobre amenazas puede adoptar muchas formas dependiendo de los objetivos iniciales y de la audiencia a la que va dirigida, pero la idea es poner los datos en un formato que la audiencia entienda. Esto puede ir desde simples listas de amenazas hasta informes revisados por expertos.

Difusión

El producto final se distribuye entonces a los consumidores previstos. Para que la inteligencia sobre amenazas sea procesable, tiene que llegar a las personas adecuadas en el momento adecuado.

También es necesario hacer un seguimiento para que haya continuidad entre un ciclo de inteligencia y el siguiente y no se pierda el aprendizaje. Utilice sistemas de tickets que se integren con sus otros sistemas de seguridad para rastrear cada paso del ciclo de inteligencia: cada vez que surge una nueva solicitud de inteligencia, los tickets pueden ser enviados, redactados, revisados y cumplidos por múltiples personas de diferentes equipos, todo en un solo lugar.

Feedback

El último paso es cuando el ciclo de inteligencia cierra el círculo, lo que lo hace estrechamente relacionado con la fase inicial de planificación y dirección. Después de recibir el producto de inteligencia terminado, quien hizo la solicitud inicial lo revisa y determina si sus preguntas fueron respondidas. Esto impulsa los objetivos y procedimientos del siguiente ciclo de inteligencia, haciendo de nuevo que la documentación y la continuidad sean esenciales.

Los tipos de inteligencia sobre amenazas

Como demuestra el ciclo de vida de la inteligencia sobre amenazas, el producto final tendrá un aspecto diferente dependiendo de los requisitos iniciales de la inteligencia, las fuentes de información y el público al que va dirigido. Puede ser útil dividir la inteligencia sobre amenazas en algunas categorías basadas en estos criterios.

La inteligencia sobre amenazas suele dividirse en tres subcategorías:

  • Estratégica – Tendencias más amplias normalmente destinadas a un público no técnico
  • Táctica – Esbozos de las tácticas, técnicas y procedimientos de los actores de las amenazas para un público más técnico
  • Operativa – Detalles técnicos sobre ataques y campañas específicas

Inteligencia sobre amenazas estratégicas

La inteligencia sobre amenazas estratégicas proporciona una visión general del panorama de amenazas de una organización. Está destinada a informar las decisiones de alto nivel tomadas por los ejecutivos y otros responsables de la toma de decisiones en una organización – como tal, el contenido es generalmente menos técnico y se presenta a través de informes o reportes. Una buena inteligencia estratégica debe proporcionar información sobre áreas como los riesgos asociados a ciertas líneas de acción, patrones generales en las tácticas y objetivos de los actores de amenazas, y eventos y tendencias geopolíticas.

Las fuentes comunes de información para la inteligencia estratégica sobre amenazas incluyen:

  • Documentos de política de los estados-nación o de organizaciones no gubernamentales
  • Noticias de los medios de comunicación locales y nacionales, publicaciones de la industria y de temas específicos, u otros expertos en la materia
  • Papeles blancos, informes de investigación y otros contenidos producidos por organizaciones de seguridad

La producción de una sólida inteligencia estratégica sobre amenazas comienza con la formulación de preguntas específicas y centradas para establecer los requisitos de inteligencia. También se necesitan analistas con conocimientos ajenos a las habilidades típicas de la ciberseguridad, en particular, una gran comprensión de los conceptos sociopolíticos y empresariales.

Aunque el producto final no es técnico, la producción de inteligencia estratégica eficaz requiere una investigación profunda a través de enormes volúmenes de datos, a menudo en varios idiomas. Esto puede hacer que la recopilación y el procesamiento iniciales de los datos sean demasiado difíciles de realizar manualmente, incluso para aquellos analistas raros que poseen las habilidades lingüísticas, la formación técnica y la destreza adecuada. Una solución de inteligencia sobre amenazas que automatiza la recopilación y el procesamiento de datos ayuda a reducir esta carga y permite a los analistas que no tienen tanta experiencia trabajar con mayor eficacia.

