Threat Intelligence Platform (TIP) es una disciplina tecnológica emergente que ayuda a las organizaciones a agregar, correlacionar y analizar datos de amenazas de múltiples fuentes en tiempo real para respaldar acciones defensivas. Los TIP han evolucionado para abordar la creciente cantidad de datos generados por una variedad de recursos internos y externos (como registros del sistema y fuentes de inteligencia de amenazas) y ayudar a los equipos de seguridad a identificar las amenazas que son relevantes para su organización. Al importar datos de amenazas de múltiples fuentes y formatos, correlacionar esos datos y luego exportarlos a los sistemas de seguridad o sistemas de emisión de tickets existentes de una organización, un TIP automatiza la gestión y mitigación proactiva de amenazas. Un verdadero TIP se diferencia de los típicos productos de seguridad empresarial en que es un sistema que puede ser programado por desarrolladores externos, en particular, los usuarios de la plataforma. Los TIP también pueden utilizar API para recopilar datos para generar análisis de configuración , información Whois , búsqueda inversa de IP , análisis de contenido de sitios web, servidores de nombres y certificados SSL .
Enfoque tradicional de la seguridad empresarial
El enfoque tradicional de la seguridad empresarial implica que los equipos de seguridad utilicen una variedad de procesos y herramientas para llevar a cabo respuesta a incidentes, defensa de la red y análisis de amenazas. La integración entre estos equipos y el intercambio de datos sobre amenazas suele ser un proceso manual que depende del correo electrónico, hojas de cálculo o un sistema de tickets de portal. Este enfoque no se amplía a medida que el equipo y la empresa crecen y aumenta la cantidad de amenazas y eventos. Dado que las fuentes de ataque cambian minuto a minuto, hora y día, la escalabilidad y la eficiencia son difíciles. Las herramientas utilizadas por los grandes centros de operaciones de seguridad (SOC), por ejemplo, producen cientos de millones de eventos por día, desde alertas de endpoints y redes hasta registros de eventos, lo que dificulta el filtrado de un número manejable de eventos sospechosos para su clasificación.
Plataformas de inteligencia de amenazas
Las plataformas de inteligencia de amenazas permiten que las organizaciones obtengan una ventaja sobre el adversario al detectar la presencia de actores de amenazas, bloquear y abordar sus ataques o degradar su infraestructura. Al utilizar la inteligencia sobre amenazas, las empresas y las agencias gubernamentales también pueden identificar las fuentes de amenazas y los datos que son más útiles y relevantes para su propio entorno, lo que potencialmente reduce los costos asociados con fuentes de amenazas comerciales innecesarias. [1]
Los casos de uso táctico para la inteligencia de amenazas incluyen planificación, monitoreo y detección de seguridad, respuesta a incidentes , descubrimiento de amenazas y evaluación de amenazas. Un TIP también impulsa prácticas más inteligentes en SIEM , detección de intrusiones y otras herramientas de seguridad debido a la inteligencia sobre amenazas finamente seleccionada, relevante y de amplia fuente que produce un TIP.
