stringtranslate.com

Amenaza (seguridad informática)

En seguridad informática , una amenaza es una acción o evento negativo potencial habilitado por una vulnerabilidad que resulta en un impacto no deseado en un sistema o aplicación informática.

Una amenaza puede ser un evento negativo " intencional " (es decir, piratería informática: un cracker individual o una organización criminal) o un evento negativo " accidental " (por ejemplo, la posibilidad de que una computadora funcione mal o la posibilidad de un desastre natural como un terremoto , un incendio o un tornado ) o, de lo contrario, una circunstancia, capacidad, acción o evento (el término "incidente" se usa a menudo como un término general). [1] Un actor de amenazas que es un individuo o grupo que puede realizar la acción de amenaza, como explotar una vulnerabilidad para actualizar un impacto negativo. Un exploit es una vulnerabilidad que un actor de amenazas utilizó para causar un incidente.

Definiciones estándar

Una definición más completa, vinculada al punto de vista de la seguridad de la información , se puede encontrar en “ Federal Information Processing Standards (FIPS) 200, Minimum Security Requirements for Federal Information and Information Systems ” del NIST de los Estados Unidos de América [2].

Cualquier circunstancia o evento con el potencial de afectar negativamente las operaciones de la organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización o las personas a través de un sistema de información mediante acceso no autorizado, destrucción, divulgación, modificación de información y/o denegación de servicio. Además, la posibilidad de que una fuente de amenaza explote con éxito una vulnerabilidad particular del sistema de información .

El Glosario de Garantía de la Información Nacional define amenaza como:

Cualquier circunstancia o evento con el potencial de afectar negativamente a un SI a través de acceso no autorizado, destrucción, divulgación, modificación de datos y/o denegación de servicio.

ENISA da una definición similar: [3]

Cualquier circunstancia o evento con el potencial de impactar negativamente un activo [G.3] a través del acceso no autorizado, destrucción, divulgación, modificación de datos y/o denegación de servicio.

El Open Group define la amenaza como: [4]

Cualquier cosa que sea capaz de actuar de manera tal que resulte en daño a un activo y/o a una organización; por ejemplo, casos fortuitos (clima, eventos geológicos, etc.); actores maliciosos; errores; fallas .

El análisis factorial del riesgo de la información define la amenaza como: [5]

Las amenazas son cualquier cosa (por ejemplo, un objeto, una sustancia, un ser humano, etc.) que pueda actuar contra un activo de manera que pueda causarle daño. Un tornado es una amenaza, al igual que una inundación o un pirata informático. La consideración clave es que las amenazas aplican la fuerza (agua, viento, código de explotación, etc.) contra un activo que puede provocar que se produzca un evento de pérdida.

El Centro Nacional de Capacitación y Educación en Seguridad de la Información ofrece una definición más articulada de amenaza : [6] [7]

Los medios a través de los cuales se puede manifestar la capacidad o intención de un agente de amenaza de afectar negativamente a un sistema, instalación u operación automatizada. Clasifique y clasifique las amenazas de la siguiente manera: Categorías Clases Humana Intencional No intencional Ambiental Natural Fabricada 2. Cualquier circunstancia o evento con el potencial de causar daño a un sistema en forma de destrucción, divulgación, modificación de datos y/o denegación de servicio. 3. Cualquier circunstancia o evento con el potencial de causar daño al sistema o actividad de ADP en forma de destrucción, divulgación y modificación de datos o denegación de servicio. Una amenaza es un potencial de daño. La presencia de una amenaza no significa que necesariamente causará daño real. Las amenazas existen debido a la existencia misma del sistema o actividad y no debido a ninguna debilidad específica. Por ejemplo, la amenaza de incendio existe en todas las instalaciones independientemente de la cantidad de protección contra incendios disponible. 4. Tipos de eventos adversos relacionados con sistemas informáticos (es decir, peligros) que pueden resultar en pérdidas. Algunos ejemplos son inundaciones, sabotaje y fraude. 5. Una afirmación que se refiere principalmente a entidades del entorno externo (agentes); decimos que un agente (o clase de agentes) plantea una amenaza a uno o más activos; escribimos: T(e; i) donde: e es una entidad externa; i es una entidad interna o un conjunto vacío. 6. Un suceso indeseable que podría anticiparse pero que no es el resultado de un acto o decisión consciente. En el análisis de amenazas, una amenaza se define como un par ordenado, <peligro; categoría de activo>, que sugiere la naturaleza de estos sucesos pero no los detalles (los detalles son específicos de los eventos). 7. La posible violación de la seguridad. 8. Un conjunto de propiedades de una entidad externa específica (que puede ser un individuo o una clase de entidades) que, en unión con un conjunto de propiedades de una entidad interna específica, implica un riesgo (según un cuerpo de conocimiento).

