Zpedia 

/ ¿Qué es la inteligencia sobre amenazas?

¿Qué es la inteligencia sobre amenazas?

La inteligencia de amenazas es la recopilación, el análisis y la difusión de información sobre ciberamenazas sospechosas, emergentes y activas, incluidas vulnerabilidades, tácticas, técnicas y procedimientos (TTP) de los actores de amenazas e indicadores de compromiso (IOC). Los equipos de seguridad la utilizan para identificar y mitigar los riesgos, reforzar los controles de seguridad y fundamentar la respuesta proactiva a los incidentes.
Explore la visión global de las amenazas de Internet de ThreatLabz
Protección contra ciberamenazas
  1. Por qué importa
  2. Tipos de inteligencia
  3. Quién se beneficia
  4. Ciclo de vida de 6 pasos
  5. Herramientas disponibles
  6. Casos de uso
  7. El papel de Zscaler
  8. Recursos sugeridos
  9. Temas relacionados

¿Por qué es importante la inteligencia contra amenazas?

En el creciente y cambiante panorama de amenazas actual, la inteligencia de amenazas desempeña un papel fundamental en la protección de los usuarios, los datos y la reputación de las organizaciones ya que las ayuda a comprender y responder mejor a las amenazas potenciales. Al comprender los IOC y TTP asociados con amenazas y vulnerabilidades emergentes, las organizaciones pueden poner las alertas de seguridad en contexto, lo que les permite priorizar amenazas de alta gravedad y prevenir ataques exitosos.

La inteligencia sobre amenazas también ayuda a las organizaciones a cuantificar el riesgo en profundidad, lo que respalda el cumplimiento, la evaluación y la generación de informes de acuerdo con GDPR, HIPAA,reglas de la SECy otras regulaciones. Además, es una herramienta poderosa para las fuerzas del orden y otros cazadores de amenazas que trabajan para neutralizar ataques o rastrear a sus perpetradores, contribuyendo a un entorno digital más seguro para todos.

La inteligencia sobre amenazas puede proceder de muchos tipos y fuentes de datos: los propios datos sin procesar de las organizaciones, fuentes de datos sobre amenazas, equipos de inteligencia humana, foros de la web oscura, etc.

¿Qué hace la inteligencia contra amenazas?

Con las herramientas y los conocimientos adecuados para agregar, analizar y correlacionar estos datos, las organizaciones obtienen perspectivas basadas en datos que pueden ayudarles a:

  • Identificar las amenazas y vulnerabilidades conocidas y nuevas que podrían poner en peligro a los usuarios, los datos o la infraestructura.
  • Priorizar los riesgos en función de su gravedad y relevancia para la organización.
  • Refinar las medidas de seguridad para enfatizar la defensa proactiva basada en señales de advertencia de amenazas emergentes.
  • Acelerar la respuesta, la corrección y la recuperación ante incidentes para reducir el impacto de una infracción
  • Atribuir patrones de comportamiento y otros contextos de IOC para ayudar a identificar a los actores de amenazas y sus motivos.
  • Apoyar el cumplimiento normativo para proteger a las organizaciones de multas y consecuencias legales.

¿Cuáles son los tipos de inteligencia sobre amenazas?

Los diferentes tipos de información sobre amenazas ayudan a los equipos a tomar diferentes tipos de decisiones de seguridad. A grandes rasgos, se puede clasificar en función de cómo se utilice:

  • La inteligencia estratégica sobre amenazas ofrece una visión de alto nivel del panorama de amenazas y de los motivos y habilidades de los autores de estas, para facilitar la toma de decisiones a largo plazo según los gastos y los programas de seguridad. Ejemplo: datos sobre un autor de amenazas estatal que ataca a su sector.
  • La inteligencia táctica contra amenazas proporciona datos sobre vectores de ataque específicos, IOC, TTP, etc. para ayudar a los equipos de seguridad y respuesta a incidentes a identificar y mitigar las amenazas presentes y los ataques en curso. Ejemplo: hash de archivo de una nueva variedad de malware que se propaga mediante phishing.
  • La inteligencia operativa sobre amenazas ayuda al centro de operaciones de seguridad (SOC) a comprender los riesgos cotidianos (amenazas activas, vulnerabilidades y ataques continuos) para ayudar a detectarlos y responder a ellos en tiempo real. Ejemplo: direcciones IP involucradas en un ataque DDoS a su organización.
  • La inteligencia técnica sobre amenazas constituye información granular detallada sobre amenazas para ayudar a los equipos de seguridad a perfeccionar las políticas de seguridad y otras contramedidas para una protección más eficaz. Ejemplo: CVE y datos de parches para una vulnerabilidad de software específica.

O puede categorizarla según su origen:

  • La inteligencia de código abierto proviene de fuentes públicas como fuentes de amenazas, blogs, foros y depósitos. La información de código abierto suele ser la primera a la que acudimos, pero es importante comprobar que proviene de una fuente confiable.
  • La inteligencia de código cerrado proviene de fuentes privadas o confidenciales (normalmente socios o proveedores de servicios) y puede ser más detallada que el código abierto, pero suele ser un producto pago.
  • La inteligencia humana se obtiene de fuentes humanas mediante entrevistas, interrogatorios o incluso vigilancia y espionaje. Como tal, suele incluir los detalles de información privilegiada más directos, pero pueden ser difícil de obtener.

¿Cuáles son los indicadores comunes de compromiso?

Recogidos de cualquier número de fuentes de inteligencia, los indicadores de compromiso (IOC) son pruebas que ayudan a identificar y responder a posibles infracciones, brindando a los analistas pistas sobre el origen de un ciberataque, su comportamiento o su impacto. Los IOC comunes incluyen:

  • Direcciones IP y nombres de dominio asociados con actores de amenazas conocidos
  • URL asociadas con phishing o envío de malware
  • Firmas de malware y hashes de archivos de código malicioso
  • Direcciones de correo electrónico vinculadas al phishing
  • Claves de registro agregadas para almacenamiento y persistencia.
  • Nombres de archivos y directorios asociados con actividad maliciosa
  • Intentos de inicio de sesión/acceso anómalos o no autorizados
  • Patrones y picos de tráfico de red inusuales
  • Desviaciones del comportamiento típico del usuario o del sistema
  • Signos de exfiltración de datos o transferencias de datos inusuales
  • Rendimiento lento (ej., utilización inesperada del CPU y actividad del disco)
  • Procesos o servicios en ejecución inusuales

¿Quién se beneficia de la inteligencia sobre amenazas?

La inteligencia sobre amenazas beneficia a casi cualquier persona que tenga interés en la protección de activos digitales, datos confidenciales o la continuidad de las operaciones, brindándoles un contexto invaluable para reforzar las medidas de seguridad en:

  • Organizaciones de todos los tamaños en todas las industrias: la información sobre amenazas brinda a los equipos de seguridad información práctica sobre cómo construir defensas más sólidas. Los ejecutivos, miembros de la junta directiva y otros responsables de la toma de decisiones pueden utilizarlo para ayudar a fundamentar las decisiones sobre inversiones en seguridad, gestión de riesgos y cumplimiento.
  • Gobiernos y organismos encargados de hacer cumplir la ley: la información sobre amenazas es vital para ayudar a las organizaciones del sector público a responder y detener de manera más eficiente las amenazas a la infraestructura crítica, la seguridad pública y la seguridad nacional.
  • El sector y la comunidad de la ciberseguridad: los proveedores y profesionales de la de ciberseguridad (investigadores, analistas, piratas informáticos éticos, etc.) pueden utilizar información sobre amenazas para crear soluciones de seguridad más efectivas, estudiar tendencias, perfeccionar contramedidas, etc., con lo cual se crea una retroalimentación que fortalece la totalidad del ecosistema digital.

¿Qué es el ciclo de vida de la inteligencia sobre ciberamenazas?

