Tipos de inteligencia de amenazas: ¿cuál implementar en tu empresa?

Estamos lidiando con la inteligencia de amenazas en un series de mensajes aquí en el blog. Anteriormente, hablamos sobre cómo funciona esta estrategia; señalamos el ciclo a recorrer para alcanzarlo.

Hoy lo ayudaremos a pensar en los diferentes tipos de inteligencia de amenazas. Verás que cada uno de ellos responde a un objetivo, o una realidad empresarial en materia de seguridad de la información.

Siga! 

3 tipos de inteligencia de amenazas

La inteligencia de amenazas generalmente se divide en tres subcategorías:

  • Estratégica — tendencias más amplias normalmente dirigidas a un público no técnico;
  • táctica — esquemas de las tácticas, técnicas y procedimientos de los actores de amenazas para una audiencia más técnica;
  • Operacional — detalles técnicos sobre ataques y campañas específicos.

¡Vea un desglose de cada una de estas subcategorías a continuación!

1. Inteligencia de amenazas estratégicas

La inteligencia de amenazas estratégicas proporciona una visión general amplia del panorama de amenazas de la organización. Su objetivo es informar las decisiones de alto nivel que toman los ejecutivos y otros responsables de la toma de decisiones en una organización; como tal, el contenido suele ser menos técnico y se presenta a través de informes o sesiones informativas. 

Una buena inteligencia estratégica debe proporcionar información sobre áreas como los riesgos asociados con ciertos cursos de acción, patrones generales en las tácticas y objetivos de los actores de amenazas, y tendencias y eventos geopolíticos.

Las fuentes comunes de información para la inteligencia de amenazas estratégicas incluyen:

  • documentos de política de estados-nación u organizaciones no gubernamentales;
  • noticias de los medios de comunicación locales y nacionales, la industria y publicaciones sobre temas específicos u otros expertos en la materia;
  • libros blancos, informes de investigación y otros contenidos producidos por organizaciones de seguridad.

La producción de inteligencia sólida sobre amenazas estratégicas comienza con preguntas específicas y enfocadas para definir los requisitos de inteligencia. También se necesitan analistas con experiencia fuera de las habilidades típicas de seguridad cibernética, en particular, una sólida comprensión de los conceptos sociopolíticos y comerciales.

Si bien el producto final no es técnico, producir inteligencia estratégica efectiva requiere una investigación profunda a través de grandes volúmenes de datos, a menudo en varios idiomas. 

Esto puede hacer que la recopilación y el procesamiento iniciales de datos sean muy difíciles de realizar de forma manual, incluso para aquellos pocos analistas que tienen las habilidades lingüísticas, la formación técnica y la habilidad adecuadas. 

Por lo tanto, una solución de inteligencia de amenazas que automatice la recopilación y el procesamiento de datos ayuda a reducir esta carga y permite que los analistas menos experimentados trabajen de manera más eficiente.

2. Inteligencia de amenazas tácticas

La inteligencia de amenazas tácticas describe las tácticas, técnicas y procedimientos de los actores de amenazas. Debería ayudar a los defensores a comprender, en términos específicos, cómo se puede atacar a su organización y las mejores formas de defenderse o mitigar esos ataques. 

Por lo general, incluye contexto técnico y lo utiliza el personal directamente involucrado en la defensa de una organización, como arquitectos de sistemas, administradores y personal de seguridad.

Los informes producidos por los proveedores de seguridad suelen ser la forma más fácil de obtener inteligencia táctica sobre amenazas. 

Búsqueda activa de información en informes sobre los vectores de ataque, las herramientas y la infraestructura que utilizan los atacantes. Incluyendo detalles sobre qué vulnerabilidades están siendo atacadas y qué exploits están aprovechando los atacantes, así como qué estrategias y herramientas pueden estar usando para evitar o retrasar la detección.

3. Inteligencia de amenazas operativas

La inteligencia operativa es el conocimiento sobre ciberataques, eventos o campañas. Proporciona conocimientos de expertos que ayudan a los equipos de respuesta a incidentes a comprender la naturaleza, la intención y el momento de ataques específicos.

Debido a que esto a menudo incluye información técnica, como qué vector de ataque se está utilizando, qué vulnerabilidades se están explotando o qué dominios de comando y control se están empleando, este tipo de inteligencia también se denomina inteligencia técnica contra amenazas. 

Una fuente común de información técnica son las fuentes de datos de amenazas, que a menudo se centran en un solo tipo de indicador, como hashes de malware o dominios sospechosos.

Pero si se piensa estrictamente que la inteligencia técnica sobre amenazas se deriva de la información técnica, como las fuentes de datos sobre amenazas, la inteligencia técnica y operativa sobre amenazas no son del todo sinónimos, sino más bien como un diagrama de Venn con grandes superposiciones. 

Otras fuentes de información sobre ataques específicos pueden provenir de fuentes cerradas, como la interceptación de comunicaciones de grupos de amenazas, ya sea a través de la infiltración o la intrusión de estos canales de comunicación.

En consecuencia, existen algunas barreras para recopilar este tipo de inteligencia:

  • Acceso — Los grupos de amenazas pueden comunicarse a través de canales privados encriptados o requerir alguna prueba de identificación. También existen barreras idiomáticas con grupos de amenazas ubicados en países extranjeros.
  • ruido — Puede ser difícil o imposible recopilar manualmente buena inteligencia de fuentes de gran volumen, como salas de chat y redes sociales.
  • Ofuscación — Para evitar la detección, los grupos de amenazas pueden emplear tácticas de ofuscación, como el uso de alias.

Las soluciones de inteligencia de amenazas que se basan en procesos de aprendizaje automático para la recopilación automatizada de datos a gran escala pueden superar muchos de estos problemas al intentar desarrollar una inteligencia operativa de amenazas efectiva. 

Una solución que utilice procesamiento de lenguaje natural, por ejemplo, podrá recopilar información de fuentes en idiomas extranjeros sin necesidad de conocimiento humano para descifrarla.

¿Cómo se está manejando el tema de inteligencia de amenazas en su empresa? Profundiza en este concepto descargando el eBook que acabamos de lanzar!

haga clic para descargar


Compartir