Fenomenología

El término "amenaza" se relaciona con otros términos básicos de seguridad, como se muestra en el siguiente diagrama: [1]Un modelo básico de amenazas del sistema
Un recurso (tanto físico como lógico) puede tener una o más vulnerabilidades que pueden ser explotadas por un agente amenazante en una acción amenazante. El resultado puede comprometer potencialmente las propiedades de confidencialidad , integridad o disponibilidad de los recursos (potencialmente diferentes al vulnerable) de la organización y otras partes involucradas (clientes, proveedores).
La llamada tríada CIA es la base de la seguridad de la información .

El ataque puede ser activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento: por lo que compromete la Integridad o la Disponibilidad. Un " ataque pasivo " intenta aprender o hacer uso de la información del sistema pero no afecta los recursos del sistema: por lo que compromete la Confidencialidad. [1]

OWASP: relación entre el agente amenazante y el impacto en el negocio

OWASP (ver figura) describe el mismo fenómeno en términos ligeramente diferentes: un agente de amenaza a través de un vector de ataque explota una debilidad (vulnerabilidad) del sistema y los controles de seguridad relacionados , causando un impacto técnico en un recurso de TI (activo) conectado a un impacto comercial.

Se ha desarrollado un conjunto de políticas relacionadas con la gestión de la seguridad de la información, los sistemas de gestión de la seguridad de la información (SGSI), para gestionar, según los principios de gestión de riesgos , las contramedidas con el fin de cumplir con una estrategia de seguridad establecida siguiendo las normas y regulaciones aplicables en un país. Las contramedidas también se denominan controles de seguridad; cuando se aplican a la transmisión de información se denominan servicios de seguridad . [8]

El panorama general representa los factores de riesgo del escenario de riesgo. [9]

La expansión de las dependencias informáticas y el consiguiente aumento de las consecuencias de un ataque exitoso dieron lugar a un nuevo término: ciberguerra .

En la actualidad, muchos ataques reales explotan la psicología al menos tanto como la tecnología. El phishing , el pretexting y otros métodos se denominan técnicas de ingeniería social . [10] Las aplicaciones de la Web 2.0 , en concreto los servicios de redes sociales , pueden ser un medio para ponerse en contacto con personas encargadas de la administración de sistemas o incluso de la seguridad de los mismos, induciéndoles a revelar información sensible. [11] Un caso famoso es el de Robin Sage . [12]

La documentación más extendida sobre la inseguridad informática trata de amenazas técnicas como virus informáticos , troyanos y otros programas maliciosos , pero un estudio serio para aplicar contramedidas rentables solo puede llevarse a cabo siguiendo un riguroso análisis de riesgos de TI en el marco de un SGSI: un enfoque puramente técnico dejará escapar los ataques psicológicos que son amenazas crecientes.

Clasificación de amenazas

Las amenazas se pueden clasificar según su tipo y origen: [13]

Tenga en cuenta que un tipo de amenaza puede tener múltiples orígenes.

