Qué es Cyber Threat Intelligence

Podemos decir que Cyber Threat Intelligence, también conocido simplemente como CTI, se refiere al conjunto de datos organizados sobre amenazas informáticas que permite prevenir o mitigar posibles ataques.

Muchos equipos del sector operaciones reciben grandes volúmenes de alertas, incluidos los Indicadores de Compromiso (IoC, por sus siglas en inglés), que son datos que surgen a partir de la actividad en un sistema que brindan información sobre el comportamiento de una amenaza y permiten  contextualizar los incidentes y clasificar los mismos. Por otro lado, a través de la inteligencia de amenazas se puede contener, y erradicar amenazas en tiempo real. Es sumamente importante entender que los datos e informacion por sí solos NO son inteligencia.

Expresado esto, podemos afirmar que Cyber Threat Intelligence se refiere al procesamiento de datos e información para generar inteligencia, pero no termina ahí, ya que mediante Threat Intelligence se resuelven infinidades de problemas de la ciberseguridad al ser un proceso que construye su base de conocimientos a partir de muchos factores.

Tipos de Cyber Threat Intelligence

Dentro del CTI se puede distinguir dos tipos de inteligencia:

  1. Operacional: también conocida como “Technical Threat Intelligence”, es un tipo de inteligencia que incluye información sobre vulnerabilidades, ataques, Indicadores de Compromiso. Con este tipo de inteligencia se puede priorizar los incidentes en cuanto al impacto que podría ocasionar en la compañía. Además, la parte operacional de la inteligencia de amenazas puede analizar las amenazas y bloquear los diversos comandos que utiliza.
  2. Estratégica: este tipo de inteligencia brinda información sobre el panorama de las amenazas informáticas que pueden afectar a la organización (también conocido como “Threat Landscape”). Es sumamente útil para los niveles ejecutivos y gerenciales, ya que permite saber el impacto de un ataque y los riesgos económicos, así como tendencias sobre atacantes y formas de ataque a los que puede estar expuesta la compañía en caso de no tomar decisiones.

Fuentes de Cyber Threat Intelligence

Dentro de la etapa de recolección del CTI debemos observar de que tipos de fuentes se alimenta el proceso de CTI. Dentro de las fuentes fundamentales que usa el CTI se encuentran:

  • Fuentes técnicas: existen innumerables fuentes técnicas del estilo OSINT que ofrecen muchísimos indicadores de compromiso que nos ayuda incrementar nuestra base de conocimiento. Sin embargo, se debe tener en cuenta que a la hora de usar estos recursos existen grandes cantidades de falsos positivos.
  • Foros que utilizan cibercriminales: muchas veces los cibercriminales se comunican a través de foros en los que ofrecen MaaS (Malware as a Service), con lo cual, realizando análisis y cruzando datos con otras referencias se puede obtener contenido realmente valioso.
  • Dark Web: un poco de esta fuente está incluida dentro de los foros de cibercriminales. Muchas veces es difícil acceder a esta información por el alto nivel de complejidad que representan estos recursos.
  • Medios de comunicación: muchas veces estas fuentes proporcionan información sobre las nuevas amenazas, pero como contraparte es difícil conectar con el riesgo de cada una de ellas.
  • Redes sociales: esta fuente contiene una gran cantidad de datos, ya que varios investigadores de seguridad publican indicadores sobre amenazas, sin embargo al igual que la fuente anterior, hay que tener cuidado con los falsos positivos. Para este tipo de fuente es fundamental ejecutar grandes esfuerzos de cruce de referencias.

¿Quiénes consumen Cyber Threat Intelligence?

Algo de esto se adelantó en la sección sobre el ciclo de vida en la etapa de “Diseminación e integración”. La inteligencia es consumida por los equipos de seguridad, los cuales tienen diferentes enfoques. A continuación, se brinda un detalle de cada uno de ellos:

  • Estratégico: la información que recibe este personal es de alto nivel. No se entregan informes muy técnicos, solo se tienen en cuenta los aspectos en cuanto al coste financiero podría llegar a tener un ataque. Además, se brinda información relevante sobre las tendencias de ataque. Ejemplos de personal estratégico: CEO, directores.
  • Táctico: es información sobre cómo los cibercriminales pueden realizar ataques. Ejemplos de personal táctico: Arquitectos o Administradores de sistemas.
  • Operacional: información sobre ciertos ataques que acuden a la empresa. Ejemplo de personal operacional: Personal y defensa
  • Técnico: la información que recibe este personal está asociado a los IoC sobre diversos códigos maliciosos o ataques. Estos indicadores sirven para alimentar otros sistemas, como los EDR. Ejemplos de personal operacional: Analistas SOC.

A través de Cyber Threat Intelligence o Threat Intelligence podemos procesar datos para convertirlos en inteligencia, lo cual hará que se tomen de decisiones para mitigar ataques, ya sea desde bloqueo de ataques dirigidos, botnets, amenazas persistentes avanzadas (APT) o incluso hasta campañas de phishing. En conclusión, el CTI favorece a las compañías a relevar con anterioridad la actividad de los cibercriminales, permitiéndoles desarrollar habilidades para mitigar y responder de forma inmediata ante posibles incidentes.

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.