04
junio
2019

Threat Intelligence

La Inteligencia de Amenazas (Threat Intelligence) puede definirse en un entorno de ciberseguridad, como el conocimiento (inteligencia) obtenido del análisis de evidencias (contexto, indicadores, implicaciones y asesoramiento, entre otros), que ponen en peligro (amenazan) el comprometimiento de los datos y la información.

En otras palabras, Threat Intelligence se dedica a organizar y analizar la información sobre ataques y amenazas recibidos por las redes de trasmisión de datos de las diferentes entidades y su entorno, para ayudar a las organizaciones a comprender mejor sus riesgos de seguridad y prepararse para enfrentarlos.

Plataforma de Inteligencia de Amenazas

El panorama de la seguridad informática actual se caracteriza por algunos problemas comunes: volúmenes masivos de datos, falta de analistas y análisis integrales, y mayor y mucho más complejo número de ataques de los ciberdelincuentes.

Las infraestructuras de redes ofrecen muchas herramientas para gestionar diferentes informaciones de seguridad, pero poca integración entre ellas. Para combatir estos problemas, muchas entidades eligen implementar una plataforma de inteligencia de amenazas, definida generalmente por su capacidad para integrar información desde varios sistemas de seguridad existentes, enriquecer y calificar el riesgo de los datos, y analizar e intercambiar información sobre las amenazas.

Las amenazas de seguridad a una infraestructura de redes de datos en la actualidad, están asociadas generalmente con ataques de malware, phishing, ransonware, botnets (redes zombis), MITM (hombre en el medio) o DDOS (denegación de servicios), entre otros.

Una plataforma de inteligencia de amenazas (TIP: Threat Intelligence Plataform) constituye una solución que se integra con las aplicaciones de seguridad existentes, la que cuenta con un sistema de administración que automatiza y simplifica gran parte del trabajo, que los analistas, tradicionalmente, realizaban por sí mismos.

Este tipo de solución proporciona un almacén integrado de información que simplifica y agiliza el proceso de toma de decisiones de seguridad, referidos a salvaguardar la integridad de los datos y el correcto funcionamiento de los procesos de una organización.

Una plataforma de inteligencia de amenazas brinda funciones que ayudan al análisis de las posibles amenazas y sus mitigaciones correspondientes; de este modo, tomará todos los datos posibles, los enriquecimientos y demás contextos disponibles, y mostrará esa información de manera que aporte valor, generalmente en forma de tableros, reglas, alertas y notas.

Los analistas de seguridad informática en este caso poseen un sistema que ofrece la visualización de informes técnicos de alto nivel, lo que permite intercambiar y analizar datos de manera efectiva, a medida que ocurren los incidentes de seguridad o ataques a la infraestructura informática y sistemas de aplicación a través de la red de datos.

Datos de las Amenazas

Una plataforma de inteligencia de amenazas recopila y concilia, generalmente de forma automática, datos de distintas fuentes y en varios formatos. Poder procesar información de una variedad de fuentes, tanto internas como externas a la organización, es un componente crítico para lograr una infraestructura de seguridad sólida.

Las fuentes de datos pueden ser: de código abierto (libres de costo), de pago, internas, de terceros externos, gubernamentales (de gobierno o instituciones), o de comunidades de intercambio de confianza, entre otras. Los formatos de intercambio, por su parte, pueden a su vez ser variados: STIX y TAXII (propios de sistemas de Threat Intelligence), JSON o XML, mensajes de correo electrónico, archivos tipo texto (.txt,), separados por comas (.csv), y documentos en PDF o Word.

Entre las aplicaciones de seguridad internas con los que se integra una plataforma de inteligencia de amenazas están:

  • Sistema de ​Gestión de Incidentes y Eventos de Seguridad (SIEM).
  • Firewall.
  • Proxy.
  • Antivirus.
  • ​Sistema de Detección de Intrusiones (IDS).
  • Sistema de Prevención de Intrusiones (IPS).

Recopilar datos de una gran variedad de fuentes y en varios formatos, implica un arduo trabajo de compatibilización de información, que puede resumirse en tres grandes procesos principales:

  • Estandarización: consiste en la identificación de los datos para todos los formatos de las distintas fuentes.
  • Deduplicación: identificación y eliminación de información duplicada y redundante.
  • Enriquecimiento de datos: decantación de falsos positivos, la clasificación de los indicadores y el agregado de contexto.

Una plataforma de inteligencia de amenazas automatiza estos procesos, liberando a los analistas para poder realizar el trabajo de investigación en vez de gestionar los datos recopilados.

