Vivimos en la era de los datos en la que el crecimiento de los mismos es exponencial y explosivo y no da ningún indicio de que vaya a parar, sino todo lo contrario.
Durante años, el núcleo de la inteligencia de datos y de la cultura de la información (data-driven culture) han sido el machine learning, la inteligencia artificial (IA) y el big data, ya que estos han influenciado indudablemente al desarrollo de la tecnología. Sin embargo, los datos pueden hacer mucho por nosotros, pero los datos sin procesar (raw data) son sólo el resultado de la observación, y sin un análisis no pueden tener poderes predictivos. Por eso recurrimos a la inteligencia de datos.
En relación a la ciberseguridad, el poder de predecir futuros ataques, incluso antes de que lleguen a redes específicas (targeted networks) –o sea, redes que han sido previamente elegidas para atacarlas– puede ayudar a las organizaciones a priorizar sus respuestas, acelerando el proceso de toma de decisiones y el tiempo de respuesta, los que mejora indudablemente las prácticas de ciberseguridad.
¿Qué es la inteligencia de ciberamenazas?
La Inteligencia de Amenazas Cibernéticas o Cyber Threat Intelligence (CTI) es un área de la ciberseguridad que se enfoca tanto en análisis como en la recopilación de información sobre los actuales y/o potenciales ciberataques que amenazan la seguridad de una organización o los activos de la misma. La inteligencia de seguridad de la información es una medida de seguridad proactiva que previene brechas, violaciones de datos o de la seguridad misma y además, ahorra la costosa limpieza el desastre que genera una brecha.
El objetivo principal de CTI es proporcionar a las empresas y/o organizaciones un nivel de comprensión profundo sobre las amenazas cibernéticas que las rodean, ya que estas representan enormes riesgos para su infraestructura y privacidad. Esta práctica sirve como una guía para saber cómo proteger distintos negocios a largo plazo. No obstante, toda la información proporcionada por los equipos de CTI debe ser procesable para proporcionar el apoyo adecuado a una organización.
En resumen, la CTI, recopila y analiza información sobre indicadores de ciberamenazas pasadas, actuales y futuras, lo que permite a una organización tomar medidas para proteger sus activos, su red y a toda la organización. La palabra clave aquí es análisis pues, para ser eficiente, esta práctica debe combinar el conocimiento histórico con datos sobre amenazas actuales, vectores de ataque, vulnerabilidades existentes y explotadas, actores de amenazas específicos de cada industria, para luego analizarlos y compararlos. Así, puede encontrarse la aguja en el pajar que arrojará la información relevante y ayudará a evitar ciberataques y brechas de datos en la infraestructura de cualquier sistema o red de sistemas.
Para ser usados con éxito, los datos presentados en los proceso de inteligencia de amenazas cibernéticas deben de:
- Estar contextualizados
- Estar basados en la evidencia
- Ser relevantes
Está práctica debe de establecerm, en primer, lugar un objetivo para luego llegar a los requisitos de inteligencia de ciberamenazas que son, por ejemplo, la identificación de los actores de las amenazas en cada industria. Así, una vez que se haya establecido tanto el objetivo como los requisitos del proceso, es cuando debe decidirse lo que debe recopilarse y la manera de priorizarlo para luego analizarlo más a fondo.
Tipos de inteligencia
Podemos identificar cuatro categorías principales de la inteligencia de amenazas cibernéticas:
| Estratégica | El panorama general de las tendencias pasadas, actuales y futuras en el panorama de amenazas |
| Operacional | Detalles sobre la naturaleza y el propósito de los ataques y atacantes. |
| Táctica | Técnicas, herramientas y tácticas de los atacantes |
| Técnica | Indicadores técnicos sobre malware y campañas de ciberatacantes (feeds de inteligencia de amenazas) |
Importancia de la inteligencia de amenazas en la ciberseguridad
La CTI ayuda a las organizaciones brindándoles información sobre los mecanismos y las consecuencias de cada una de las amenazas y brechas a las cuales podrían o han estado vulnerables, permitiéndoles construir estrategias y marcos de defensa para reducir su superficie de ataque. Lo anterior se hace con el objetivo final tanto de prevenir los daños causados por brechas de datos como para evitar la intrusión en la o las redes de una organización.
El objetivo principal de la CTI es proporcionar a las organizaciones una comprensión más profunda de lo que sucede fuera de su red, dándoles una mejor visibilidad de las ciberamenazas que representan un gran riesgo para su infraestructura.La CTI es básica para una defensa efectiva por lo que trata de priorizarse de la siguiente manera: eliminar los falsos positivos que constantemente afectan a los Centros de Seguridad Operativa o Security Operations Center (SOC) y reconocer las amenazas avanzadas y los ataques a los que la organización es más vulnerable, para que así, los equipos puedan tomar medidas contra ellos. Con la inteligencia de ciberamenazas, las organizaciones pueden determinar si su sistema de defensa de seguridad realmente tiene la capacidad de manejar esas amenazas y mejorarlo según sea necesario.