Inteligencia sobre amenazas cibernéticas

La inteligencia sobre amenazas cibernéticas ( CTI ) es información basada en conocimientos, habilidades e experiencia sobre la ocurrencia y evaluación de amenazas cibernéticas y físicas y actores de amenazas que tiene como objetivo ayudar a mitigar posibles ataques y eventos dañinos que ocurren en el ciberespacio. ^[1] Las fuentes de inteligencia sobre amenazas cibernéticas incluyen inteligencia de código abierto , inteligencia de redes sociales , inteligencia humana , inteligencia técnica, archivos de registro de dispositivos, datos adquiridos forensemente o inteligencia del tráfico de Internet y datos derivados para la web profunda y oscura .

En los últimos años, la inteligencia de amenazas se ha convertido en una parte crucial de la estrategia de seguridad cibernética de las empresas, ya que les permite ser más proactivas en su enfoque y determinar qué amenazas representan los mayores riesgos para un negocio. Esto coloca a las empresas en un frente más proactivo, tratando activamente de encontrar sus vulnerabilidades y previniendo ataques antes de que ocurran. ^[2] Este método está ganando importancia en los últimos años ya que, como estima IBM , el método más común que las empresas piratean es mediante la explotación de amenazas (47% de todos los ataques). ^[3]

Las vulnerabilidades a las amenazas han aumentado en los últimos años también debido a la pandemia de COVID-19 y al mayor número de personas que trabajan desde casa , lo que hace que los datos de las empresas sean más vulnerables. Debido a las crecientes amenazas, por un lado, y a la creciente sofisticación necesaria para la inteligencia de amenazas, muchas empresas han optado en los últimos años por subcontratar sus actividades de inteligencia de amenazas a un proveedor de seguridad gestionada (MSSP) . ^[4]

Proceso - ciclo de inteligencia

El proceso de desarrollo de inteligencia sobre amenazas cibernéticas es un proceso circular y continuo, conocido como ciclo de inteligencia, que se compone de cinco fases, ^{[5] [6] [7] [8]} llevadas a cabo por equipos de inteligencia para proporcionar al liderazgo información relevante y Inteligencia conveniente para reducir el peligro y la incertidumbre. ^[7]

Las cinco fases son: 1) planificación y dirección; 2) colección; 3) procesamiento; 4) análisis; 5) difusión. ^{[5] [6] [7] [8]}

Al planificar y dirigir, el cliente del producto de inteligencia solicita inteligencia sobre un tema u objetivo específico. Luego, una vez dirigido por el cliente, comienza la segunda fase, la recopilación, que implica acceder a la información sin procesar que será necesaria para producir el producto de inteligencia terminado. Dado que la información no es inteligencia, debe transformarse y por tanto debe pasar por las fases de procesamiento y análisis: en el procesamiento (o fase preanalítica) la información bruta se filtra y se prepara para el análisis mediante una serie de técnicas (descifrado, traducción de idiomas). , reducción de datos, etc.); En la fase de análisis, la información organizada se transforma en inteligencia. Finalmente, la fase de difusión, en la que la inteligencia sobre amenazas recién seleccionada se envía a los distintos usuarios para su uso. ^{[6] [8]}

Tipos

Hay tres clases generales, pero no categóricas, de inteligencia sobre amenazas cibernéticas: ^[1] 1) táctica; 2) operativo; 3) estratégico. ^{[1] [5] [8] [9] [10]} Estas clases son fundamentales para crear una evaluación integral de amenazas. ^[5]

