Inteligencia sobre amenazas cibernéticas

Datos que son útiles para detectar o predecir ciberataques

La inteligencia sobre amenazas cibernéticas ( CTI ) es un subcampo de la ciberseguridad que se centra en la recopilación, el análisis y la difusión estructurados de datos sobre amenazas cibernéticas potenciales o existentes . ^{[1] [2]} Proporciona a las organizaciones los conocimientos necesarios para anticipar, prevenir y responder a los ciberataques al comprender el comportamiento de los actores de amenazas, sus tácticas y las vulnerabilidades que explotan. ^{[3] [4] [5]} Las fuentes de inteligencia sobre amenazas cibernéticas incluyen inteligencia de código abierto , inteligencia de redes sociales , inteligencia humana , inteligencia técnica, archivos de registro de dispositivos, datos adquiridos forensemente o inteligencia del tráfico de Internet y datos derivados de la web profunda y oscura .

En los últimos años, la inteligencia de amenazas se ha convertido en una parte crucial de la estrategia de ciberseguridad de las empresas, ya que les permite ser más proactivas en su enfoque y determinar qué amenazas representan los mayores riesgos para un negocio. Esto pone a las empresas en un frente más proactivo, tratando activamente de encontrar sus vulnerabilidades y previniendo los ataques antes de que ocurran. ^[6] Este método está ganando importancia en los últimos años ya que, como estima IBM , el método más común por el que las empresas son atacadas es a través de la explotación de amenazas (47% de todos los ataques). ^[7]

Las vulnerabilidades de las amenazas han aumentado en los últimos años también debido a la pandemia de COVID-19 y al hecho de que más personas trabajan desde casa , lo que hace que los datos de las empresas sean más vulnerables. Debido a las crecientes amenazas por un lado, y a la creciente sofisticación necesaria para la inteligencia de amenazas, muchas empresas han optado en los últimos años por externalizar sus actividades de inteligencia de amenazas a un proveedor de seguridad gestionada (MSSP) . ^[8]

Proceso - ciclo de inteligencia

El proceso de desarrollo de inteligencia sobre amenazas cibernéticas es un proceso circular y continuo, conocido como el ciclo de inteligencia, que se compone de cinco fases, ^{[9] [10] [11] [12]} llevadas a cabo por equipos de inteligencia para proporcionar al liderazgo inteligencia relevante y conveniente para reducir el peligro y la incertidumbre. ^[11]

Las cinco fases son: 1) planificación y dirección; 2) recopilación; 3) procesamiento; 4) análisis; 5) difusión. ^{[9] [10] [11] [12]}

En la fase de planeamiento y dirección, el cliente del producto de inteligencia solicita inteligencia sobre un tema u objetivo específico. Luego, una vez dirigida por el cliente, comienza la segunda fase, la de recolección, que implica acceder a la información en bruto que será requerida para producir el producto de inteligencia terminado. Como la información no es inteligencia, debe ser transformada y por lo tanto debe pasar por las fases de procesamiento y análisis: en la fase de procesamiento (o fase preanalítica) se filtra la información en bruto y se prepara para el análisis mediante una serie de técnicas (descifrado, traducción de lenguaje, reducción de datos, etc.); en la fase de análisis, la información organizada se transforma en inteligencia. Finalmente, la fase de difusión, en la que la inteligencia de amenazas recién seleccionada se envía a los diversos usuarios para su uso. ^{[10] [12]}

Tipos

Hay tres clases generales, pero no categóricas, de inteligencia sobre amenazas cibernéticas: ^[4] 1) táctica; 2) operativa; 3) estratégica. ^{[4] [9] [12] [13] [14]} Estas clases son fundamentales para desarrollar una evaluación integral de amenazas. ^[9]