El ciclo de vida de la inteligencia sobre amenazas es el epítome del ciclo de retroalimentación antes mencionado: una serie de etapas por las que las organizaciones deben pasar para hacer un uso eficaz de la inteligencia sobre amenazas y, fundamentalmente, para hacer un uso más eficaz de la misma en el futuro. Las seis etapas son:

  1. Dirección: Las partes interesadas definen los objetivos, las prioridades, las asignaciones de recursos y el alcance general de su programa de inteligencia sobre amenazas.
  2. Recopilación de datos: La organización recopila datos de fuentes de inteligencia pagas o de código abierto, registros internos, analistas humanos, socios, etc.
  3. Procesamiento: Los analistas y las herramientas automatizadas limpian y normalizan los datos recopilados, verifican las fuentes y confirman su confiabilidad para prepararlos para el análisis.
  4. Análisis: Los analistas y las herramientas identifican patrones, anomalías y amenazas potenciales en los datos y luego correlacionan los datos para formar conocimientos prácticos que ayuden a priorizar y mitigar los riesgos críticos.
  5. Difusión: los equipos de seguridad informan a las partes interesadas para compartir hallazgos, alertas y recomendaciones. Los equipos incorporan información sobre amenazas en sus herramientas y procesos para mejorar la detección, prevención y respuesta a amenazas en tiempo real.
  6. Comentarios: Las organizaciones deben evaluar y perfeccionar continuamente su programa de inteligencia, utilizando los comentarios de los equipos de respuesta a incidentes. Las revisiones periódicas ayudan a mantener los objetivos y prioridades alineados con los cambios en el panorama de amenazas y en la propia organización.

¿Cuáles son las herramientas de inteligencia sobre amenazas disponibles?

Hay muchas herramientas en el mercado diseñadas para ayudar a las organizaciones a recopilar, correlacionar, analizar y ejecutar inteligencia sobre amenazas.

Recopilación y agregación

  • Los agregadores de fuentes de amenazas recopilan y consolidan datos de fuentes abiertas y cerradas
  • Las tecnologías del engaño (por ejemplo, honeypots) provocan ataques y recopilan datos sobre cómo se comportan.
  • Las plataformas de inteligencia de amenazas (TIP) recopilan, organizan y difunden datos de inteligencia sobre amenazas de múltiples fuentes para generar información procesable.

Correlación

  • Las fuentes de inteligencia sobre amenazas proporcionan inteligencia correlacionada previamente para poder usarla con celeridad.
  • Los sistemas de gestión de eventos e información de seguridad (SIEM)correlacionan los datos de amenazas con eventos de red
  • Las plataformas de detección y respuesta extendidas (XDR) correlacionan datos de fuentes dispares (ej., telemetría de red, eventos de puntos finales, IAM, correo electrónico, suites de productividad)
  • Las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) automatizan las acciones de respuesta basadas en información correlacionada

Análisis

  • Las herramientas de análisis de amenazas, respaldadas por IA y ML, analizan datos para identificar patrones y tendencias.
  • Las plataformas de intercambio de inteligencia sobre amenazas facilitan el análisis colaborativo entre organizaciones
  • Los sandboxes analizan y ejecutan archivos y URL sospechosos en entornos aislados

Ejecución

  • Los sistemas de detección y prevención de intrusiones (IDS/IPS) bloquean o alertan sobre actividades maliciosas basándose en datos sobre amenazas
  • Las herramientas de gestión de políticas actualizan las políticas de firewalls proxies, etc. basándose en direcciones IP maliciosas conocidas, dominios, firmas, etc.
  • Las soluciones de detección y respuesta de puntos finales(EDR) ponen en cuarentena o reparan los puntos finales comprometidos
  • Las herramientas de búsqueda de amenazas permiten la búsqueda proactiva de amenazas basada en la inteligencia recopilada.

¿Cómo mejora el aprendizaje automático la inteligencia contra amenazas?