• Táctico: normalmente se utiliza para ayudar a identificar actores de amenazas. Se utilizan indicadores de compromiso (como direcciones IP , dominios de Internet o hashes ) y se empieza a profundizar en el análisis de tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelincuentes. Los conocimientos generados a nivel táctico ayudarán a los equipos de seguridad a predecir próximos ataques e identificarlos en las etapas más tempranas posibles. ^{[1] [5] [7] [8] [10]}
• Operacional: este es el nivel más técnico de inteligencia sobre amenazas. Comparte detalles concretos y específicos sobre ataques, motivación, capacidades de los actores de amenazas y campañas individuales. Los conocimientos proporcionados por los expertos en inteligencia de amenazas en este nivel incluyen la naturaleza, la intención y el momento de las amenazas emergentes. Este tipo de información es más difícil de obtener y, con mayor frecuencia, se recopila a través de foros web oscuros y profundos a los que los equipos internos no pueden acceder. Los equipos de seguridad y respuesta a ataques son los que utilizan este tipo de inteligencia operativa. ^{[1] [5] [8] [10]}
• Estratégico: generalmente diseñado para audiencias no técnicas, inteligencia sobre riesgos generales asociados con las ciberamenazas. El objetivo es entregar, en forma de documentos técnicos e informes, un análisis detallado de los riesgos actuales y futuros proyectados para el negocio, así como las posibles consecuencias de las amenazas para ayudar a los líderes a priorizar sus respuestas. ^{[1] [5] [8] [10]}

Beneficios de la inteligencia sobre amenazas cibernéticas

La inteligencia sobre amenazas cibernéticas proporciona una serie de beneficios, que incluyen:

• Brinda a las organizaciones, agencias u otras entidades la capacidad de desarrollar una postura de ciberseguridad proactiva y sólida y de reforzar la gestión general de riesgos y las políticas y respuestas de ciberseguridad. ^[11]
• Impulsa el impulso hacia una postura proactiva de ciberseguridad que sea predictiva y no simplemente reactiva después de un ciberataque. ^[2]
• Proporciona contexto e información sobre ataques activos y amenazas potenciales para ayudar en la toma de decisiones. ^[5]
• Evita que las filtraciones de datos liberen información confidencial, evitando así la pérdida de datos. ^[10]
• Reducir costos. Dado que las filtraciones de datos son costosas, reducir el riesgo de sufrir filtraciones de datos ayuda a ahorrar dinero. ^[10]
• Ayuda y proporciona instrucciones a las instituciones sobre cómo implementar medidas de seguridad para protegerse contra futuros ataques. ^[10]
• Permite compartir conocimientos, habilidades y experiencias entre la comunidad de práctica de seguridad cibernética y las partes interesadas de los sistemas. ^[10]
• Ayuda a identificar mejor y más fácilmente los riesgos y amenazas, así como los mecanismos de entrega, los indicadores de compromiso en toda la infraestructura y los posibles actores y motivadores específicos. ^[12]
• Ayuda en la detección de ataques durante y antes de estas etapas. ^[12]
• Proporciona indicadores de las acciones tomadas durante cada etapa del ataque. ^[12]
• Comunica superficies de amenazas, vectores de ataque y actividades maliciosas dirigidas tanto a plataformas de tecnología de la información como a plataformas de tecnología operativa.
• Servir como depósito basado en hechos para evidencia de ciberataques exitosos y fallidos.
• Proporcionar indicadores para los equipos de respuesta a emergencias informáticas y los grupos de respuesta a incidentes .

Elementos clave

Hay tres elementos clave que deben estar presentes para que la información o los datos se consideren inteligencia sobre amenazas: ^[8]

• Basado en evidencia: para que cualquier producto de inteligencia sea útil, primero debe obtenerse mediante métodos adecuados de recopilación de evidencia. A través de otros procesos, como el análisis de malware , se puede producir inteligencia sobre amenazas.
• Utilidad: para que la inteligencia sobre amenazas tenga un impacto positivo en el resultado de un evento de seguridad, debe tener alguna utilidad. La inteligencia debe proporcionar claridad, en términos de contexto y datos, sobre comportamientos y métodos específicos.
• Accionable: la acción es el elemento clave que separa la información o los datos de la inteligencia sobre amenazas. La inteligencia debe impulsar la acción.

