Cyber Threat Intelligence (Inteligencia de Ciberamenazas) es la recopilación, análisis y contextualización de información sobre amenazas cibernéticas.

Se trata de una técnica de carácter proactivo que sirve para convertir datos sobre actividades maliciosas en inteligencia procesable con el objetivo de prevenir, detectar y responder a ataques informáticos de manera más rápida y eficaz.

¿Qué tipo de información recopila Cyber Threat Intelligence?

Cyber Threat Intelligence es un conjunto organizado de datos sobre ciberamenazas. Estos datos se pueden obtener de múltiples fuentes: organismos oficiales, feeds comerciales, datos internos e incluso información de la Dark Web.

A los puntos de datos se les llama Indicadores de Compromiso y nos permiten saber:

  • Cuáles son los posibles ciberdelincuentes y actores de amenaza

  • Vulnerabilidades explotadas (externas e internas)

  • Riesgos principales

  • Contexto y motivos del ciberataque (espionaje, sabotaje, secuestro de datos...)

  • Técnicas, patrones y tipos de ciberdelitos

  • Datos técnicos, como IPs maliciosas, mails sospechosos o malware

  • Potencial impacto y consecuencias de ciberataques

Tipos de Cyber Threat Intelligence

La Inteligencia de Ciberamenazas se puede clasificar en diferentes tipos según su aplicación, finalidad o ámbito de actuación.

  • Cyber Threat Intelligence estratégica: Cyber Threat Intelligence de alto nivel, orientada a decisiones de negocio y planificación y, generalmente, vinculada a la concienciación e inversión en ciberseguridad global en la empresa.

  • Cyber Threat Intelligence táctica: Describe técnicas y métodos de ataque prácticos, así que resulta especialmente interesante para equipos y personal especializado/encargado de la ciberseguridad.

  • Cyber Threat Intelligence operacional: Ofrece información sobre un ataque específico, por lo que su uso más habitual es como respuesta a incidentes sufridos.

  • Cyber Threat Intelligence técnica: Recopila datos específicos y detallados. Es un primer paso para la aplicación de una política específica de ciberseguridad o la automatización de soluciones.

¿Para qué sirve Cyber Threat Intelligence?

Cyber Threat Intelligence es una buena manera de mejorar la respuesta a incidentes de ciberseguridad. Permite conocer quién ataca, cómo ataca y por qué y sirve para:

  • Anticiparse a ataques y elaborar una estrategia de ciberseguridad eficiente

  • Priorizar vulnerabilidades

  • Reducir riesgos

  • Actualizar controles con indicadores y reglas basados en amenazas reales

Cyber Threat Intelligence: aplicación en un SOC

En un contexto donde las amenazas cibernéticas evolucionan constantemente, la Cyber Threat Intelligence es una herramienta muy útil para los SOC, centros de operaciones de ciberseguridad gestionados por un equipo altamente cualificado que monitoriza, analiza y protege.

En estos casos, la Inteligencia de Ciberamenazas suele integrarse directamente con las principales herramientas del SOC y plataformas SOAR para trabajar conjuntamente y en tiempo real con los eventos recopilados por el SOC.

De esta manera, ayuda a comprender el alcance y la naturaleza del ataque y el SOC puede mapear el comportamiento del ciberatacante y anticiparse a sus movimientos. Además, las plataformas SOAR son capaces de ejecutar respuestas sin intervención manual.

Y cada incidente gestionado genera nuevos aprendizajes ya que la información obtenida se retroalimenta en los sistemas del SOC, actualizando reglas de detección y mejorando los procesos operativos.