Plataformas de inteligencia sobre amenazas

¿Qué es una plataforma de inteligencia sobre amenazas?

Una plataforma de inteligencia de amenazas automatiza la recopilación, agregación y conciliación de datos externos de amenazas, proporcionando a los equipos de seguridad los conocimientos más recientes sobre amenazas para reducir los riesgos relevantes para su organización.

La inteligencia sobre amenazas es un factor clave para los defensores de la ciberseguridad que contribuye a la toma de decisiones previas y posteriores al incidente. En la actualidad, los equipos de ciberseguridad cuentan con una gran cantidad de medios y recursos relacionados con la inteligencia sobre amenazas. Basta con pensar un segundo en las docenas de artículos periodísticos o los cientos de fuentes de indicadores de código abierto, de listas comunitarias del sector del Information Sharing and Analysis Center (ISAC) y de soluciones de inteligencia sobre amenazas proporcionadas por proveedores para darse cuenta de cómo los profesionales están desbordados por la cantidad de opciones de inteligencia. Sin lugar a dudas, las preguntas que se plantean los consumidores de todos estos datos son: ¿en cuáles debería confiar?, ¿se solapa la información de unas y otras? y ¿cómo puedo traducir todos estos datos en información que pueda utilizar directamente en los controles de mi empresa o durante los flujos de trabajo?

Roles que utilizan las plataformas de inteligencia sobre amenazas

Un beneficio clave de utilizar una plataforma de inteligencia sobre amenazas es que facilita el intercambio de información sobre amenazas externas en la organización, tanto a partes interesadas técnicas y no técnicas. Este intercambio es posible gracias a los flujos de trabajo automatizados, la integración y el enriquecimiento constante de los datos recopilados.

Algunos de los roles y casos de uso en los que interviene la inteligencia sobre amenazas son:

Analistas de seguridad e informáticos

Utilizan la inteligencia sobre amenazas para optimizar los procesos de detección y prevención y desarrollar sistemas de defensa más sólidos.

Casos de uso de analistas

• Integran las fuentes de inteligencia sobre amenazas con otros productos relacionados con la seguridad
• Bloquean las IP, las URL, los dominios y los archivos maliciosos, entre otros

Centro de operaciones de seguridad (SOC)

Prioriza la respuesta ante incidentes en función del riesgo y el impacto en la organización.

Casos de uso del SOC

• Utilizan la inteligencia sobre amenazas para mejorar las alertas
• Vinculan las alertas a incidentes
• Reducen el número de falsos positivos y el exceso de alertas 

Aumenta la velocidad de los procesos de investigación, gestión y priorización de los incidentes de seguridad.

Casos de uso del CSIRT

• Buscan información sobre los motivos, las atribuciones y las tácticas, las técnicas y los procedimientos (TTP) de los incidentes
• Analizan la causa raíz para determinar el alcance de los incidentes

Analistas de inteligencia

Detectan y rastrean las actividades que pueden suponer una amenaza para la organización, lo que permite entender mejor los aspectos relevantes del panorama actual de amenazas y realizar análisis avanzados que permitan comprender rápidamente el contexto de las alertas de la organización de los atacantes, las campañas, los incidentes, el malware, las firmas, las TTP y las vulnerabilidades conocidas.

Casos de uso de los analistas de inteligencia

• Agrupan datos estructurados y no estructurados (informes) relacionados con atacantes para mejorar la forma de identificarlos
• Activan las funciones de clasificación de amenazas y respuesta ante incidentes
• Dirigen la priorización de los parches de vulnerabilidades

Gestión ejecutiva

Comprende los riesgos a los que se enfrenta la organización y las opciones disponibles para abordar su impacto.

Casos de uso de gestión ejecutiva

• Evalúa el nivel de amenaza general al que está expuesta la organización
• Desarrolla una hoja de ruta en materia de seguridad

Cómo funcionan las plataformas de inteligencia sobre amenazas

Las plataformas de inteligencia sobre amenazas recopilan de forma automática datos de varias fuentes externas y, a continuación, los organizan en diferentes formatos que se pueden analizar y agrupar para su uso por parte de humanos o equipos.

Sin embargo, las amenazas son un elemento en constante evolución, por lo que las empresas tienen que adaptarse rápidamente si quieren adoptar medidas que marquen la diferencia. Contar con un marco ayuda a los equipos de seguridad a optimizar los recursos y a no quedarse atrás en lo que al panorama de amenazas. El ciclo de vida de la inteligencia sobre amenazas es un marco de seis pasos que ayuda a las organizaciones a lograr los siguientes objetivos:

1. Requisitos

Este paso se centra en la planificación. Es en este momento cuando la organización debe decidir los consumidores a los que se dirige el producto de inteligencia y los resultados esperados. Por ejemplo, ¿está pensada la inteligencia para realizar tareas de detección específicas, para dar respuesta ante incidentes una vez que se hayan producido o para identificar las amenazas más importantes sobre la superficie de ataque de la organización?  Para organizar los requisitos, es importante empezar determinando los tipos de amenazas de seguridad potenciales más probables, por ejemplo, identificando el tipo de atacantes maliciosos que con mayor probabilidad atacarán la organización, detectando las tácticas de ataque más habituales y determinando las personas a las que se debe informar en caso de que se produzca algún incidente.