• Táctica: Generalmente se utiliza para ayudar a identificar a los actores de amenazas. Se utilizan indicadores de compromiso (como direcciones IP , dominios de Internet o hashes ) y se está empezando a profundizar en el análisis de tácticas, técnicas y procedimientos (TTP) utilizados por los cibercriminales. Los conocimientos generados a nivel táctico ayudarán a los equipos de seguridad a predecir los próximos ataques e identificarlos en las etapas más tempranas posibles. ^{[4] [9] [11] [12] [14]}
• Operacional: Este es el nivel más técnico de inteligencia de amenazas. Comparte detalles concretos y concretos sobre los ataques, la motivación, las capacidades de los actores de amenazas y las campañas individuales. La información que proporcionan los expertos en inteligencia de amenazas en este nivel incluye la naturaleza, la intención y el momento de aparición de las amenazas. Este tipo de información es más difícil de obtener y, con mayor frecuencia, se recopila a través de foros web profundos y oscuros a los que los equipos internos no pueden acceder. Los equipos de seguridad y respuesta a ataques son los que utilizan este tipo de inteligencia operativa. ^{[4] [9] [12] [14]}
• Estratégico: Generalmente, está dirigido a públicos no técnicos y ofrece información sobre los riesgos generales asociados a las ciberamenazas. El objetivo es ofrecer, en forma de informes y documentos técnicos, un análisis detallado de los riesgos actuales y futuros previstos para la empresa, así como de las posibles consecuencias de las amenazas, para ayudar a los líderes a priorizar sus respuestas. ^{[4] [9] [12] [14]}

Beneficios de la inteligencia sobre amenazas cibernéticas

La inteligencia sobre amenazas cibernéticas proporciona una serie de beneficios, entre los que se incluyen:

• Proporciona a las organizaciones, agencias u otras entidades la capacidad de desarrollar una postura de ciberseguridad proactiva y robusta y de reforzar la gestión general de riesgos y las políticas y respuestas de ciberseguridad. ^[15]
• Impulsa una postura de ciberseguridad proactiva que sea predictiva y no simplemente reactiva después de un ciberataque. ^[6]
• Proporciona contexto y conocimientos sobre ataques activos y amenazas potenciales para ayudar en la toma de decisiones. ^[9]
• Previene que las violaciones de datos revelen información confidencial, previniendo así la pérdida de datos. ^[14]
• Reducir los costos. Dado que las violaciones de datos implican costos, reducir el riesgo de que ocurran ayuda a ahorrar dinero. ^[14]
• Ayuda y proporciona instrucciones a las instituciones sobre cómo implementar medidas de seguridad para protegerse contra futuros ataques. ^[14]
• Permite compartir conocimientos, habilidades y experiencias entre la comunidad de prácticas de seguridad cibernética y las partes interesadas en los sistemas. ^[14]
• Ayuda a identificar más fácil y mejor los riesgos y amenazas, así como los mecanismos de entrega, los indicadores de compromiso en toda la infraestructura y los posibles actores y motivadores específicos. ^[16]
• Ayuda en la detección de ataques durante y antes de estas etapas. ^[16]
• Proporciona indicadores de las acciones tomadas durante cada etapa del ataque. ^[16]
• Comunica superficies de amenaza, vectores de ataque y actividades maliciosas dirigidas tanto a plataformas de tecnología de la información como de tecnología operativa.
• Servir como repositorio basado en hechos para evidencia de ataques cibernéticos exitosos y fallidos.
• Proporcionar indicadores para los equipos de respuesta a emergencias informáticas y grupos de respuesta a incidentes .

Elementos clave

Hay tres elementos clave que deben estar presentes para que la información o los datos se consideren inteligencia de amenazas: ^[12]

• Basado en evidencia: para que cualquier producto de inteligencia sea útil, primero debe obtenerse mediante métodos adecuados de recopilación de evidencia. A través de otros procesos, como el análisis de malware , se puede generar inteligencia sobre amenazas.
• Utilidad: Para que la inteligencia sobre amenazas tenga un impacto positivo en el resultado de un evento de seguridad, debe tener cierta utilidad. La inteligencia debe brindar claridad, en términos de contexto y datos, sobre comportamientos y métodos específicos.
• Acción: la acción es el elemento clave que separa la información o los datos de la inteligencia sobre amenazas. La inteligencia debe impulsar la acción.

Atribución

Las amenazas cibernéticas implican el uso de computadoras, dispositivos de almacenamiento, redes de software y repositorios basados ​​en la nube. Antes, durante o después de un ataque cibernético , se puede recopilar, almacenar y analizar información técnica sobre la información y la tecnología operativa, los dispositivos, la red y las computadoras entre el atacante y la víctima. Sin embargo, identificar a la persona o personas detrás de un ataque, sus motivaciones o el patrocinador final del ataque, lo que se denomina atribución, a veces es difícil. Los esfuerzos recientes ^{[ ¿cuándo? ]} en inteligencia de amenazas enfatizan la comprensión de las tácticas, técnicas y procedimientos del adversario . ^[17]

