¿Qué es la inteligencia contra ciberamenazas?

La inteligencia contra amenazas o inteligencia contra ciberamenazas (CTI), es una disciplina que engloba recopilar, analizar y difundir información sobre las amenazas actuales y emergentes a la seguridad digital para organizaciones y personas. La inteligencia contra ciberamenazas proporciona información sobre todo el panorama de amenazas de ciberseguridad, lo que incluye amenazas como muchos tipos de ransomware, malware, ataques de phishing, amenazas persistentes avanzadas (APT), ataques de denegación de servicio, vulnerabilidades y exploits de software, amenazas internas, exploits de día cero, ataques a la cadena de suministro y botnets.

La inteligencia contra ciberamenazas es una parte fundamental de las iniciativas para reducir la superficie de ataque e implementar defensas de ciberseguridad multicapa. Ayuda a las organizaciones a entender los riesgos de amenazas y ayuda a los equipos de seguridad a anticipar, identificar y mitigar los ciberataques antes de que se produzcan.

La inteligencia contra ciberamenazas se basa en información recopilada de diversas fuentes.

• La inteligencia de código abierto (OSINT) son datos disponibles públicamente que se pueden utilizar para identificar amenazas emergentes.
• Los foros y sitios de la dark web son donde los atacantes compran y venden datos, código y herramientas para ciberataques, y analizan los próximos ataques. Supervisar estos sitios puede ayudar a las organizaciones a identificar las amenazas a las que podrían enfrentarse después.
• Los sitios de redes sociales en la web superficial también son una fuente fecunda para supervisar la actividad de los atacantes.
• Los indicadores de riesgo (IoC) son, por ejemplo, URL maliciosas, direcciones IP y firmas de malware que pueden informar a las soluciones de seguridad sobre qué buscar a la hora de supervisar el tráfico y la actividad.
• Los informes y registros de incidentes proporcionan información sobre ataques anteriores, vulnerabilidades potenciales y posibles actividades sospechosas.

Una vez que se completa la recopilación de datos sin procesar para la inteligencia contra ciberamenazas, los expertos en ciberseguridad analizan la información, que emplean el aprendizaje automático y la automatización para asegurarse de que es relevante y procesable. Este proceso resulta fundamental para identificar amenazas reales y descartar falsos positivos que pueden distraer a los equipos de seguridad y contribuir a la sobrecarga de alertas. Después de analizar el contexto de las amenazas y la credibilidad y fiabilidad de la información, la inteligencia contra ciberamenazas está lista para difundirse entre las organizaciones y los equipos de seguridad con el objetivo de fundamentar la toma de decisiones y las estrategias de ciberseguridad.

Los ciberataques pueden paralizar las operaciones de una organización, dañar su reputación, obstaculizar la productividad, filtrar propiedad intelectual clave y provocar la pérdida de oportunidades de negocio, además de millones de dólares. La inteligencia contra ciberamenazas desempeña un papel fundamental a la hora de defenderse de las ciberamenazas.

• Estrategia de seguridad proactiva: La inteligencia contra ciberamenazas ayuda a las organizaciones a mantener unos programas de gestión de amenazas fructíferos y una estrategia de seguridad proactiva. La inteligencia contra ciberamenazas ayuda a los equipos a impulsar la seguridad de DNS, mejorar la protección contra el ransomware, prepararse para los ataques de vulnerabilidades y proteger los terminales de API. A medida que las ciberamenazas evolucionan, la inteligencia contra ciberamenazas permite a los equipos de seguridad y a sus organizaciones mantenerse varios pasos por delante de los vectores de ataque emergentes en lugar de simplemente responder después de que se produzcan los ataques.
• Mayor conocimiento de la situación: Las herramientas de inteligencia contra ciberamenazas proporcionan a los equipos de seguridad una comprensión más profunda del panorama actual de ciberamenazas, así como de las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes.
• Mejora de la respuesta a incidentes: Dado que es imposible defenderse de cada ataque, las organizaciones deben contar con un plan superior de respuesta ante incidentes que ayude a identificar rápidamente las amenazas, acelerar la corrección, minimizar los daños que puedan causar y volver a conectar los datos y los sistemas lo más rápido posible.
• Mejora de la gestión de riesgos: la inteligencia frente a ciberamenazas ayuda a los líderes de una organización a desarrollar estrategias más perspicaces para la gestión de riesgos.
• Mejora del cumplimiento de normativas: Los programas de inteligencia contra ciberamenazas pueden ayudar a las organizaciones a garantizar el cumplimiento de los marcos normativos que exigen ciertos niveles de protección y preparación de seguridad.
• Programas de seguridad más inteligentes: Los servicios de inteligencia contra ciberamenazas permiten a las organizaciones adaptar sus medidas de seguridad a las amenazas con más probabilidades de afectar a sus entornos de TI. Una inteligencia superior ayuda a priorizar los controles de seguridad, orienta los planes de respuesta a incidentes y dirige las actividades de búsqueda de amenazas.
• Inversiones fundamentadas: Las partes interesadas y los responsables de la toma de decisiones, como los ejecutivos, las juntas directivas, CISO y CIO, confían en la inteligencia contra ciberamenazas para basar en ella las inversiones en soluciones de seguridad.