Atribución

Las ciberamenazas implican el uso de computadoras, dispositivos de almacenamiento, redes de software y repositorios basados ​​en la nube. Antes, durante o después de un ciberataque, se puede recopilar, almacenar y analizar información técnica sobre la información y la tecnología operativa, los dispositivos, la red y las computadoras entre el atacante y las víctimas. Sin embargo, a veces es difícil identificar a la(s) persona(s) detrás de un ataque, sus motivaciones o el patrocinador final del ataque, lo que se denomina atribución. Reciente ^{[ ¿ cuándo? ]} Los esfuerzos en inteligencia de amenazas enfatizan la comprensión de los TTP del adversario . ^[13]

Varios recientes ^{[ ¿cuándo? ]} Organizaciones del sector público y privado han publicado informes analíticos de inteligencia sobre amenazas cibernéticas que atribuyen los ciberataques. Esto incluye los informes APT1 y APT28 de Mandiant, ^{[14] [15]} el informe APT29 del CERT de EE. UU., ^[16] y los informes Dragonfly, Waterbug Group y Seedworm de Symantec. ^{[17] [18] [19]}

Compartir CTI

En 2015, la legislación del gobierno de EE. UU. en forma de Ley de Intercambio de Información sobre Ciberseguridad fomentó el intercambio de indicadores CTI entre el gobierno y las organizaciones privadas. Esta ley requería que el gobierno federal de los EE. UU. facilitara y promoviera cuatro objetivos de la CTI: ^[20]

1. Compartir "indicadores de amenazas cibernéticas clasificados y desclasificados en posesión del gobierno federal con entidades privadas, agencias gubernamentales no federales o gobiernos estatales, tribales o locales";
2. Compartir con el público "indicadores no clasificados";
3. Compartir "información con entidades bajo amenazas de ciberseguridad para prevenir o mitigar efectos adversos";
4. Intercambio de "mejores prácticas de ciberseguridad con atención a los desafíos que enfrentan las pequeñas empresas".

En 2016, la agencia gubernamental de EE. UU. Instituto Nacional de Estándares y Tecnología (NIST) publicó una publicación (NIST SP 800-150) que describía con más detalle la necesidad de compartir información sobre amenazas cibernéticas, así como un marco para su implementación. ^[21]

Ver también

• Ley de protección e intercambio de inteligencia cibernética
• Ataque de denegación de servicio
• Indicador de compromiso
• malware
• Análisis de malware
• Secuestro de datos
• Día cero (informática)