Tendencias de amenazas

Las tendencias recientes en materia de amenazas informáticas muestran un aumento de los ataques de ransomware, ataques a la cadena de suministro y malware sin archivos. Los ataques de ransomware implican el cifrado de los archivos de la víctima y la exigencia de un pago para restablecer el acceso. Los ataques a la cadena de suministro se dirigen a los eslabones más débiles de la cadena de suministro para obtener acceso a objetivos de alto valor. Los ataques de malware sin archivos utilizan técnicas que permiten que el malware se ejecute en la memoria, lo que dificulta su detección. [14]

Amenazas comunes

A continuación se presentan algunas amenazas emergentes comunes:

●      Virus informáticos

●      Caballos de Troya

●      Gusanos

●      Rootkits

●      Software espía

●      Programas publicitarios

●      Ransomware

●      Malware sin archivos

Clasificación de amenazas

Microsoft publicó un mnemotécnico, STRIDE , [15] a partir de las iniciales de los grupos de amenazas:

Anteriormente, Microsoft clasificaba el riesgo de amenazas a la seguridad utilizando cinco categorías en una clasificación llamada DREAD: modelo de evaluación de riesgos . Microsoft considera que el modelo está obsoleto. Las categorías eran:

El nombre DREAD proviene de las iniciales de las cinco categorías enumeradas.

La propagación de amenazas en una red puede dar lugar a situaciones peligrosas. En los ámbitos militar y civil, se ha definido el nivel de amenaza: por ejemplo, INFOCON es un nivel de amenaza utilizado por los EE. UU. Los principales proveedores de software antivirus publican el nivel de amenaza global en sus sitios web. [16] [17]

Términos asociados

Agentes o actores amenazantes

El término Agente de Amenaza se utiliza para indicar un individuo o grupo que puede manifestar una amenaza. Es fundamental identificar quién querría explotar los activos de una empresa y cómo podría utilizarlos en su contra. [18]

Individuos dentro de una población de amenaza; prácticamente cualquier persona y cualquier cosa puede, bajo las circunstancias adecuadas, ser un agente de amenaza: el operador de computadora bien intencionado, pero inepto, que arruina un trabajo por lotes diario al escribir el comando equivocado, el regulador que realiza una auditoría o la ardilla que mastica un cable de datos. [5]

Los agentes de amenazas pueden tomar una o más de las siguientes acciones contra un activo: [5]

Cada una de estas acciones afecta a distintos activos de forma diferente, lo que determina el grado y la naturaleza de la pérdida. Por ejemplo, el potencial de pérdida de productividad resultante de un activo destruido o robado depende de lo crítico que sea ese activo para la productividad de la organización. Si simplemente se accede ilícitamente a un activo crítico, no hay una pérdida directa de productividad. De manera similar, la destrucción de un activo altamente sensible que no desempeña un papel crítico en la productividad no resultaría directamente en una pérdida significativa de productividad. Sin embargo, ese mismo activo, si se divulga, puede resultar en una pérdida significativa de ventaja competitiva o reputación, y generar costos legales. El punto es que es la combinación del activo y el tipo de acción contra el activo lo que determina la naturaleza fundamental y el grado de pérdida. Las acciones que un agente amenazante toma estarán motivadas principalmente por el motivo de ese agente (por ejemplo, ganancia financiera, venganza, recreación, etc.) y la naturaleza del activo. Por ejemplo, un agente amenazante empeñado en obtener ganancias financieras tiene menos probabilidades de destruir un servidor crítico que de robar un activo fácil de empeñar , como un portátil. [5]

Es importante separar el concepto del evento en el que un agente de amenaza entra en contacto con el activo (incluso virtualmente, es decir a través de la red) y el evento en el que un agente de amenaza actúa contra el activo. [5]

OWASP recopila una lista de agentes de amenaza potenciales para evitar que los diseñadores y programadores de sistemas inserten vulnerabilidades en el software. [18]

Agente amenazante = Capacidades + Intenciones + Actividades pasadas

Estos individuos y grupos pueden clasificarse de la siguiente manera: [18]

Fuente de amenaza

Las fuentes de amenaza son aquellas que desean que se produzca un ataque. Es un término que se utiliza para distinguirlas de los agentes o actores de amenaza, que son aquellos que llevan a cabo el ataque y que pueden ser comisionados o persuadidos por la fuente de amenaza para que lleven a cabo el ataque consciente o inconscientemente. [19]