Una ventaja de los TIP es la capacidad de compartir inteligencia sobre amenazas con otras partes interesadas y comunidades. Los adversarios suelen coordinar sus esfuerzos a través de foros y plataformas. Un TIP proporciona un hábitat común que hace posible que los equipos de seguridad compartan información sobre amenazas entre sus propios círculos de confianza, interactúen con expertos en seguridad e inteligencia y reciban orientación sobre la implementación de contramedidas coordinadas. Los TIP con todas las funciones permiten a los analistas de seguridad coordinar simultáneamente estas actividades tácticas y estratégicas con equipos de respuesta a incidentes, operaciones de seguridad y gestión de riesgos, al tiempo que agregan datos de comunidades confiables. [2]
Capacidades de la plataforma de inteligencia de amenazas
Las plataformas de inteligencia de amenazas se componen de varias áreas de características principales [3] que permiten a las organizaciones implementar un enfoque de seguridad basado en inteligencia. Estas etapas están respaldadas por flujos de trabajo automatizados que agilizan el proceso de detección, gestión, análisis y defensa de amenazas y lo rastrean hasta su finalización:
- Recopilar: un TIP recopila y agrega múltiples formatos de datos de múltiples fuentes, incluidos CSV, STIX, XML, JSON, IODEK, OpenIOC, correo electrónico y varios otros feeds. En esto se diferencia un TIP de una plataforma SIEM . Si bien los SIEM pueden manejar múltiples fuentes de TI, son menos adecuados para la importación ad hoc o para analizar formatos no estructurados que se requieren regularmente para el análisis. La eficacia del TIP estará fuertemente influenciada por la calidad, profundidad, amplitud y oportunidad de las fuentes seleccionadas. La mayoría de los TIP proporcionan integración con las principales fuentes de inteligencia comerciales y de código abierto .
- Correlacionar: el TIP permite a las organizaciones comenzar a analizar, correlacionar y pivotar automáticamente sobre los datos para que se pueda obtener inteligencia procesable sobre quién, por qué y cómo de un ataque determinado e introducir medidas de bloqueo. La automatización de estos feeds de procesamiento es fundamental.
- Enriquecimiento y contextualización: para crear un contexto enriquecido en torno a las amenazas, un TIP debe poder aumentar automáticamente o permitir que los analistas de inteligencia de amenazas utilicen aplicaciones de análisis de amenazas de terceros para aumentar los datos de amenazas. Esto permite a los equipos SOC e IR tener la mayor cantidad de datos posible sobre un determinado actor de amenazas, sus capacidades y su infraestructura para actuar adecuadamente ante la amenaza. Un TIP generalmente enriquecerá los datos recopilados con información como geolocalización de IP, redes ASN y otra información diversa de fuentes como IP y listas de bloqueo de dominios.
- Analizar: el TIP analiza automáticamente el contenido de los indicadores de amenazas y las relaciones entre ellos para permitir la producción de inteligencia sobre amenazas utilizable, relevante y oportuna a partir de los datos recopilados. Este análisis permite identificar las tácticas, técnicas y procedimientos (TTP) de un actor de amenazas. Además, las capacidades de visualización ayudan a representar relaciones complejas y permiten a los usuarios girar para revelar mayores detalles y relaciones sutiles. Un método probado de análisis dentro del marco TIP es el modelo Diamond de análisis de intrusión. [4] El Modelo Diamante permite a los equipos construir una imagen clara de cómo operan los adversarios e informar una respuesta general de manera más efectiva. Este proceso ayuda a los equipos a refinar y colocar los datos en contexto para desarrollar un plan de acción eficaz. Por ejemplo, un analista de inteligencia de amenazas puede realizar un modelado de relaciones en un correo electrónico de phishing para determinar quién lo envió, quién recibió el correo electrónico, los dominios en los que está registrado, las direcciones IP que se resuelven en ese dominio, etc. A partir de aquí, el analista puede pivotar Además, revela otros dominios que utilizan el mismo solucionador de DNS, los hosts internos que intentan conectarse a él y qué otras solicitudes de nombre de dominio/host se han intentado. El modelo Diamond difiere del enfoque Cyber Kill Chain® (atribuido a Lockheed Martin [5] ) que teoriza que, como defensor, una organización sólo necesita interrumpir un eslabón de la cadena para comprometer un ataque. Sin embargo, no todas las etapas de un ataque son evidentes para el defensor. Si bien los pasos de reconocimiento pueden ser detectables si un atacante navega por el sitio web de su víctima, la etapa de armamento permanece oculta. El Modelo Diamante, sin embargo, se centra más en comprender al atacante (sus TTP y motivaciones). En lugar de observar una serie de eventos, el modelo analiza las relaciones entre características para ayudar a los defensores a comprender mejor la amenaza. Esto garantiza una respuesta general más eficaz. [6] En lugar de jugar a golpear al topo con amenazas persistentes, las organizaciones construyen una imagen de cómo operan y pueden tomar medidas para abordar esos hechos directamente.