Inteligencia sobre amenazas tácticas

La inteligencia sobre amenazas tácticas describe las tácticas, técnicas y procedimientos (TTP) de los actores de la amenaza. Debe ayudar a los defensores a entender, en términos específicos, cómo su organización podría ser atacada y las mejores formas de defenderse o mitigar esos ataques. Suele incluir el contexto técnico y lo utiliza el personal directamente implicado en la defensa de una organización, como los arquitectos de sistemas, los administradores y el personal de seguridad.

Los informes elaborados por los proveedores de seguridad suelen ser la forma más sencilla de obtener inteligencia táctica sobre amenazas. Busque información en los informes sobre los vectores de ataque, las herramientas y la infraestructura que los atacantes están utilizando, incluyendo detalles sobre qué vulnerabilidades están siendo atacadas y qué explotaciones están aprovechando los atacantes, así como las estrategias y herramientas que pueden estar utilizando para evitar o retrasar la detección.

La inteligencia táctica sobre amenazas debe utilizarse para informar de las mejoras en los controles y procesos de seguridad existentes y acelerar la respuesta a los incidentes. Debido a que muchas de las preguntas a las que responde la inteligencia táctica son exclusivas de su organización, y necesitan ser respondidas en un plazo corto – por ejemplo, «¿Está presente en mis sistemas esta vulnerabilidad crítica que está siendo explotada por actores de amenazas que apuntan a mi industria?» – contar con una solución de inteligencia de amenazas que integre los datos de su propia red es crucial.

Inteligencia de amenazas operativas

La inteligencia operativa es el conocimiento sobre ciberataques, eventos o campañas. Proporciona información especializada que ayuda a los equipos de respuesta a incidentes a comprender la naturaleza, la intención y el momento de ataques específicos.

Debido a que suele incluir información técnica -información como qué vector de ataque se está utilizando, qué vulnerabilidades se están explotando o qué dominios de mando y control se están empleando- este tipo de inteligencia también se denomina inteligencia técnica sobre amenazas. Una fuente común de información técnica son las fuentes de datos sobre amenazas, que suelen centrarse en un único tipo de indicador, como los hashes de malware o los dominios sospechosos.

Pero si se considera que la inteligencia sobre amenazas técnicas se deriva estrictamente de la información técnica, como las fuentes de datos sobre amenazas, entonces la inteligencia sobre amenazas técnicas y operativas no son totalmente sinónimas, sino más bien un diagrama de Venn con enormes solapamientos. Otras fuentes de información sobre ataques específicos pueden provenir de fuentes cerradas como la interceptación de las comunicaciones de los grupos de amenazas, ya sea a través de la infiltración o la irrupción en esos canales de comunicación.

En consecuencia, hay algunas barreras para la recopilación de este tipo de inteligencia:

  • Acceso – Los grupos de amenazas pueden comunicarse a través de canales privados y encriptados, o requieren alguna prueba de identificación. También existen barreras lingüísticas con los grupos de amenazas ubicados en países extranjeros.
  • Ruido – Puede ser difícil o imposible recopilar manualmente una buena inteligencia de fuentes de gran volumen como las salas de chat y las redes sociales.
  • Ofuscación – Para evitar la detección, los grupos de amenazas pueden emplear tácticas de ofuscación como el uso de nombres en clave.

Las soluciones de inteligencia de amenazas que se basan en procesos de aprendizaje automático para la recopilación de datos a gran escala pueden superar muchos de estos problemas cuando se trata de desarrollar una inteligencia de amenazas operativa eficaz. Una solución que utilice el procesamiento del lenguaje natural, por ejemplo, podrá recopilar información de fuentes en idiomas extranjeros sin necesidad de conocimientos humanos para descifrarla.

Aprendizaje automático para mejorar la inteligencia sobre amenazas

El procesamiento de datos tiene lugar hoy en día a una escala que requiere la automatización para ser exhaustivo. Combina puntos de datos de muchos tipos diferentes de fuentes -incluyendo fuentes abiertas, de la web oscura y técnicas- para formar la imagen más sólida posible.