Comunidades amenazantes

Comunidades amenazantes
Subconjuntos de la población general de agentes de amenaza que comparten características clave. La noción de comunidades de amenaza es una herramienta poderosa para comprender a quién y a qué nos enfrentamos cuando tratamos de gestionar el riesgo. Por ejemplo, la probabilidad de que una organización sea objeto de un ataque de la comunidad de amenaza terrorista dependería en gran parte de las características de su organización en relación con los motivos, las intenciones y las capacidades de los terroristas. ¿Está la organización estrechamente afiliada a una ideología que entra en conflicto con grupos terroristas activos conocidos? ¿Representa la organización un objetivo de alto perfil y alto impacto? ¿Es la organización un objetivo fácil? ¿Cómo se compara la organización con otros objetivos potenciales? Si la organización fuera atacada, ¿qué componentes de la organización serían objetivos probables? Por ejemplo, ¿qué probabilidad hay de que los terroristas ataquen la información o los sistemas de la empresa? [5]
Las siguientes comunidades de amenazas son ejemplos del panorama de amenazas humanas maliciosas que enfrentan muchas organizaciones:
  • Interno
    • Empleados
    • Contratistas (y proveedores)
    • Fogonadura
  • Externo
    • Ciberdelincuentes (piratas informáticos profesionales)
    • Espías
    • Hackers no profesionales
    • Activistas
    • Servicios de inteligencia de los Estados-nación (por ejemplo, homólogos de la CIA, etc.)
    • Autores de malware (virus/gusanos/etc.)

Acción de amenaza

La acción de amenaza es un ataque a la seguridad del sistema.
Una arquitectura de seguridad completa se ocupa tanto de los actos intencionales (es decir, los ataques) como de los eventos accidentales. [20]

Varios tipos de acciones de amenaza se definen como subentradas bajo "consecuencia de amenaza".

Análisis de amenazas

El análisis de amenazas es el análisis de la probabilidad de ocurrencia y las consecuencias de acciones dañinas para un sistema. [1] Es la base del análisis de riesgos .

Modelado de amenazas

El modelado de amenazas es un proceso que ayuda a las organizaciones a identificar y priorizar las amenazas potenciales a sus sistemas. Implica analizar la arquitectura del sistema, identificar amenazas potenciales y priorizarlas en función de su impacto y probabilidad. Al utilizar el modelado de amenazas, las organizaciones pueden desarrollar un enfoque proactivo de la seguridad y priorizar sus recursos para abordar los riesgos más importantes. [21]

Inteligencia de amenazas

La inteligencia de amenazas es la práctica de recopilar y analizar información sobre amenazas potenciales y actuales a una organización. Esta información puede incluir indicadores de riesgo, técnicas de ataque y perfiles de actores amenazantes. Al utilizar la inteligencia de amenazas, las organizaciones pueden desarrollar una mejor comprensión del panorama de amenazas y mejorar su capacidad para detectarlas y responder a ellas. [22]

Consecuencia de amenaza

La consecuencia de una amenaza es una violación de seguridad que resulta de una acción de amenaza. [1]
Incluye divulgación, engaño, interrupción y usurpación.

Las siguientes subentradas describen cuatro tipos de consecuencias de amenazas y también enumeran y describen los tipos de acciones de amenazas que causan cada consecuencia. [1] Las acciones de amenazas que son eventos accidentales están marcadas con "*".