- Integrar: las integraciones son un requisito clave de un TIP. Los datos de la plataforma deben encontrar una manera de regresar a las herramientas y productos de seguridad utilizados por una organización. Los TIP con todas las funciones permiten el flujo de información recopilada y analizada a partir de feeds, etc. y difunden e integran los datos limpios a otras herramientas de red, incluidos SIEM , sistemas de emisión de tickets internos, firewalls , sistemas de detección de intrusiones y más. Además, las API permiten la automatización de acciones sin la participación directa del usuario. [7]
- Actuar: la implementación de una plataforma madura de inteligencia sobre amenazas también maneja el procesamiento de respuestas. Los flujos de trabajo y procesos integrados aceleran la colaboración dentro del equipo de seguridad y comunidades más amplias, como los Centros de análisis e intercambio de información (ISAC) y las Organizaciones de análisis e intercambio de información (ISAO), para que los equipos puedan tomar el control del desarrollo del curso de acción, la planificación de mitigación y ejecución. Este nivel de participación comunitaria no se puede lograr sin una plataforma sofisticada de inteligencia sobre amenazas. Los potentes TIP permiten a estas comunidades crear herramientas y aplicaciones que se pueden utilizar para seguir cambiando el juego para los profesionales de la seguridad. En este modelo, los analistas y desarrolladores comparten libremente aplicaciones entre sí, eligen y modifican aplicaciones y aceleran el desarrollo de soluciones mediante actividades plug-and-play. Además, también se puede actuar estratégicamente sobre la inteligencia de amenazas para informar los cambios necesarios en la red y la arquitectura de seguridad y optimizar los equipos de seguridad.
- Colaborar: Threat Intelligence Platform también permite a las personas colaborar con las partes interesadas internas y externas.
Implementaciones operativas
Las plataformas de inteligencia de amenazas se pueden implementar como software o dispositivo (físico o virtual) en las instalaciones o en nubes públicas o dedicadas para mejorar la colaboración comunitaria.
Referencias
- ^ "Plataformas de inteligencia sobre amenazas: el próximo 'imprescindible' para los equipos de operaciones de seguridad acosados". Lectura oscura . 2 de junio de 2015 . Consultado el 3 de febrero de 2016 .
- ^ Poputa-Clean, Paul (15 de enero de 2015). "Defensa automatizada que utiliza inteligencia contra amenazas para aumentar la seguridad". Sala de lectura InfoSec del Instituto SANS .
- ^ "Descripción general de la tecnología para plataformas de inteligencia contra amenazas". www.gartner.com . Consultado el 3 de febrero de 2016 .
- ^ "El modelo diamante de análisis de intrusiones | Threatconnect.com". www.threatconnect.com . Consultado el 15 de marzo de 2023 .
- ^ Eric M. Hutchins; Michael J. Cloppert; Rohan M. Amin (2009). "Defensa de redes informáticas basada en inteligencia basada en análisis de campañas adversarias y cadenas de destrucción de intrusiones" (PDF) . Lockheed Martin .
- ^ MacGregor, Rob (29 de mayo de 2015). "Diamantes o cadenas".
- ^ "¿Qué hay en una verdadera plataforma de análisis de inteligencia sobre amenazas?". Conexión de amenazas | Plataforma de inteligencia sobre amenazas empresariales . Consultado el 3 de febrero de 2016 .
enlaces externos
- Plataformas de inteligencia de amenazas: el próximo elemento imprescindible para los equipos de operaciones de seguridad acosados, Tim Wilson, Dark Reading, 2/6/2015
- Fuentes de inteligencia sobre amenazas de código abierto: Abuse.ch, MalcOde