Recorded Future utiliza técnicas de aprendizaje automático de cuatro maneras para mejorar la recopilación y la agregación de datos: para estructurar los datos en categorías, para analizar el texto en varios idiomas, para proporcionar puntuaciones de riesgo y para generar modelos predictivos.

Estructurar los datos en entidades y eventos

La ontología tiene que ver con cómo dividimos los conceptos y cómo los agrupamos. En la ciencia de los datos, las ontologías representan categorías de entidades basadas en sus nombres, propiedades y relaciones entre sí, lo que facilita su clasificación en jerarquías de conjuntos. Por ejemplo, Boston, Londres y Gotemburgo son entidades distintas que también se engloban en la entidad más amplia «ciudad».

Si las entidades representan una forma de clasificar conceptos físicamente distintos, los eventos clasifican conceptos en el tiempo. Los eventos registrados en el futuro son independientes del idioma: algo como «Juan visitó París», «Juan hizo un viaje a París», «Джон прилетел в Париж» y «Juan a visité París» se reconocen como el mismo evento.

Las ontologías y los eventos permiten realizar potentes búsquedas sobre categorías, lo que permite a los analistas centrarse en el panorama general en lugar de tener que ordenar manualmente los datos por sí mismos.

Estructurar el texto en varios idiomas mediante el procesamiento del lenguaje natural

Con el procesamiento del lenguaje natural, las entidades y los eventos son capaces de ir más allá de las simples palabras clave, convirtiendo el texto no estructurado de fuentes en diferentes idiomas en una base de datos estructurada.

El aprendizaje automático que impulsa este proceso puede separar la publicidad del contenido principal, clasificar el texto en categorías como prosa, registros de datos o código, y desambiguar entre entidades con el mismo nombre (como «Apple», la empresa, y «manzana», la fruta) mediante el uso de pistas contextuales en el texto circundante.

De esta manera, el sistema puede analizar el texto de millones de documentos diarios en siete idiomas diferentes, una tarea que requeriría un equipo de analistas humanos imprácticamente grande y capacitado para hacerlo. Este ahorro de tiempo ayuda a los equipos de seguridad informática a trabajar un 32% más eficientemente con Recorded Future.

Para clasificar eventos y entidades, ayudando a los analistas humanos a priorizar las alertas

El aprendizaje automático y la metodología estadística se utilizan para clasificar aún más las entidades y los eventos según su importancia, por ejemplo, asignando puntuaciones de riesgo a las entidades maliciosas.

Las puntuaciones de riesgo se calculan a través de dos sistemas: uno impulsado por reglas basadas en la intuición y la experiencia humana, y el otro impulsado por el aprendizaje automático entrenado en un conjunto de datos ya vetado.

Los clasificadores como las puntuaciones de riesgo proporcionan tanto un juicio («este evento es crítico») como el contexto que explica la puntuación («porque múltiples fuentes confirman que esta dirección IP es maliciosa»).

La automatización de la clasificación de los riesgos ahorra tiempo a los analistas a la hora de clasificar los falsos positivos y decidir a qué dar prioridad, lo que ayuda al personal de seguridad informática que utiliza Recorded Future a dedicar un 34 por ciento menos de tiempo a la compilación de informes.

Predecir eventos y propiedades de las entidades a través de modelos predictivos

El aprendizaje automático también puede generar modelos que predicen el futuro, a menudo con mucha más precisión que cualquier analista humano, aprovechando las profundas reservas de datos previamente extraídas y categorizadas.

Esta es una aplicación particularmente fuerte de la «ley de los grandes números» del aprendizaje automático: a medida que sigamos recurriendo a más fuentes de datos, estos modelos predictivos serán cada vez más precisos.

Casos de uso de la inteligencia sobre amenazas

Los diversos casos de uso de la inteligencia sobre amenazas la convierten en un recurso esencial para los equipos multifuncionales de cualquier organización. Aunque quizás su valor más inmediato sea cuando ayuda a prevenir un ataque, la inteligencia sobre amenazas también es una parte útil del triaje, el análisis de riesgos, la gestión de vulnerabilidades y la toma de decisiones de amplio alcance.