"Divulgación no autorizada" (consecuencia de una amenaza)
Circunstancia o evento por el cual una entidad obtiene acceso a datos para los cuales no está autorizada. (Véase: confidencialidad de los datos). Las siguientes acciones de amenaza pueden provocar una divulgación no autorizada:
"Exposición"
Una acción de amenaza mediante la cual se divulgan datos confidenciales directamente a una entidad no autorizada. Esto incluye:
"Exposición deliberada"
Divulgación intencional de datos confidenciales a una entidad no autorizada.
" Recolección de basura "
Búsqueda de residuos de datos en un sistema para obtener conocimiento no autorizado de datos confidenciales.
* " Error humano "
Acción o inacción humana que, de manera involuntaria, da como resultado que una entidad obtenga conocimiento no autorizado de datos confidenciales.
* "Error de hardware/software"
Falla del sistema que provoca que una entidad obtenga conocimiento no autorizado de datos confidenciales.
" Intercepción ":
Acción de amenaza mediante la cual una entidad no autorizada accede directamente a datos confidenciales que viajan entre fuentes y destinos autorizados. Esto incluye:
" Robo "
Obtener acceso a datos confidenciales mediante el robo de un envío de un medio físico, como una cinta magnética o un disco, que contiene los datos.
"Interceptación de llamadas telefónicas (pasiva)"
Monitoreo y registro de datos que fluyen entre dos puntos de un sistema de comunicación. (Véase: escuchas telefónicas ).
"Análisis de emanaciones"
Obtener conocimiento directo de los datos comunicados mediante el monitoreo y la resolución de una señal emitida por un sistema que contiene los datos pero no está destinada a comunicarlos.
" Inferencia "
Acción de amenaza mediante la cual una entidad no autorizada accede indirectamente a datos confidenciales (pero no necesariamente a los datos contenidos en la comunicación) basándose en características o subproductos de las comunicaciones. Esto incluye:
" Análisis de tráfico "
Adquirir conocimiento de los datos mediante la observación de las características de las comunicaciones que los transportan.
"Análisis de señales"
Obtener conocimiento indirecto de datos comunicados mediante el monitoreo y análisis de una señal emitida por un sistema que contiene los datos pero no está destinada a comunicarlos.
"Intrusión"
Una acción de amenaza mediante la cual una entidad no autorizada obtiene acceso a datos confidenciales eludiendo las protecciones de seguridad de un sistema. Esto incluye:
"Pecado"
Obtener acceso físico no autorizado a datos confidenciales eludiendo las protecciones de un sistema.
"Penetración"
Obtener acceso lógico no autorizado a datos confidenciales eludiendo las protecciones de un sistema.
" Ingeniería inversa "
Adquirir datos confidenciales mediante el desmontaje y análisis del diseño de un componente del sistema.
" Criptoanálisis "
Transformar datos cifrados en texto plano sin tener conocimientos previos de parámetros o procesos de cifrado.
" Engaño " (consecuencia de una amenaza)
Circunstancia o evento que puede dar lugar a que una entidad autorizada reciba datos falsos y crea que son verdaderos. Las siguientes acciones de amenaza pueden provocar engaño:
"Mascarada"
Una acción de amenaza mediante la cual una entidad no autorizada obtiene acceso a un sistema o realiza un acto malicioso haciéndose pasar por una entidad autorizada.
"Parodia"
Intento por parte de una entidad no autorizada de obtener acceso a un sistema haciéndose pasar por un usuario autorizado.
"Lógica maliciosa"
En el contexto de mascarada, cualquier hardware, firmware o software (por ejemplo, un caballo de Troya) que parezca realizar una función útil o deseable, pero que en realidad obtiene acceso no autorizado a los recursos del sistema o engaña a un usuario para que ejecute otra lógica maliciosa.
" Falsificación "
Acción de amenaza mediante la cual se engaña a una entidad autorizada con datos falsos. (Véase: escuchas telefónicas activas).
"Sustitución"
Alterar o sustituir datos válidos por datos falsos que sirvan para engañar a una entidad autorizada.
"Inserción"
Introducir datos falsos que sirvan para engañar a una entidad autorizada.
"Repudio"
