¿Qué es una fuente de inteligencia sobre amenazas?

Una fuente de inteligencia sobre amenazas es un flujo de datos continuo y en tiempo real que recopila información relacionada con ciberriesgos o ciberamenazas. Estos datos suelen centrarse en un único aspecto relacionado con la ciberseguridad, como dominios inusuales, firmas de malware o direcciones IP asociadas con atacantes conocidos.

Por sí solos, la utilidad de los datos obtenidos por las fuentes de inteligencia sobre amenazas es bastante limitada. Cuando se vuelven realmente valiosos es cuando se combinan con otras herramientas, plataformas y funciones de seguridad para ayudar y permitir a la organización mejorar su inteligencia sobre amenazas.

¿Qué es la inteligencia sobre amenazas?

La inteligencia sobre amenazas son datos que se recopilan, procesan y analizan para identificar los motivos, objetivos y comportamientos de ataque de los atacantes. La inteligencia sobre amenazas permite a los equipos de seguridad tomar decisiones de seguridad más rápidas, informadas y respaldadas por datos, así como cambiar su comportamiento de reactivo a proactivo en la lucha contra los atacantes.

La información clave y los datos de las fuentes de inteligencia sobre amenazas se pueden utilizar para:

• Bloquear fuentes maliciosas conocidas
• Mejorar la detección de amenazas
• Priorizar alertas y orientar las medidas de corrección
• Añadir contexto durante una investigación

Comparación entre fuentes de amenazas y fuentes de inteligencia sobre amenazas

Tanto las fuentes de amenazas como las fuentes de inteligencia sobre amenazas son flujos de datos en tiempo real que recopilan información sobre ciberriesgos y ciberamenazas. Sin embardo, la principal diferencia entre ambos conceptos es el contexto.

Mientras que las fuentes de amenazas se limitan a recopilar grandes cantidades de datos y ponerlos a disposición de los equipos de seguridad a través de un informe o la visión inmediata del conjunto de datos, las fuentes de inteligencia sobre amenazas proporcionan indicadores de compromiso (información forense digital que sugiere que se puede haber producido una brecha en un archivo, un sistema o una red) con contexto. Gracias a ellas, los equipos se pueden centrar en los problemas y en las alertas más urgentes.

El contexto es un elemento crucial para los equipos informáticos modernos, ya que la mayoría están saturados de trabajo y cuentan con poco personal, por lo que carecen del tiempo necesario para gestionar y revisar múltiples fuentes de datos. El uso de tecnología, incluidos la agrupación y el análisis de datos (ML basado en IA), para analizar fuentes de datos sin procesar, eliminar duplicados y proporcionar contexto sobre los hallazgos hace que los datos sean más fáciles de procesar y, por ende, más útiles.

Comparación entre las fuentes de inteligencia de código abierto y las fuentes de inteligencia de pago

Habitualmente, las fuentes de inteligencia sobre amenazas se clasifican en dos categorías:

1. Fuentes de inteligencia de código abierto gratuitas
2. Servicios de pago de terceros

Generalmente, las fuentes de inteligencia sobre amenazas se basan en datos de código abierto, y de su mantenimiento se encargan miembros de una comunidad en línea. Muchas fuentes de inteligencia sobre amenazas de código abierto se especializan en un tipo específico de amenaza, como las URL de malware o las direcciones IP de spam. Algunas de las fuentes de inteligencia sobre amenazas de código abierto más populares son:

• URLhaus: Recopila, rastrea y comparte URL de malware
• Proyecto Spamhaus: Rastrea a los spammers de correo electrónico y cualquier actividad relacionada con el spam
• FBI InfraGard: Asociación entre el FBI y empresas del sector privado para proteger la infraestructura crítica de EE. UU.

Las fuentes de inteligencia sobre amenazas de pago también pueden utilizar datos de código abierto. Sin embargo, suelen recopilar datos de fuentes cerradas, combinar varias fuentes de código abierto en un único flujo o contar con su propia fuente basada en análisis.

Independientemente de si tu organización utiliza fuentes de inteligencia sobre amenazas gratuitas o de pago, es importante que recuerdes que una mayor cantidad de datos no se traduce necesariamente en un mayor nivel de seguridad. De hecho, contar con una mayor cantidad de datos (o de fuentes) podría deteriorar involuntariamente la posición de seguridad de la organización, puesto que proporcionar al personal una cantidad abrumadora de información puede provocar fatiga, omisión de alertas e incapacidad de detectar amenazas reales.

Además, las organizaciones deben ser conscientes de que no todas las fuentes de inteligencia sobre amenazas son fiables u oportunas. Las empresas deben analizar quién posee y recopila los datos y evalúa su precisión, exhaustividad y fiabilidad. Asimismo, es importante tener en cuenta que los atacantes tienen acceso a muchas fuentes de inteligencia sobre amenazas, especialmente a las de código abierto. Algunos atacantes introducirán deliberadamente en ellas datos maliciosos para combatir la inteligencia y otros las monitorizarán para ir siempre un paso por delante de los equipos de ciberseguridad.