Varias organizaciones del sector público y privado han publicado recientemente ^{[¿ cuándo? ] informes analíticos de inteligencia sobre amenazas cibernéticas que atribuyen los ataques cibernéticos a los mismos. Entre ellos se incluyen los informes APT1 y APT28 de Mandiant, [18] [19]} el informe APT29 de US CERT, ^[20] y los informes Dragonfly, Waterbug Group y Seedworm de Symantec. ^{[21] [22] [23]}

Intercambio de CTI

En 2015, la legislación del gobierno de los Estados Unidos, en forma de la Ley de Intercambio de Información sobre Ciberseguridad, alentó el intercambio de indicadores de CTI entre el gobierno y las organizaciones privadas. Esta ley exigía al gobierno federal de los Estados Unidos que facilitara y promoviera cuatro objetivos de CTI: ^[24]

1. Intercambio de "indicadores de amenazas cibernéticas clasificados y desclasificados en posesión del gobierno federal con entidades privadas, agencias gubernamentales no federales o gobiernos estatales, tribales o locales";
2. Intercambio de “indicadores no clasificados con el público”;
3. Intercambio de “información con entidades bajo amenazas de ciberseguridad para prevenir o mitigar efectos adversos”;
4. Intercambio de “mejores prácticas en ciberseguridad con atención a los desafíos que enfrentan las pequeñas empresas”.

En 2016, el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos emitió una publicación (NIST SP 800-150) que describía con más detalle la necesidad de compartir información sobre amenazas cibernéticas, así como un marco para su implementación. ^[25]

Véase también

• Ley de intercambio y protección de inteligencia cibernética
• Ataque de denegación de servicio
• Indicador de compromiso
• Software malicioso
• Análisis de malware
• Ransomware
• Día cero (informática)