Referencias

1. Banco de Inglaterra. (2016). Pruebas basadas en inteligencia CBEST: comprensión de las operaciones de inteligencia contra amenazas cibernéticas . https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operatives.pdf
2. CyberProof Inc. (sin fecha). Inteligencia de amenazas gestionada . Ciberprueba. Recuperado el 03 de abril de 2023 de https://www.cyberproof.com/cyber-101/managed-threat-intelligence/
3. IBM (23 de febrero de 2022). "Índice de inteligencia sobre amenazas de IBM Security X-Force". www.ibm.com . Consultado el 29 de mayo de 2022 .
4. "MSSP: ¿Qué es un proveedor de servicios de seguridad gestionados?". Software de punto de control . Consultado el 29 de mayo de 2022 .
5. "¿Para qué se utiliza Cyber ​​Threat Intelligence y cómo se utiliza?". blog.softtek.com . Consultado el 12 de abril de 2023 .
6. Phythian, Mark (2013). Comprensión del ciclo de la inteligencia (PDF) (1ª ed.). Rutledge. págs. 17-23.
7. Kime, Brian (29 de marzo de 2016). "Inteligencia sobre amenazas: planificación y dirección". Instituto SANS .
8. Gerard, Johansen (2020). Análisis forense digital y respuesta a incidentes: técnicas y procedimientos de respuesta a incidentes para responder a las amenazas cibernéticas modernas (2ª ed.). Packt Publishing Ltd.
9. Trifonov, Roumen; Nakov, Ognyan; Mladenov, Valeri (2018). "Inteligencia artificial en inteligencia sobre ciberamenazas". Conferencia Internacional 2018 sobre Aplicaciones Informáticas Inteligentes e Innovadoras (ICONIC) . IEEE. págs. 1–4. doi :10.1109/ICONIC.2018.8601235. ISBN 978-1-5386-6477-3. S2CID  57755206.
10. Kaspersky. (Dakota del Norte). ¿Qué es la inteligencia de amenazas? Definición y explicación . Recuperado el 3 de abril de 2023 de https://www.kaspersky.com/resource-center/definitions/threat-intelligence
11. Berndt, Anzel; Ophoff, Jacques (2020). Drevin, Lynette; Von Solms, Suné; Theocharidou, Marianthi (eds.). "Explorando el valor de una función de inteligencia contra amenazas cibernéticas en una organización". Educación en seguridad de la información. Seguridad de la información en acción . Avances del IFIP en tecnologías de la información y las comunicaciones. 579 . Cham: Springer International Publishing: 96–109. doi :10.1007/978-3-030-59291-2_7. ISBN 978-3-030-59291-2. S2CID  221766741.
12. Shackleford, D. (2015). ¿Quién utiliza la inteligencia sobre ciberamenazas y cómo? . Instituto SANS. https://cdn-cybersecurity.att.com/docs/SANS-Cyber-Threat-Intelligence-Survey-2015.pdf
13. Levi Gundert, Cómo identificar TTP de actores de amenazas
14. "APT1: Exponiendo una de las unidades de ciberespionaje de China | Mandiant" (PDF) .
15. "APT28: Una ventana a las operaciones de ciberespionaje de Rusia" (PDF) . FireEye, Inc. 2014 . Consultado el 3 de diciembre de 2023 .
16. "Grizzly Steppe: actividad cibernética maliciosa rusa" (PDF) . NCCIC . 29 de diciembre de 2016 . Consultado el 3 de diciembre de 2023 .
17. "Dragonfly: sector energético occidental objetivo de un sofisticado grupo de ataque".
18. "Waterbug: Espionage Group lanza un nuevo conjunto de herramientas en ataques contra gobiernos".
19. "Seedworm: grupo compromete agencias gubernamentales, petróleo y gas, ONG, telecomunicaciones y empresas de TI".
20. Burr, Richard (28 de octubre de 2015). "S.754 - 114º Congreso (2015-2016): Mejorar la ciberseguridad en los Estados Unidos mediante un mejor intercambio de información sobre amenazas a la ciberseguridad y para otros fines". www.congreso.gov . Consultado el 9 de junio de 2021 .
21. Johnson, CS; Tejón, ML; Waltermire, fiscal del distrito; Snyder, J.; Skorupka, C. (4 de octubre de 2016). "Guía para el intercambio de información sobre amenazas cibernéticas". Instituto Nacional de Estándares y Tecnología . doi : 10.6028/nist.sp.800-150 . Consultado el 3 de diciembre de 2023 .

Otras lecturas

• Boris Giannetto - Pierluigi Paganini (2020). Dominar la comunicación en actividades de ciberinteligencia: una guía de usuario concisa . Revista Ciberdefensa.
• Anca Dinicu, Academia de Fuerzas Terrestres "Nicolae Bălcescu", Sibiu, Rumania, Amenazas cibernéticas a la seguridad nacional. Características específicas y actores involucrados - Boletín Ştiinţific No 2(38)/2014
• Zero Day: Nuclear Cyber ​​Sabotage, BBC Four: el thriller documental sobre la guerra en un mundo sin reglas: el mundo de la ciberguerra. Cuenta la historia de Stuxnet, un malware informático autorreplicante, conocido como "gusano" por su capacidad de excavar en la computadora.
• ¿Qué es la inteligencia de amenazas? - Publicación de blog que proporciona contexto y contribuye al debate sobre la definición de inteligencia contra amenazas.
• Explicación de la caza de amenazas: breve artículo que explica la inteligencia sobre amenazas cibernéticas.
• Inteligencia sobre amenazas cibernéticas: ¿Qué es la inteligencia sobre amenazas cibernéticas? - Guía definitiva para principiantes.