Por último, tanto en el caso de las fuentes de inteligencia sobre amenazas gratuitas como de pago, es vital garantizar que el equipo informático cuenta con el contexto adecuado sobre los datos para que pueda reconocer datos clave y tratarlos como tal.

Ventajas que reportan las fuentes de inteligencia sobre amenazas

Las fuentes de inteligencia sobre amenazas ofrecen a los profesionales de la seguridad visibilidad externa sobre fuentes maliciosas conocidas. Estos datos se pueden utilizar para mejorar las medidas de prevención y detección, así como la respuesta a incidentes y su correspondiente corrección.

El uso efectivo de las fuentes de inteligencia sobre amenazas ofrece una amplia gama de ventajas para las organizaciones, por ejemplo:

• Mayor eficiencia y mejor asignación de recursos: Al automatizar la recopilación, el formateo, el análisis y la difusión de datos, el equipo informático puede centrarse en tareas de mayor valor. Además, como las fuentes de inteligencia sobre amenazas proporcionan un valioso contexto sobre los datos recopilados, los equipos informáticos pueden priorizar tareas y asignar los recursos limitados a las necesidades más imperiosas.
• Medidas de seguridad proactivas mejoradas: Si bien los datos de las fuentes de inteligencia sobre amenazas por sí solos no mejoran necesariamente la posición de seguridad, su combinación con soluciones de detección y mapeo de detección puede ayudar a la organización a prevenir incidentes de seguridad y a estar mejor preparada para enfrentarse a ellos. Para conseguirlo, se deben implementar medidas de seguridad específicas para lidiar con amenazas concretas, así como fortalecer las defensas basándose en los datos obtenidos a través de las fuentes de inteligencia sobre amenazas.
• Mayor velocidad: Las fuentes de inteligencia sobre amenazas proporcionan acceso a la información y los datos clave más actualizados en tiempo real. Se trata de algo de vital importancia teniendo en cuenta la rapidez y la frecuencia de cambio del panorama de seguridad. Tener acceso a la inteligencia sobre amenazas adecuada, así como una infraestructura y un conjunto de herramientas de seguridad sólidas puede ayudar a las empresas a ir siempre un paso por delante de sus adversarios.

Cómo recopilan los datos las fuentes de inteligencia sobre amenazas

Las fuentes de inteligencia sobre amenazas funcionan como muchas otras fuentes de datos. El sistema está programado para recibir, almacenar, eliminar duplicados y preparar datos que coincidan con determinadas cualidades de fuentes predeterminadas de forma automática. En muchos casos, los equipos de seguridad utilizan los datos de una plataforma de inteligencia sobre amenazas (TIP) para realizar este proceso de forma coordinada.

El proceso habitual consiste en:

1. Definir los requisitos de datos

Se trata de una fase de planificación en la que la organización define sus objetivos en relación a los datos de inteligencia sobre amenazas. Los requisitos variarán en función de cómo se vayan a utilizar los datos, las amenazas específicas a las que se enfrente la organización y las técnicas de ataques más comunes de los adversarios conocidos.

2. Automatizar la recopilación de datos

La mayoría de los sistemas de inteligencia sobre amenazas empiezan recopilando datos sin procesar de fuentes externas, como proveedores de seguridad, comunidades, bases de datos de vulnerabilidad nacionales y fuentes de código abierto. Los proveedores de soluciones de seguridad pueden agrupar datos de su base de datos de usuarios e incorporar las fuentes de inteligencia resultantes a sus soluciones para beneficiar a sus clientes u ofrecer estas fuentes como un producto independiente. Asimismo, existen otras fuentes, como las específicas de un sector determinado, los "círculos de confianza" de los profesionales de ciberseguridad y los foros de la dark web. También es posible utilizar rastreadores web para buscar exploits y vulnerabilidades en Internet.

3. Convertir datos y prepararlos para su análisis

Los datos sin procesar se convierten a formatos que se puedan analizar. Este proceso incluye el descifrado de archivos, la traducción de contenido en un idioma extranjero, la organización de puntos de datos en hojas de cálculo y la evaluación de la fiabilidad y relevancia de los datos.

4. Analizar los datos

Durante este paso, los datos sin procesar se transforman en inteligencia práctica que se utiliza para desarrollar planes de acción que se ajusten a las decisiones tomadas durante la fase de definición de requisitos. Los datos clave finales se agrupan en diferentes informes y valoraciones específicos para diferentes tipos de público:

• La inteligencia estratégica está dirigida a responsables de planificación sénior y se centra en tendencias generales que permiten planificar inversiones y directivas de seguridad.
• La inteligencia táctica se centra en indicadores de compromiso (IOC) y se utiliza para acelerar los procesos de identificación y eliminación de amenazas potenciales. La inteligencia táctica sobre amenazas es la que se genera de forma más sencilla y, habitualmente, se automatiza.
• La inteligencia operativa analiza diferentes elementos de los ciberataques (quién y cómo los llevó a cabo y en qué consistieron exactamente) con el objetivo de identificar las tácticas, los motivos y el nivel de habilidad de los atacantes maliciosos y así poder adoptar las medidas de defensa adecuadas antes de que se produzca otro ataque.