Una acción de amenaza mediante la cual una entidad engaña a otra negando falsamente la responsabilidad por un acto.
"Falsa negación del origen"
Acción mediante la cual el originador de los datos niega la responsabilidad por su generación.
"Falsa negación de recibo"
Acción mediante la cual el receptor de datos niega recibir y poseer los datos.
"Disrupción" (consecuencia de una amenaza)
Circunstancia o evento que interrumpe o impide el correcto funcionamiento de los servicios y funciones del sistema. (Véase: denegación de servicio ). Las siguientes acciones de amenaza pueden causar interrupciones:
"Incapacitación"
Una acción de amenaza que impide o interrumpe el funcionamiento del sistema al deshabilitar un componente del sistema.
"Lógica maliciosa"
En el contexto de la incapacitación, cualquier hardware, firmware o software (por ejemplo, bomba lógica) introducido intencionalmente en un sistema para destruir funciones o recursos del sistema.
"Destrucción física"
Destrucción deliberada de un componente del sistema para interrumpir o impedir el funcionamiento del sistema.
* "Error humano"
Acción o inacción que deshabilita involuntariamente un componente del sistema.
* "Error de hardware o software"
Error que provoca la falla de un componente del sistema y conduce a la interrupción del funcionamiento del sistema.
* "Desastre natural"
Cualquier desastre natural (por ejemplo, incendio, inundación, terremoto, rayo o viento) que deshabilite un componente del sistema. [20]
" Corrupción "
Una acción de amenaza que altera de forma indeseable el funcionamiento del sistema modificando negativamente las funciones o los datos del sistema.
" Manipulación "
En el contexto de la corrupción, alteración deliberada de la lógica, los datos o la información de control de un sistema para interrumpir o impedir el funcionamiento correcto de las funciones del sistema.
"Lógica maliciosa"
En el contexto de la corrupción, cualquier hardware, firmware o software (por ejemplo, un virus informático) introducido intencionalmente en un sistema para modificar funciones o datos del sistema.
* "Error humano"
Acción o inacción humana que de manera involuntaria resulta en la alteración de funciones o datos del sistema.
* "Error de hardware o software"
Error que produce la alteración de funciones o datos del sistema.
* "Desastre natural"
Cualquier evento natural (por ejemplo, una subida de tensión provocada por un rayo) que altere las funciones o los datos del sistema. [20]
"Obstrucción"
Una acción de amenaza que interrumpe la prestación de servicios del sistema al obstaculizar las operaciones del sistema.
" Interferencia "
Interrupción del funcionamiento del sistema mediante el bloqueo de las comunicaciones o de los datos del usuario o de la información de control.
"Sobrecarga"
Obstáculo al funcionamiento del sistema al imponer una carga excesiva sobre las capacidades de rendimiento de un componente del sistema. (Véase: inundación ).
" Usurpación " (consecuencia de una amenaza)
Circunstancia o evento que da como resultado el control de servicios o funciones del sistema por parte de una entidad no autorizada. Las siguientes acciones de amenaza pueden causar usurpación:
" Apropiación indebida "
Una acción de amenaza mediante la cual una entidad asume el control lógico o físico no autorizado de un recurso del sistema.
"Robo de servicio"
Uso no autorizado del servicio por parte de una entidad.
"Robo de funcionalidad"
Adquisición no autorizada de hardware, software o firmware real de un componente del sistema.
"Robo de datos"
Adquisición y uso no autorizado de datos.
" Mal uso "
Una acción de amenaza que hace que un componente del sistema realice una función o servicio que es perjudicial para la seguridad del sistema.
"Manosear"
En el contexto de mal uso, alteración deliberada de la lógica, los datos o la información de control de un sistema para provocar que el sistema realice funciones o servicios no autorizados.
"Lógica maliciosa"
En el contexto de mal uso, cualquier hardware, software o firmware introducido intencionalmente en un sistema para realizar o controlar la ejecución de una función o servicio no autorizado.
"Violación de permisos "
Acción de una entidad que excede los privilegios del sistema de la entidad al ejecutar una función no autorizada.