Referencias

1. Conti, M (2021). "Medición y visualización de la calidad de la inteligencia sobre amenazas cibernéticas". Revista internacional de seguridad de la información . 20 : 21–38. doi : 10.1007/s10207-020-00490-y .
2. Kant, Neelima (2024). "Inteligencia sobre amenazas cibernéticas (CTI): un análisis sobre el uso de la inteligencia artificial y el aprendizaje automático para identificar riesgos cibernéticos". Seguridad cibernética y análisis forense digital . Apuntes de clase en redes y sistemas. Vol. 36. págs. 449–462. doi :10.1007/978-981-99-9811-1_36. ISBN 978-981-99-9810-4.
3. Dalziel, Henry (2014). Cómo definir y crear una capacidad eficaz de inteligencia sobre amenazas cibernéticas. Syngress. ISBN 9780128027301.
4. Banco de Inglaterra (2016). Pruebas basadas en inteligencia CBEST: comprensión de las operaciones de inteligencia sobre amenazas cibernéticas (PDF) (informe). Banco de Inglaterra.
5. Saeed, Saqib (2023). "Una revisión sistemática de la literatura sobre inteligencia de amenazas cibernéticas para la resiliencia de la ciberseguridad organizacional". Sensores . 23 (16): 7273. Bibcode :2023Senso..23.7273S. doi : 10.3390/s23167273 . PMC 10459806 . PMID  37631808. 
6. CyberProof Inc. (sin fecha). Inteligencia de amenazas gestionada . CyberProof. Recuperado el 3 de abril de 2023 de https://www.cyberproof.com/cyber-101/managed-threat-intelligence/
7. IBM (23 de febrero de 2022). "Índice de inteligencia de amenazas IBM Security X-Force". www.ibm.com . Consultado el 29 de mayo de 2022 .
8. "MSSP: ¿Qué es un proveedor de servicios de seguridad gestionada?". Check Point Software . Consultado el 29 de mayo de 2022 .
9. "¿Para qué se utiliza la inteligencia sobre amenazas cibernéticas y cómo se utiliza?". blog.softtek.com . Consultado el 12 de abril de 2023 .
10. Phythian, Mark (2013). Entendiendo el ciclo de la inteligencia (PDF) (1.ª ed.). Routledge. págs. 17–23.
11. Kime, Brian (29 de marzo de 2016). "Inteligencia sobre amenazas: planificación y dirección". SANS Institute .
12. Gerard, Johansen (2020). Informática forense digital y respuesta a incidentes: técnicas y procedimientos de respuesta a incidentes para responder a las amenazas cibernéticas modernas (2.ª ed.). Packt Publishing Ltd.
13. Trifonov, Roumen; Nakov, Ognyan; Mladenov, Valeri (2018). "Inteligencia artificial en la inteligencia de amenazas cibernéticas". Conferencia internacional de 2018 sobre aplicaciones informáticas inteligentes e innovadoras (ICONIC) . IEEE. págs. 1–4. doi :10.1109/ICONIC.2018.8601235. ISBN. 978-1-5386-6477-3. Número de identificación del sujeto  57755206.
14. Kaspersky. (sin fecha). ¿Qué es la inteligencia de amenazas? Definición y explicación . Recuperado el 3 de abril de 2023 de https://www.kaspersky.com/resource-center/definitions/threat-intelligence
15. Berndt, Anzel; Ophoff, Jacques (2020). "Explorando el valor de una función de inteligencia de amenazas cibernéticas en una organización". En Drevin, Lynette; Von Solms, Suné; Theocharidou, Marianthi (eds.). Educación en seguridad de la información. Seguridad de la información en acción . IFIP Avances en tecnología de la información y la comunicación. Vol. 579. Cham: Springer International Publishing. págs. 96–109. doi :10.1007/978-3-030-59291-2_7. ISBN 978-3-030-59291-2. Número de identificación del sujeto  221766741.
16. Shackleford, D. (2015). ¿Quién utiliza inteligencia sobre ciberamenazas y cómo? . SANS Institute. https://cdn-cybersecurity.att.com/docs/SANS-Cyber-Threat-Intelligence-Survey-2015.pdf
17. Levi Gundert, Cómo identificar las amenazas a la propiedad (TTP) de los actores amenazantes
18. "APT1: Exponiendo una de las unidades de espionaje cibernético de China | Mandiant" (PDF) .
19. "APT28: Una ventana a las operaciones de ciberespionaje de Rusia" (PDF) . FireEye, Inc. 2014 . Consultado el 3 de diciembre de 2023 .
20. "Grizzly Steppe - Actividad cibernética maliciosa rusa" (PDF) . NCCIC . 29 de diciembre de 2016 . Consultado el 3 de diciembre de 2023 .
21. "Libélula: el sector energético occidental es blanco de un sofisticado grupo de ataque".
22. "Waterbug: Grupo de espionaje implementa un nuevo conjunto de herramientas en ataques contra gobiernos".
23. "Seedworm: Grupo compromete agencias gubernamentales, petróleo y gas, ONG, telecomunicaciones y empresas de TI".
24. Burr, Richard (28 de octubre de 2015). "S.754 - 114.º Congreso (2015-2016): Mejorar la ciberseguridad en los Estados Unidos mediante un mayor intercambio de información sobre amenazas a la ciberseguridad y para otros fines". www.congress.gov . Consultado el 9 de junio de 2021 .
25. Johnson, CS; Badger, ML; Waltermire, DA; Snyder, J.; Skorupka, C. (4 de octubre de 2016). "Guía para el intercambio de información sobre amenazas cibernéticas". Instituto Nacional de Normas y Tecnología . doi : 10.6028/nist.sp.800-150 . Consultado el 3 de diciembre de 2023 .

Lectura adicional

• Boris Giannetto - Pierluigi Paganini (2020). Dominar la comunicación en actividades de ciberinteligencia: una guía de usuario concisa . Revista Cyber ​​Defense.
• Anca Dinicu, Academia de Fuerzas Terrestres "Nicolae Bălcescu", Sibiu, Rumania, Amenazas cibernéticas a la seguridad nacional. Características específicas y actores involucrados - Boletín Ştiinţific No 2(38)/2014
• Zero Day: Nuclear Cyber ​​Sabotage, BBC Four: el thriller documental sobre la guerra en un mundo sin reglas, el mundo de la ciberguerra. Cuenta la historia de Stuxnet, un malware informático autorreplicante, conocido como "gusano" por su capacidad de introducirse en el ordenador.
• ¿Qué es la inteligencia sobre amenazas? - Publicación de blog que proporciona contexto y contribuye al debate sobre la definición de inteligencia sobre amenazas.
• Explicación de la caza de amenazas: breve artículo que explica la inteligencia sobre amenazas cibernéticas.
• Inteligencia sobre amenazas cibernéticas: ¿Qué es la inteligencia sobre amenazas cibernéticas? - Guía definitiva para principiantes.