5. Difundir los datos

Los resultados de los análisis se traducen en recomendaciones personalizadas para los diferentes públicos y se presentan ante las partes interesadas. Durante este paso, es fundamental evitar el uso de jergas técnicas y utilizar un lenguaje conciso. Los mejores formatos para presentar este tipo de información son los informes de una página o las presentaciones breves.

6. Establecer un bucle de retroalimentación

Dado que el panorama de amenazas está en constante evolución, se debe establecer un bucle de retroalimentación continuo. Durante este paso, se debe preguntar a las partes interesadas acerca de la relevancia de los informes que se les han proporcionado, así como medir la efectividad de los controles técnicos establecidos. Este bucle de retroalimentación se puede utilizar para realizar modificaciones en la selección de recursos de inteligencia sobre amenazas externos, así como para priorizar los nuevos datos en función del contexto.

Cómo hacer que las fuentes de inteligencia sobre ciberamenazas sean procesables

Si queremos que las fuentes de inteligencia sobre amenazas sean procesables, es necesario proporcionales el contexto adecuado para que los equipos de seguridad puedan revisar, priorizar y actuar rápidamente en relación con los datos clave del informe. Además, las fuentes deben combinarse con otras herramientas y plataformas de seguridad con el fin de garantizar que los datos se utilicen de manera eficaz y coordinada en toda la organización.

Las organizaciones que cuentan con soluciones de seguridad avanzadas pueden automatizar la respuesta a determinadas alertas producidas por datos de la fuente de inteligencia. De este modo, no solo se aumenta la velocidad de respuesta, sino que, además, libera al personal informático para que se puedan centrar en actividades de mayor valor y problemas más complejos.

Si bien las fuentes de inteligencia sobre amenazas desempeñan un papel fundamental a la hora de mantener la posición de seguridad de las organizaciones, las empresas deben monitorizar sistemáticamente los datos de la fuente y confirmar su fiabilidad. Para que las fuentes de inteligencia sobre amenazas sean realmente procesables, es necesario conocer los procesos, las fuentes y el contexto de todos sus datos.

Al igual que ocurre con cualquier sistema basado en datos, el concepto de "cuando entra un dato malo, debe salir un dato malo" ("Bad-In = Bad-Out") también se aplica a la inteligencia sobre amenazas. Lamentablemente, en el caso de la inteligencia sobre amenazas, confiar en datos no fiables, inexactos o incompletos puede tener consecuencias verdaderamente devastadoras en la toma de decisiones relacionadas con la seguridad.

Implementación

Como hemos indicado, la mayoría de las organizaciones utilizan una plataforma de inteligencia sobre amenazas o un SIEM (sistema de gestión de eventos e información de seguridad) para automatizar los procesos de recopilación, agrupación y armonización de datos sobre amenazas externas. Las herramientas SIEM también establecen una plataforma digital que los equipos de seguridad pueden utilizar para monitorizar y revisar los datos clave de amenazas más recientes. Las herramientas SIEM o TIP requieren un muy alto nivel de mantenimiento y su integración puede llevar mucho tiempo.

Inteligencia sobre amenazas con CrowdStrike

CrowdStrike es una empresa líder del sector a la hora de proporcionar a los equipos de seguridad inteligencia procesable. CrowdStrike Security Cloud correlaciona billones de incidentes de seguridad cada día, recopilados de millones de endpoints y cargas de trabajo en la nube de todo el mundo. Gracias a la combinación de la inteligencia artificial con los análisis manuales realizados por expertos, cada año enviamos a nuestros clientes millones de IOC en tiempo real y miles de informes de inteligencia.

Nuestro galardonado módulo de inteligencia sobre amenazas, Inteligencia sobre el adversario de CrowdStrike, proporciona IOC enriquecidos con contexto, análisis de amenazas, aislamiento de malware, atribución y repositorios de malware que permiten realizar búsquedas, ofreciendo así datos clave procesables sobre los principales atacantes, vectores de ataque y tendencias de inteligencia sobre amenazas. Además, CrowdStrike ofrece integraciones prediseñadas e integraciones de API a través de proveedores de TIP líderes del sector, como ThreatQuotient, ThreatConnect y Anomali. Los usuarios pueden descargar, filtrar y exportar a CSV diferentes indicadores directamente desde la plataforma utilizando una API.

¿Quieres saber cómo ayuda CrowdStrike a sus clientes a lograr sus objetivos en materia de inteligencia? Visita nuestras páginas de Inteligencia sobre el adversario de CrowdStrike y de la plataforma Falcon para descubrir todo lo que te podemos ofrecer.