Paisaje o entorno de amenazas

Una colección de amenazas en un dominio o contexto particular, con información sobre activos vulnerables identificados, amenazas, riesgos, actores de amenazas y tendencias observadas. [23] [24]

Gestión de amenazas

Las amenazas deben gestionarse mediante la operación de un SGSI, realizando todas las actividades de gestión de riesgos de TI previstas por las leyes, estándares y metodologías.

Las organizaciones de gran tamaño tienden a adoptar planes de gestión de la continuidad empresarial para proteger, mantener y recuperar los procesos y sistemas críticos para el negocio. Algunos de estos planes son implementados por el equipo de respuesta a incidentes de seguridad informática (CSIRT).

La gestión de amenazas debe identificar, evaluar y categorizar las amenazas. Existen dos métodos principales de evaluación de amenazas :

Muchas organizaciones sólo llevan a cabo un subconjunto de estos métodos y adoptan contramedidas basadas en un enfoque no sistemático, lo que genera inseguridad informática .

La concienciación sobre la seguridad de la información es un mercado importante. Se ha desarrollado una gran cantidad de software para abordar las amenazas informáticas, incluido software de código abierto y software propietario . [25]

Gestión de amenazas cibernéticas

La gestión de amenazas implica una amplia variedad de amenazas, incluidas amenazas físicas como inundaciones e incendios. Si bien el proceso de evaluación de riesgos de ISMS incorpora la gestión de amenazas cibernéticas, como desbordamientos de búfer remotos, el proceso de evaluación de riesgos no incluye procesos como la gestión de inteligencia de amenazas o los procedimientos de respuesta.

La gestión de amenazas cibernéticas (GTC) se está convirtiendo en la mejor práctica para gestionar las amenazas cibernéticas más allá de la evaluación básica de riesgos que se encuentra en los SGSI. Permite la identificación temprana de amenazas, el conocimiento de la situación basado en datos, la toma de decisiones precisa y las acciones oportunas para mitigar las amenazas. [26]

El CTM incluye:

Caza de amenazas

La búsqueda de amenazas cibernéticas es "el proceso de búsqueda proactiva e iterativa a través de redes para detectar y aislar amenazas avanzadas que evaden las soluciones de seguridad existentes". [27] Esto contrasta con las medidas de gestión de amenazas tradicionales, como firewalls , sistemas de detección de intrusiones y SIEM , que normalmente implican una investigación después de que ha habido una advertencia de una amenaza potencial o ha ocurrido un incidente.

La búsqueda de amenazas puede ser un proceso manual, en el que un analista de seguridad examina diversos datos utilizando su conocimiento y familiaridad con la red para crear hipótesis sobre amenazas potenciales. Sin embargo, para ser aún más eficaz y eficiente, la búsqueda de amenazas puede ser parcialmente automatizada o también asistida por máquinas. En este caso, el analista utiliza un software que aprovecha el aprendizaje automático y el análisis del comportamiento de usuarios y entidades (UEBA) para informar al analista sobre los riesgos potenciales. Luego, el analista investiga estos riesgos potenciales y rastrea el comportamiento sospechoso en la red. Por lo tanto, la búsqueda es un proceso iterativo, lo que significa que debe llevarse a cabo de forma continua en un bucle, comenzando con una hipótesis. Hay tres tipos de hipótesis:

El analista investiga su hipótesis analizando grandes cantidades de datos sobre la red. Los resultados se almacenan para poder utilizarlos para mejorar la parte automatizada del sistema de detección y servir como base para futuras hipótesis.

El SANS Institute ha llevado a cabo investigaciones y encuestas sobre la eficacia de la búsqueda de amenazas para rastrear y desbaratar a los ciberadversarios lo antes posible en su proceso. Según una encuesta realizada en 2019, "el 61 % [de los encuestados] informa de una mejora medible de al menos el 11 % en su postura de seguridad general" y el 23,6 % de los encuestados ha experimentado una "mejora significativa" en la reducción del tiempo de permanencia . [29]

Mitigación de amenazas

Para protegerse de las amenazas informáticas, es fundamental mantener actualizado el software, utilizar contraseñas seguras y únicas, y tener cuidado al hacer clic en enlaces o descargar archivos adjuntos. Además, utilizar un software antivirus y realizar copias de seguridad periódicas de los datos puede ayudar a mitigar el impacto de una amenaza.