Respuesta a incidentes

Los analistas de seguridad a cargo de la respuesta a incidentes reportan algunos de los niveles más altos de estrés en la industria, y no es de extrañar por qué: la tasa de incidentes cibernéticos ha aumentado constantemente en las últimas dos décadas, y una alta proporción de las alertas diarias resultan ser falsos positivos. Cuando se trata de incidentes reales, los analistas a menudo deben dedicar tiempo a clasificar minuciosamente los datos de forma manual para evaluar el problema.

La inteligencia sobre amenazas reduce la presión de múltiples maneras:

  • Identificando y descartando automáticamente los falsos positivos
  • Enriqueciendo las alertas con contexto en tiempo real, como puntuaciones de riesgo personalizadas
  • Comparando información de fuentes internas y externas

Los usuarios de Recorded Future identifican los riesgos 10 veces más rápido de lo que lo hacían antes de integrar la inteligencia de amenazas en sus soluciones de seguridad, dándoles días más de tiempo de media para responder a las amenazas en un sector en el que incluso los segundos pueden importar.

Operaciones de seguridad

La mayoría de los equipos de los centros de operaciones de seguridad (SOC) deben lidiar con enormes volúmenes de alertas generadas por las redes que supervisan. La clasificación de estas alertas lleva demasiado tiempo, y muchas nunca se investigan. La «fatiga de las alertas» lleva a los analistas a tomarse las alertas menos en serio de lo que deberían. La inteligencia sobre amenazas resuelve muchos de estos problemas, ya que ayuda a recopilar información sobre las amenazas de forma más rápida y precisa, a filtrar las falsas alarmas, a acelerar el triaje y a simplificar el análisis de los incidentes. Con ella, los analistas pueden dejar de perder el tiempo persiguiendo alertas basadas en:

  • Acciones que tienen más probabilidades de ser inocuas que maliciosas
  • Ataques que no son relevantes para esa empresa
  • Ataques para los que ya existen defensas y controles

Además de acelerar el triaje, la inteligencia sobre amenazas puede ayudar a los equipos SOC a simplificar el análisis y la contención de incidentes. Los usuarios de Recorded Future resuelven las amenazas un 63% más rápido, reduciendo a más de la mitad las horas críticas que dedican a la remediación.

Gestión de la vulnerabilidad

Una gestión eficaz de la vulnerabilidad significa pasar de un enfoque de «parchear todo, todo el tiempo» -que nadie puede alcanzar de forma realista- a priorizar las vulnerabilidades en función del riesgo real.

Aunque el número de vulnerabilidades y amenazas ha aumentado cada año, las investigaciones muestran que la mayoría de las amenazas tienen como objetivo la misma y pequeña proporción de vulnerabilidades. Los actores de las amenazas también son más rápidos: ahora sólo pasan quince días de media entre el anuncio de una nueva vulnerabilidad y la aparición de un exploit dirigido a ella.

Esto tiene dos implicaciones:

  • Tiene dos semanas para parchear o remediar sus sistemas contra un nuevo exploit. Si no puede parchear en ese plazo, tenga un plan para mitigar el daño.
  • Si una nueva vulnerabilidad no es explotada en un plazo de dos semanas a tres meses, es poco probable que lo sea alguna vez – parchearla puede tener menor prioridad.

La inteligencia de amenazas le ayuda a identificar las vulnerabilidades que suponen un riesgo real para su organización, yendo más allá de la puntuación de CVE al combinar datos internos de escaneo de vulnerabilidades, datos externos y contexto adicional sobre las TTPs de los actores de las amenazas. Con Recorded Future, los usuarios identifican un 22% más de amenazas reales antes de que tengan un impacto grave.

Análisis de riesgos

El modelado de riesgos puede ser una forma útil para que las organizaciones establezcan prioridades de inversión. Pero muchos modelos de riesgo adolecen de resultados vagos y no cuantificados que se compilan apresuradamente, se basan en información parcial, se basan en suposiciones infundadas o son difíciles de tomar medidas.