En su mayor parte, el aprendizaje automático (ML) mejora la inteligencia sobre amenazas del mismo modo que mejora cualquier otra cosa: operando a una velocidad, escala y nivel de disponibilidad 24/7 que los operadores humanos no pueden igualar. Los modelos de aprendizaje automático avanzados actuales se entrenan en conjuntos de datos masivos que los convierten en herramientas excepcionales para encontrar patrones, anomalías de comportamiento, correlaciones y otras complejidades con una tasa muy baja de falsos positivos.

Dado que las herramientas de ML asumen fácilmente el trabajo más pesado y tedioso de la inteligencia sobre amenazas, dejan a los analistas humanos más libres para asumir proyectos que requieren pensamiento creativo y comprensión del comportamiento humano. Al final, están mejor juntos.

Casos de uso de inteligencia sobre amenazas

La inteligencia sobre amenazas es una de las herramientas más potentes y versátiles de la caja de herramientas de un equipo de seguridad capaz de contribuir a mejorar la protección, la respuesta y la postura general de seguridad.

Detección, prevención y respuesta a amenazas

La información sobre amenazas ayuda a los equipos de seguridad a identificar y mitigar amenazas de forma proactiva, utilizando IOC para detectar actividad maliciosa, perfeccionar políticas y reforzar las defensas. También fortalece la respuesta a incidentes al brindar a los equipos de investigación y búsqueda de amenazas datos precisos y oportunos para ayudar a identificar signos de infiltración, movimiento lateral y amenazas ocultas.

Gestión de vulnerabilidades y evaluación de riesgos

La información sobre amenazas puede ayudar a las organizaciones a priorizar los parches de vulnerabilidad en función del riesgo, así como a obtener información sobre su postura general de riesgo cibernético para medir el impacto potencial de las amenazas emergentes. También es de gran valor a la hora de evaluar y supervisar la postura de seguridad de vendedores y proveedores externos para comprender y mitigar los riesgos de seguridad en la cadena de suministro.

Intercambio de inteligencia sobre amenazas y toma de decisiones

La colaboración entre industrias y gobiernos es clave para anticiparse a las ciberamenazas. Compartir inteligencia sobre las amenazas, tácticas y vulnerabilidades emergentes refuerza nuestras defensas colectivas y ayuda a las partes interesadas a tomar las decisiones estratégicas adecuadas tanto para la seguridad como para los objetivos de sus organizaciones.

 

El papel de Zscaler en la inteligencia sobre amenazas

El equipo de investigación de seguridad e inteligencia de amenazas de Zscaler ThreatLabz analiza 500 billones de puntos de datos de la nube de seguridad más grande del mundo y bloquea 9 mil millones de amenazas por día. El equipo rastrea a los actores de amenazas de delitos cibernéticos y de estados-nación más avanzados y sus TTP para discernir entre ataques y tendencias emergentes.

Los investigadores de ThreatLabz han descubierto docenas de vulnerabilidades de día cero en aplicaciones muy conocidas y han trabajado con los proveedores para solucionar los problemas subyacentes. ThreatLabz también ha desarrollado una plataforma patentada de automatización de malware, integrada con la nube de Zscaler, que puede identificar y extraer indicadores de inteligencia de amenazas para proteger a nuestros clientes a escala.

Obtenga información actualizada sobre amenazas, las últimas investigaciones e información procesable sobre amenazas de Zscaler ThreatLabz.

Recursos sugeridos

Informe sobre el ransomware de Zscaler ThreatLabz 2023
Obtenga el informe completo
Informe sobre el phishing de Zscaler ThreatLabz 2024
Obtenga el informe completo
Blog de investigación de seguridad Zscaler ThreatLabz
Ver las últimas publicaciones
Zscaler ThreatLabz en X (Twitter)
Ver las últimas publicaciones
Zscaler ThreatLabz GitHub
Vea las últimas IOC, notas sobre ransomware y herramientas
Panel de actividad en la nube de Zscaler ThreatLabz
Ver actualizaciones en vivo

01 / 04