Una Plataforma de Inteligencia de Amenazas o Threat Intelligence Platform (TIP) es una disciplina tecnológica emergente que ayuda a las organizaciones a agregar, correlacionar y analizar datos de amenazas de múltiples fuentes en tiempo real para respaldar acciones defensivas, o sea, acciones que protegen a un sistema o una red de sistemas de sus atacantes o potenciales atacantes.
Las TIP han evolucionado para abordar la creciente cantidad de datos generados por los diversos y numerosos recursos internos y externos de las organizaciones (como registros del sistema y fuentes de inteligencia de amenazas) y ayudar a los equipos de seguridad a identificar las amenazas que son relevantes para no afectar a la continuidad del negocio.
Al importar datos de amenazas de múltiples fuentes y formatos, correlacionarlos y luego exportarlos a los sistemas de seguridad de una organización, una TIP automatiza la gestión y mitigación proactiva de amenazas. Una verdadera TIP difiere de los productos de seguridad empresariales típicos en cuanto a que es un sistema que puede ser programado por desarrolladores externos, en particular, usuarios de la plataforma.
Las TIP también pueden usar una interfaz de programación de aplicaciones o Application Programming Interface (API) para recopilar datos con los que se generará un análisis de configuración, información WHOIS –un protocolo TCP basado en petición/respuesta que se utiliza para efectuar consultas en una base de datos y determinar el propietario un dominio o una dirección IP–, búsqueda inversa de IP –la determinación de un nombre de dominio que está asociado a una determinada dirección IP utilizando el Sistema de nombres de dominio (DNS)–, análisis de contenido del sitio web, servidores de nombres y certificados SSL.
Las plataformas de inteligencia de ciberamenazas le brindan a las organizaciones una ventaja comparativa con la competencia, pues al detectar la presencia de actores de amenazas en sus redes , bloquear y abordar sus ataques o desarmar su infraestructura desde dentro se posicionan muy por delante de cualquier otra plataforma. Mediante el uso de inteligencia de ciberamenazas, tanto empresas, como agencias gubernamentales pueden identificar las fuentes de amenazas y los datos más útiles y relevantes para su propio entorno digital, lo que da como resultado una potencial y/o efectiva reducción de costos variables asociados con las ciberamenazas y el cibercrimen, o sea, con las brechas y la intrusión de datos de las que cualquier compañía puede ser víctima.
Los casos tácticos de inteligencia de amenazas incluyen un plan de seguridad, monitoreo y detección, respuesta a incidentes, identificación y evaluación de amenazas. Una TIP también impulsa las prácticas más inteligentes para la gestión de información y eventos de seguridad (SIEM), la detección de intrusos y otras herramientas de seguridad. Si la inteligencia de amenazas está bien y delicadamente curada, es sumamente relevante y da como resultado una Plataforma de Inteligencia de Amenazas (TIP) que no sólo reducirá costos por brechas o problemas por intrusiones, sino que también agrega valor a cualquier organización.
Por último, una ventaja de las TIP es la capacidad de compartir información sobre amenazas con otras partes interesadas y comunidades de organizaciones. Estas plataformas proporcionan un hábitat común que hace posible que los equipos de seguridad compartan información sobre amenazas entre sus propios círculos de confianza, interactúen con expertos en ciberseguridad e inteligencia cibernética y tengan las pautas sobre la implementación de medidas y contramedidas coordinadas desde dentro. Gracias a todas sus funciones, estas plataformas permiten a los analistas de seguridad coordinar estas actividades tácticas y estratégicas simultáneamente con la respuesta a incidentes, las operaciones de seguridad y los equipos de gestión de riesgos, mientras se trabaja para prevenir brechas e intrusiones a sistemas.