Introducción a Cyber Threat Intelligence

Introducción a Cyber Threat Intelligence

1000 600 Carlos Javier García García

La transformación digital que se está experimentando en las empresas de todo el mundo, se traduce en un gran número de ventajas para las mismas en relación al aumento de productividad, eficiencia y mejora en los procesos, entre otras, pero también supone una amenaza generalizada y constante en materia de seguridad de la información y activos empresariales. Por lo general, las organizaciones mantienen enfoques reactivos y defensas tradicionales que con el avance de la tecnología quedan obsoletas y, por ende, fácilmente superables por los atacantes. Cualquier organización, independientemente del sector u actividad que ocupe, está expuesto a una serie de amenazas como pueden ser la denegación de servicios, brechas de datos, ciber espionaje, botnetsdistintos tipos de malware, phishing o incluso personal interno con fines poco éticos. El conjunto, se traduce en retos y oportunidades que pueden ser clave en la continuidad de negocio y seguridad de los activos, como bien se aprecia en la creciente tendencia de inversión y concienciación en ciberseguridad. 

Con el fin de prevenir el posible impacto consecuente de un ataque a la seguridad de la información, la inteligencia de ciberamenazas o Cyber Threat Intelligence (CTI) permite conocer con detalle la parte exterior del perímetro de seguridad de las organizaciones, permitiendo adelantarse a los posibles ataques y mejorando la seguridad de los activos. Una posible definición acerca de la inteligencia de ciberamenazas se resumiría en una metodología de carácter proactivo que permite conocer en profundidad las distintas amenazas, incluyendo sus principales características como pueden ser sus capacidades, recursos disponibles, motivación y objetivos. Este tipo de inteligencia se basa en la metodología de inteligencia, la cual se define como el proceso de transformación de datos e información en conocimiento para la toma de decisiones. Ambas metodologías cumplen rigurosamente el ciclo de inteligencia, entendido como una secuencia circular mediante la que se obtiene la información y datos y se convierten en conocimiento para su posterior difusión, buscando que el conocimiento o información producida sea oportuna, precisa, procesable y relevante. Las fases se dividen en cuatro: La primera de ellas consiste en la Dirección, en la que se determinan las necesidades y acorde a estas se planifica y organiza las siguientes fases. Durante la fase de Obtención se adquiere la información de las distintas fuentes posibles, para continuar con la fase de Elaboración Producción de inteligencia, que a su vez se divide en cuatro fases: valoración de la información, análisis de la misma, integración e interpretación de los conocimientos producidos. La última fase se centra en la Difusión del conocimiento para la toma de decisiones, la cual ha de ser específica para cada situación como se definirá más adelante. 

Para comprender mejor las ventajas que supone aplicar metodología de inteligencia de ciberamenazas al entorno empresarial, se especifica alguna de las acciones que forman parte del ciclo y los resultados que se pueden obtener. Durante la primera fase se determinan las necesidades concretas de cada organización, siempre dependiendo del sector o actividad que realiza, histórico de ataques a la organización o empresas competidoras o necesidades puntuales. En la fase de obtención se utilizan distintas fuentes como pueden ser la recolección de feeds, monitorización en internet, bien en sitios indexados o no indexados como puede ser deep o dark web, uso de repositorios de información de organizaciones gubernamentales o internacionales, proveedores o fuentes específicas de conocimiento.  Una vez obtenida la información necesaria, los distintos equipos analizan los datos mediante evaluaciones de relevancia y fiabilidad de los mismos, análisis de correlaciones e identificación de la información de valor, entre otras. A través de este análisis se extrae conocimiento de la metodología de ataque y los procesos y herramientas que puedan utilizar, para que durante la siguiente subfase, la de producción, se obtengan conocimientos específicos de las amenazas a través de la generación de escenarios, modelado y perfilado de los distintos actores y el árbol de ataque o patrones frecuentes que se utilizan en los ataques estudiados.  Por último, la fase de difusión, consiste en la entrega de informes de inteligencia, resúmenes ejecutivos y presentaciones a los decisores, además de un continuo seguimiento en busca de novedades y o cambios. Este paso puede parecer irrelevante en comparación al resto, pero puede marcar la diferencia en la toma de decisiones, puesto que la adecuación del mensaje a cada interlocutor, así como el contenido del mismo es crucial. Recordemos que buscamos que el conocimiento o la información producida sea oportuna, precisa, procesable y relevante, y siempre habrá distintos perfiles profesionales entre las personas que adoptan decisiones y por tanto distintos informes y contenido para estos. 

El hecho de tener que adecuar el mensaje, al igual que el contenido del mismo se basa en las diferentes tipologías de Cyber Threat Intelligence y las personas y funciones que las componen: 

  • Estratégica: Se compone de información crucial para personas cuya formación no es técnica como puede ser información o impacto económico, histórico de ataques o tendencias e información relevante que pueda afectar a decisiones empresariales. El público objetivo suele ser la junta directiva o altos responsables encargados de la toma de decisiones en un nivel superior. 
  • Táctica: Incluye información acerca de cómo los atacantes realizan sus maniobras, incluyendo tácticas, técnicas y procedimientos (TTP). Agrega valor a la compresión tanto de la cadena de ataque como de los actores de las amenazas y se dirige principalmente a los responsables de sistemas o infraestructura. 
  • TécnicaSe basa en información específica como pueda ser tipología de malware utilizados. Suele estar dirigida a responsables de investigación o analistas de los Centros de Operaciones de Seguridad (SOC). 
  • Operacional: Este tipo de inteligencia tiene utilidad en la parte de detección y mitigación de posibles ataques para el personal de seguridad operativa, ya que recoge las medidas o acciones necesarias a realizar ante un posible ataque a la organización. 

En conclusión, la aplicación de la metodología de inteligencia de amenazas proporciona recursos y capacidades para hacer frente a posibles ataques en contra de la organización y sus activos de información, previniendo y evitando importantes impactos económicos, operacionales y por supuesto reputacionales. Además, permite abandonar el tradicional enfoque de seguridad perimetral interior por el conocimiento de lo ajeno a dicho perímetro, lo que resulta en un cambio en la actitud de seguridad, concretamente modificando el enfoque de reactivo a proactivo y buscando dar respuesta a lo que sabemos que sabemos, lo que sabemos que no sabemos, lo que no sabemos que sabemos y lo que no sabemos que no sabemos.