2. Recopilación

Normalmente, las plataformas de inteligencia sobre amenazas (TIP) empiezan recopilando datos sin procesar externos a la organización, por ejemplo, de proveedores de seguridad, comunidades, bases de datos de vulnerabilidad nacionales o fuentes de código abierto. Los proveedores de soluciones de seguridad pueden agrupar datos de su base de datos de usuarios e incorporar las fuentes de inteligencia resultantes a sus soluciones para beneficiar a sus clientes u ofrecer estas fuentes como un producto independiente. Asimismo, existen otras fuentes, como las específicas de un sector determinado, los "círculos de confianza" de los profesionales de ciberseguridad y los foros de la dark web. Es posible acceder a las fuentes de información de código abierto desde diferentes ubicaciones, como la Agencia estadounidense de ciberseguridad y seguridad de infraestructuras (CISA), SANS y Google. Los rastreadores web se utilizan para buscar exploits y ataques en Internet.

3. Tratamiento

Los datos sin procesar se convierten a formatos que se puedan analizar. Este proceso incluye el descifrado de archivos, la traducción de contenido en un idioma extranjero, la organización de puntos de datos en hojas de cálculo y la evaluación de la fiabilidad y relevancia de los datos.

4. Análisis

Durante este paso, los datos sin procesar se transforman en inteligencia práctica que se utiliza para desarrollar planes de acción que se ajusten a las decisiones tomadas durante la fase "requisitos". Los datos clave finales se agrupan en diferentes tipos de informes y valoraciones para su consumo por parte de diferentes tipos de público:

• La inteligencia estratégica está dirigida a responsables de planificación sénior y se centra en tendencias generales que permiten planificar inversiones y directivas de seguridad.
• La inteligencia táctica se centra en indicadores de compromiso (IOC) y se utiliza para acelerar los procesos de identificación y eliminación de amenazas potenciales. La inteligencia sobre amenazas táctica es la que se genera de forma más sencilla y, habitualmente, se automatiza.
• La inteligencia operativa analiza diferentes elementos de los ciberataques (quién y cómo los llevó a cabo y en qué consistieron exactamente) con el objetivo de identificar las tácticas, los motivos y el nivel de habilidad de los atacantes maliciosos y así poder adoptar las medidas de defensa adecuadas antes de que se produzca otro ataque.

5. Difusión

Los resultados de los análisis se traducen en recomendaciones personalizadas para los diferentes públicos y se presentan ante las partes interesadas. Durante este paso, es fundamental evitar el uso de jergas técnicas y utilizar un lenguaje conciso. Los mejores formatos para presentar este tipo de información son los informes de una página o las presentaciones breves. 

6. Retroalimentación

Dado que el panorama de amenazas está en constante evolución, se debe establecer un bucle de retroalimentación continuo. Durante este paso, se debe preguntar a las partes interesadas acerca de la relevancia de los informes que se les han proporcionado, así como medir la efectividad de los controles técnicos establecidos. Este bucle de retroalimentación se puede utilizar para realizar modificaciones en la selección de recursos de inteligencia sobre amenazas externos, así como para priorizar los nuevos datos en función del contexto.

Funciones principales de la plataforma de inteligencia sobre amenazas

Una plataforma de inteligencia sobre amenazas basada exclusivamente en indicadores no es una herramienta de seguridad adecuada para el sofisticado entorno de amenazas actual. Los adversarios cambian periódicamente sus tácticas, por lo que los indicadores no revelarán los motivos ni el grado de sofisticación del atacante. Es fundamental buscar una solución que integre múltiples tipos de inteligencia sobre amenazas y que permita a los usuarios consultar y distribuir los datos. Las plataformas de inteligencia sobre amenazas deberían consolidar los indicadores de diferentes fuentes y evitar que aparezcan duplicados. Sin embargo, son los datos sobre las tácticas y sobre los atacantes los que proporcionan orientación a los equipos de operaciones de seguridad sobre qué hacer a continuación.  Además, la identificación de nuevas campañas de ataque debería ser un proceso automatizado e integrado en un amplio abanico de controles o herramientas de detección, como análisis de seguridad (SIEM, NBA), la detección y respuesta para endpoints (EDR), los firewalls de nueva generación (NGFW), las herramientas de gestión de recursos y vulnerabilidad, y los flujos de trabajo de respuesta ante incidentes.

Compatibilidad de CrowdStrike con las plataformas de inteligencia sobre amenazas

CrowdStrike es compatible con las plataformas de inteligencia sobre amenazas, ya que ofrece integraciones y accesos a la API de nuestro galardonado módulo de inteligencia sobre amenazas: CROWDSTRIKE FALCON® INTELLIGENCE™. CrowdStrike Falcon® Intelligence ofrece IOC enriquecidos con contexto, informes de amenazas, aislamiento de malware, atribuciones y un repositorio de malware con búsquedas sencillas. Además, se integra con los mejores proveedores de TIP, como ThreatQuotient, ThreatConnect y Anomali, ofreciendo información procesable sobre los principales atacantes, vectores de ataque y tendencias de inteligencia sobre amenazas.

Cabe destacar que las TIP solo constituyen una solución para lograr los casos de uso mencionados anteriormente en este artículo. CrowdStrike Security Cloud correlaciona billones de incidentes de seguridad cada día, recopilados de millones de endpoints y cargas de trabajo en la nube de todo el mundo. Gracias a la combinación de la inteligencia artificial con los análisis manuales realizados por expertos, cada año enviamos a nuestros clientes millones de IOC en tiempo real y miles de informes de inteligencia. De este modo, los clientes de CrowdStrike pueden llevar a cabo muchos de los casos de uso de TIP mencionados anteriormente sin necesidad de implementar infraestructuras nuevas ni de diseñar nuevos flujos de trabajo. 

¿Quieres saber cómo ayuda CrowdStrike a sus clientes a lograr sus objetivos en materia de inteligencia? Visita nuestras páginas de Inteligencia sobre el adversario de CrowdStrike y de la plataforma Falcon para descubrir todo lo que te podemos ofrecer.