La difusión de la inteligencia contra ciberamenazas se lleva a cabo a través de diversos canales.

• Las plataformas de inteligencia contra ciberamenazas agregan y distribuyen información a las partes interesadas y a los centros de operaciones de seguridad (SOC) en tiempo real. Una plataforma de inteligencia contra ciberamenazas puede gestionar el ciclo de vida de la inteligencia y ofrecer una visión unificada de las amenazas, las vulnerabilidades y los IoC que son importantes para la organización. Las plataformas de inteligencia contra ciberamenazas suelen ofrecer herramientas para filtrar y priorizar la inteligencia, con el fin de garantizar que los equipos de seguridad obtengan los datos más relevantes. Las integraciones con otros sistemas de seguridad, como SIEM (gestión de eventos e información de seguridad), EDR (detección y respuesta en los terminales) y firewalls, garantizan que todos los miembros de la organización tengan acceso a información oportuna y completa sobre amenazas.
• Las alertas por correo electrónico y los boletines publicados por expertos en ciberseguridad proporcionan información útil sobre la información más reciente en materia de vulnerabilidades críticas o ataques en curso.
• Las fuentes automatizadas de inteligencia contra ciberamenazas pueden proporcionar información directa a las herramientas y los sistemas de seguridad. Las fuentes de datos sobre amenazas permiten actualizar en tiempo real los métodos de detección y las respuestas a las amenazas emergentes.
• Los portales web y los paneles proporcionan interfaces para ver la inteligencia contra ciberamenazas en tiempo real. Los paneles suelen ser personalizables, lo que permite a los equipos de seguridad centrarse en el tipo de inteligencia más acorde con las necesidades de la organización.
• Los informes y los white papers elaborados por analistas de seguridad proporcionan información detallada que ayuda a los equipos de seguridad a entender las amenazas complejas y a desarrollar estrategias a largo plazo.

La inteligencia contra ciberamenazas se divide en cuatro categorías principales.

• La inteligencia táctica contra ciberamenazas se centra en los indicadores técnicos inmediatos de las amenazas. Indicadores como las firmas de malware y las direcciones IP maliciosas pueden ayudar a los equipos de seguridad a configurar firewalls, protección de terminales y otras soluciones de seguridad.
• La inteligencia operativa contra ciberamenazas informa sobre los planes de respuesta a incidentes revelando detalles de los ciberataques y las campañas maliciosas, así como las tácticas, técnicas y procedimientos (TTP) de los atacantes.
• La inteligencia estratégica contra ciberamenazas proporciona conocimientos de alto nivel del panorama de las ciberamenazas, lo que ofrece información valiosa para la toma de decisiones a largo plazo y la gestión de riesgos.
• La inteligencia técnica contra ciberamenazas proporciona pruebas específicas sobre los ataques en curso. Por ejemplo, contenido de correo electrónico y campañas de phishing, direcciones IP de los servidores de mando y control o el código de malware conocido que se encuentra en soportes en un entorno de TI.

El grupo de inteligencia sobre seguridad de Akamai es un equipo global de investigadores, ingenieros, estrategas y científicos de datos de prestigio mundial con una amplia gama de conocimientos y experiencia en distintas disciplinas de seguridad. Entre nuestras fuentes de datos se incluyen Akamai Connected Cloud, códigos abiertos, colaboración con terceros e inteligencia contra la dark web. También hemos desarrollado nuestros propios algoritmos y herramientas que nos ayudan a llevar a cabo nuestra investigación y a mantener actualizadas las soluciones de seguridad de Akamai.