La inteligencia sobre amenazas proporciona un contexto que ayuda a los modelos de riesgo a realizar mediciones de riesgo definidas y a ser más transparentes sobre sus suposiciones, variables y resultados. Puede ayudar a responder a preguntas como:

  • ¿Qué actores de amenazas están utilizando este ataque, y se dirigen a nuestra industria?
  • ¿Con qué frecuencia se ha observado este ataque específico recientemente en empresas como la nuestra?
  • ¿La tendencia es al alza o a la baja?
  • ¿Qué vulnerabilidades aprovecha este ataque y están presentes en nuestra empresa?
  • ¿Qué tipo de daños, técnicos y financieros, ha causado este ataque en empresas como la nuestra?

Hacer las preguntas correctas con la inteligencia de amenazas de Recorded Future es una de las formas en que los usuarios ven una reducción del 86 por ciento en el tiempo de inactividad no planificado – una gran diferencia cuando incluso un minuto de inactividad puede costar a algunas organizaciones hasta 9.000 dólares en pérdida de productividad y otros daños.

Prevención del fraude

Para mantener la seguridad de su organización, no basta con detectar y responder a las amenazas que ya explotan sus sistemas. También es necesario prevenir los usos fraudulentos de sus datos o de su marca.

La inteligencia sobre amenazas recopilada de las comunidades criminales clandestinas proporciona una ventana a las motivaciones, métodos y tácticas de los actores de las amenazas, especialmente cuando esta inteligencia se correlaciona con la información de la web de superficie, incluidos los feeds e indicadores técnicos.

Utilice la inteligencia sobre amenazas para prevenir:

  • Fraude en los pagos – La supervisión de fuentes como las comunidades delictivas, los sitios de pasta y otros foros en busca de números de tarjetas de pago relevantes, números de identificación bancaria o referencias específicas a instituciones financieras puede proporcionar una alerta temprana de los próximos ataques que podrían afectar a su organización.
  • Datos comprometidos – Los ciberdelincuentes suben regularmente cachés masivas de nombres de usuario y contraseñas a sitios de pasta y a la web oscura, o los ponen a la venta en mercados clandestinos. Supervise estas fuentes con inteligencia de amenazas para estar atento a las credenciales filtradas, los datos corporativos o el código propietario.
  • Typosquatting – Reciba alertas en tiempo real sobre los dominios de phishing y typosquatting recién registrados para evitar que los ciberdelincuentes se hagan pasar por su marca y estafen a los usuarios desprevenidos.

Al evitar más infracciones con la inteligencia de amenazas, los usuarios de Recorded Future son capaces de ahorrar más de un millón de dólares por cada infracción potencial a través de multas perjudiciales, sanciones y la pérdida de confianza de los consumidores.

Liderazgo en seguridad

Los CSO y otros líderes de seguridad deben gestionar el riesgo equilibrando los limitados recursos disponibles con la necesidad de proteger a sus organizaciones de las amenazas en constante evolución. La inteligencia de amenazas puede ayudar a mapear el panorama de amenazas, calcular el riesgo y dar al personal de seguridad la inteligencia y el contexto para tomar decisiones mejores y más rápidas.

Hoy en día, los líderes de seguridad deben:

  • Evaluar los riesgos empresariales y técnicos, incluidas las amenazas emergentes y las «incógnitas conocidas» que podrían afectar al negocio
  • Identificar las estrategias y tecnologías adecuadas para mitigar los riesgos
  • Comunicar la naturaleza de los riesgos a la alta dirección, y justificar las inversiones en medidas defensivas

La inteligencia sobre amenazas puede ser un recurso crítico para todas estas actividades, proporcionando información sobre tendencias generales, como:

  • Qué tipos de ataques son cada vez más (o menos) frecuentes
  • Qué tipos de ataques son más costosos para las víctimas
  • Qué nuevos tipos de actores de amenazas están apareciendo, y los activos y empresas a los que se dirigen
  • Las prácticas y tecnologías de seguridad que han demostrado ser las más (o menos) exitosas a la hora de detener o mitigar estos ataques

También puede permitir a los grupos de seguridad evaluar si es probable que una amenaza emergente afecte a su empresa específica basándose en factores como:

  • Industria – ¿Está la amenaza afectando a otras empresas de nuestro vertical?
  • Tecnología – ¿Implica la amenaza comprometer el software, el hardware u otras tecnologías utilizadas en nuestra empresa?
  • Geografía – ¿Se dirige la amenaza a instalaciones en regiones donde tenemos operaciones?
  • Método de ataque – ¿Los métodos utilizados en el ataque, incluyendo la ingeniería social y los métodos técnicos, se han utilizado con éxito contra nuestra empresa o contra otras similares?