Véase también

Referencias

  1. ^ abcdef Shirey, R. (mayo de 2000). Glosario de seguridad en Internet. IETF . doi : 10.17487/RFC2828 . RFC 2828. Informativo. Obsoleto por RFC 4949.
  2. ^ "Estándares federales de procesamiento de información (FIPS) 200, Requisitos mínimos de seguridad para la información y los sistemas de información federales" (PDF) . Carc.nist.gov . Consultado el 5 de noviembre de 2013 .
  3. ^ "Glosario – ENISA". Enisa.europa.eu. 24 de julio de 2009. Consultado el 5 de noviembre de 2013 .
  4. ^ Norma técnica Taxonomía de riesgos ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009. 
  5. ^ abcdef "Introducción al análisis factorial del riesgo de la información (FAIR)" (PDF) . Riskmanagementinsight.com . Noviembre de 2006. Archivado desde el original (PDF) el 18 de noviembre de 2014 . Consultado el 5 de noviembre de 2013 .
  6. ^ Schou, Corey (1996). Manual de términos de INFOSEC, versión 2.0. CD-ROM (Universidad Estatal de Idaho y Organización de Seguridad de Sistemas de Información)
  7. ^ "Glosario de términos". Niatec.info . 12 de diciembre de 2011 . Consultado el 13 de febrero de 2012 .
  8. ^ Wright, Joe; Jim Harmening (2009). "15". En Vacca, John (ed.). Manual de seguridad informática y de la información . Morgan Kaufmann Publications. Elsevier Inc. pág. 257. ISBN 978-0-12-374354-1.
  9. ^ "ISACA EL MARCO DE RIESGO DE TI" (PDF) . Isaca.org . Consultado el 5 de noviembre de 2013 . ( se requiere registro )
  10. ^ Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables, segunda edición, Ross Anderson, Wiley, 2008 – 1040 páginas ISBN 978-0-470-06852-6 , Capítulo 2, página 17 
  11. ^ Brian Prince (7 de abril de 2009). "Usar Facebook para usar la ingeniería social para evitar la seguridad". Eweek.com . Consultado el 5 de noviembre de 2013 .
  12. ^ "Ingeniería social a través de las redes sociales". Networkworld.com . 4 de octubre de 2010. Consultado el 13 de febrero de 2012 .
  13. ^ ISO/IEC, "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" ISO/IEC FIDIS 27005:2008
  14. ^ "Tendencias, estadísticas y datos sobre ransomware en 2023". Seguridad . Consultado el 9 de mayo de 2023 .
  15. ^ "El modelo de amenazas STRIDE". msdn.microsoft.com . 12 de noviembre de 2009 . Consultado el 28 de marzo de 2017 .
  16. ^ "Inteligencia de amenazas de McAfee | McAfee, Inc". Mcafee.com . Consultado el 13 de febrero de 2012 .
  17. ^ "Threatcon – Symantec Corp". Symantec.com . 10 de enero de 2012. Archivado desde el original el 9 de marzo de 2007 . Consultado el 13 de febrero de 2012 .
  18. ^ abc "Categoría:Agente de amenaza". OWASP. 9 de diciembre de 2011. Consultado el 13 de febrero de 2012 .
  19. ^ Norma IA HMG n.º 1 Evaluación de riesgos técnicos
  20. ^ abc "FIPS PUB 31 PUBLICACIÓN DE NORMAS FEDERALES DE PROCESAMIENTO DE INFORMACIÓN: JUNIO DE 1974" (PDF) . Tricare.mil . Consultado el 5 de noviembre de 2013 .[ enlace muerto permanente ]
  21. ^ "Modelado de amenazas | Fundación OWASP". owasp.org . Consultado el 9 de mayo de 2023 .
  22. ^ "¿Qué es Threat Intelligence? | IBM". www.ibm.com . 2 de noviembre de 2022 . Consultado el 9 de mayo de 2023 .
  23. ^ Panorama de amenazas y guía de buenas prácticas de ENISA para hogares inteligentes y medios convergentes (1 de diciembre de 2014)
  24. ^ Panorama de amenazas de ENISA 2013: descripción general de las ciberamenazas actuales y emergentes (11 de diciembre de 2013)
  25. ^ Consulte Categoría:Empresas de seguridad informática , Categoría:Software de seguridad gratuito y Categoría:Empresas de software de seguridad informática para obtener listas parciales.
  26. ^ "¿Qué es la gestión de amenazas cibernéticas?". ioctm.org . Consultado el 28 de enero de 2015 .
  27. ^ "Caza de amenazas cibernéticas: cómo esta estrategia de detección de vulnerabilidades ofrece una ventaja a los analistas – TechRepublic". TechRepublic . Consultado el 7 de junio de 2016 .
  28. ^ abc «Caza de amenazas cibernéticas: Sqrrl». Sqrrl . Consultado el 7 de junio de 2016 .
  29. ^ Fuchs, Mathias; Lemon, Joshua. "Encuesta de caza de amenazas de SANS 2019: las diferentes necesidades de los cazadores nuevos y experimentados" (PDF) . SANS Institute . págs. 2, 16. Archivado (PDF) del original el 1 de marzo de 2022 . Consultado el 11 de mayo de 2022 .

Enlaces externos