La combinación de técnicas de aprendizaje automático e inteligencia artificial con herramientas de Threat Intelligence plantea una gran oportunidad para las organizaciones, pues reducen la carga de trabajo de los analistas ya que incorporan componentes capaces de aprender con éxito el lenguaje de las amenazas e identificar con precisión los términos maliciosos que intentan o vulneran la seguridad de la infraestructura de red.

Los datos que han sido estandarizados, examinados y enriquecidos, son monitoreados y analizados, con el objetivo básico final de conformar una lista de exclusión con base en el conocimiento de fondo, que restrinja por lo general el acceso a direcciones WEB, dominios, correos electrónicos o archivos maliciosos, entre otras funciones.

Implementación

La función de una plataforma de Threat Intelligence va más allá del monitoreo, pues no solamente provee la información necesaria a las organizaciones con la que pueden hacer detección de incidentes eficientemente, sino que, además, permite realizar un análisis en tiempo real y contener amenazas de seguridad que puedan impactar el entorno de operaciones.

Para lograr un eficiente uso de una plataforma de inteligencia de amenazas es necesario cumplir con tres requisitos clave: procesos adecuados, personas calificadas, y tecnología correcta.

El primer factor es contar con procesos debidamente definidos que le permitan al personal especializado tener claras las acciones que se deben ejecutar en cada momento.

Los procesos sirven como engranaje para que los analistas de seguridad actúen de forma coordinada, se informen adecuadamente y se aumente la efectividad de sus acciones.

Lo siguiente a tener en cuenta por las organizaciones, es asegurarse de contar con personal altamente capacitado, pues de estos dependerá en gran medida el correcto funcionamiento de este tipo de soluciones.

Los analistas son los encargados de dar sentido a la información proveniente de las diferentes aplicaciones de seguridad con que cuenta la entidad, así como de otras fuentes externas de datos. El pensamiento crítico y el razonamiento deductivo deben ser cualidades específicas altamente valoradas para entender los ataques y responder adecuadamente ante los incidentes de seguridad.

Finalmente, se deben identificar las tecnologías de seguridad requeridas para lograr visibilidad de lo que está ocurriendo en una organización en materia de seguridad informática. Herramientas de monitoreo y alerta como sistemas SIEM, así como componentes para realizar mitigación, como firewalls, IDS, IPS o antivirus, deben asegurarse.

La estrategia de seguridad para una organización será tan efectiva, como la inteligencia de amenazas que está detrás de ella, entendiéndose esto último como la integración de procesos claramente definidos e implementados, personal altamente calificado, y herramientas eficientes en la protección de la infraestructura de red empleada.

Epílogo

Las amenazas que se desean conocer y entender pueden haber ya sido escritas por varios especialistas, de tal manera que la recopilación de información es el primer paso. Es oportuno emplear procedimientos de mitigación y control de amenazas conocidos, pero adaptados a las necesidades específicas de cada organización.

Las herramientas de Threat Intelligence no proporcionan por si misma inteligencia. Los datos no dan la información sobre las amenazas, pues no existen fuentes de datos inteligentes. Cualquier tipo de información requiere de análisis, el cual se realiza por especialistas con un alto nivel de conocimientos en temas de seguridad informática.

La automatización del análisis y el uso de varias herramientas, aumentan significativamente la eficacia de los analistas, pero siempre son estos últimos quienes desarrollan el proceso.

No importa cuánto acceso se tiene a la información. La inteligencia no será productiva si no se tiene la capacidad de identificar el tipo de amenazas que puede afectar una determinada organización. Por lo tanto, conocer la propia organización y sus procesos de negocio, pero, sobre todo, los activos críticos de la red a proteger, de quién prevenirse, y a quién investigar y perseguir a través de las autoridades, se convierten en una obligación de los analistas de inteligencia y seguridad.

La implementación de una plataforma de inteligencia de amenazas para una organización, no debe confundirse con una estrategia de seguridad completa, pues solo constituye una parte de esta. Consume tiempo, esfuerzos y recursos, y no es algo que se ejecuta en corto tiempo, sino que debe ser planeado y analizado con anticipación, para lograr el correcto engranaje de todas sus partes componentes. 

La compañía Infotecs ha desarrollado un Sistema para la Detección y Erradicación de Amenazas (Threat Detection and Response), que cuenta con todos los componentes para la detección y toma de decisiones automáticas acerca de los incidentes de seguridad denominadoThreat Intelligence Analytic System -TIAS , que basado en firmas, aprendizaje por máquina e inteligencia artificial es capaz de detectar ataques del Día Cero.

Si deseas conocer más: ViPNet Threat Intelligence