Con este tipo de inteligencia, recopilada a partir de un amplio conjunto de fuentes de datos externas, los responsables de la toma de decisiones de seguridad obtienen una visión holística del panorama de riesgos cibernéticos y de los mayores riesgos para su empresa.

Aquí hay cuatro áreas clave en las que la inteligencia sobre amenazas ayuda a los líderes de seguridad a tomar decisiones:

  • Mitigación – La inteligencia sobre amenazas ayuda a los líderes de seguridad a priorizar las vulnerabilidades y debilidades que los actores de las amenazas tienen más probabilidades de atacar, dando contexto a los TTPs que esos actores de las amenazas utilizan, y por lo tanto a las debilidades que tienden a explotar.
  • Comunicación – Los CISOs a menudo se enfrentan a la necesidad de describir las amenazas y justificar las contramedidas en términos que motiven a los líderes empresariales no técnicos, como el coste, el impacto en los clientes, las nuevas tecnologías. La inteligencia sobre amenazas proporciona una poderosa munición para estas discusiones, como el impacto de ataques similares en empresas del mismo tamaño en otras industrias o las tendencias y la inteligencia de la web oscura que indican que la empresa es probable que sea un objetivo.
  • Apoyar a los líderes – La inteligencia sobre amenazas puede proporcionar a los líderes de seguridad una imagen en tiempo real de las últimas amenazas, tendencias y eventos, ayudando a los líderes de seguridad a responder a una amenaza o a comunicar el impacto potencial de un nuevo tipo de amenaza a los líderes empresariales y a los miembros de la junta directiva de manera oportuna y eficiente.
  • La brecha de habilidades de seguridad – Los CISOs deben asegurarse de que la organización de TI tiene los recursos humanos para llevar a cabo su misión. Sin embargo, la escasez de competencias en materia de ciberseguridad hace que el personal de seguridad existente tenga que hacer frente con frecuencia a cargas de trabajo inmanejables. La inteligencia sobre amenazas automatiza algunas de las tareas más laboriosas, recopilando rápidamente datos y correlacionando el contexto de múltiples fuentes de inteligencia, priorizando los riesgos y reduciendo las alertas innecesarias. La potente inteligencia sobre amenazas también ayuda al personal subalterno a «mejorar» rápidamente y a rendir por encima de su nivel de experiencia.

Reducción del riesgo de terceros

Un sinfín de organizaciones están transformando su forma de hacer negocios mediante procesos digitales. Están trasladando los datos de las redes internas a la nube y recopilando más información que nunca.

El hecho de que los datos sean más fáciles de recopilar, almacenar y analizar está cambiando sin duda muchos sectores para mejor, pero este flujo libre de información tiene un precio. Significa que para evaluar el riesgo de nuestra propia organización, también tenemos que considerar la seguridad de nuestros socios, proveedores y otros terceros.

Desgraciadamente, muchas de las prácticas de gestión de riesgos de terceros más comunes que se emplean hoy en día van por detrás de los requisitos de seguridad. Las evaluaciones estáticas del riesgo, como las auditorías financieras y las verificaciones de los certificados de seguridad, siguen siendo importantes, pero a menudo carecen de contexto y no siempre son oportunas. Se necesita una solución que ofrezca un contexto en tiempo real sobre el panorama real de las amenazas.

La inteligencia sobre amenazas es una forma de hacerlo. Puede proporcionar transparencia en los entornos de amenazas de los terceros con los que trabaja, proporcionando alertas en tiempo real sobre las amenazas y los cambios en sus riesgos y dándole el contexto que necesita para evaluar sus relaciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.