Cyber Threat Intelligence (Intelixencia de Ciberamenazas) é a recompilación, análise e contextualización de información sobre ameazas cibernéticas.
Trátase dunha técnica de carácter proactivo que serve para converter datos sobre actividades maliciosas en intelixencia procesable co obxectivo de previr, detectar e responder a ataques informáticos de maneira máis rápida e eficaz.
Que tipo de información recompila Cyber Threat Intelligence?
Cyber Threat Intelligence é un conxunto organizado de datos sobre ciberamenazas. Estes datos pódense obter de múltiples fontes: organismos oficiais, feeds comerciais, datos internos e mesmo información da Dark Web.
Aos puntos de datos chámaselles Indicadores de Compromiso e permítennos saber:
• Cales son os posibles ciberdelincuentes e actores de ameaza
• Vulnerabilidades explotadas (externas e internas)
• Riscos principais
• Contexto e motivos do ciberataque (espionaxe, sabotaxe, secuestro de datos...)
• Técnicas, patróns e tipos de ciberdelitos
• Datos técnicos, como IPs maliciosas, mails sospeitosos ou malware
• Potencial impacto e consecuencias de ciberataques
Tipos de Cyber Threat Intelligence
A Intelixencia de Ciberamenazas pódese clasificar en diferentes tipos segundo a súa aplicación, finalidade ou ámbito de actuación.
• Cyber Threat Intelligence estratéxica: Cyber Threat Intelligence de alto nivel, orientada a decisións de negocio e planificación e, xeralmente, vinculada á concienciación e ao investimento en ciberseguridade global na empresa.
• Cyber Threat Intelligence táctica: Describe técnicas e métodos de ataque prácticos, así que resulta especialmente interesante para equipos e persoal especializado/encargado da ciberseguridade.
• Cyber Threat Intelligence operacional: Ofrece información sobre un ataque específico, polo que o seu uso máis habitual é como resposta a incidentes sufridos.
• Cyber Threat Intelligence técnica: Recompila datos específicos e detallados. É un primeiro paso para a aplicación dunha política específica de ciberseguridade ou a automatización de solucións.
Para que serve Cyber Threat Intelligence?
Cyber Threat Intelligence é unha boa maneira de mellorar a resposta a incidentes de ciberseguridade. Permite coñecer quen ataca, como ataca e por que e serve para:
• Anticiparse a ataques e elaborar unha estratexia de ciberseguridade eficiente
• Priorizar vulnerabilidades
• Reducir riscos
• Actualizar controis con indicadores e regras baseados en ameazas reais
Cyber Threat Intelligence: aplicación nun SOC
Nun contexto onde as ameazas cibernéticas evolucionan constantemente, a Cyber Threat Intelligence é unha ferramenta moi útil para os SOC, centros de operacións de ciberseguridade xestionados por un equipo altamente cualificado que monitoriza, analiza e protexe.
Nestes casos, a Intelixencia de Ciberamenazas adoita integrarse directamente coas principais ferramentas do SOC e plataformas SOAR para traballar conxuntamente e en tempo real cos eventos recompilados polo SOC.
Desta maneira, axuda a comprender o alcance e a natureza do ataque e o SOC pode mapear o comportamento do ciberatacante e anticiparse aos seus movementos. Ademais, as plataformas SOAR son capaces de executar respostas sen intervención manual.
E cada incidente xestionado xera novos aprendizaxes xa que a información obtida retroaliméntase nos sistemas do SOC, actualizando regras de detección e mellorando os procesos operativos.
