insights

Introducción a Cyber Threat Intelligence

Ciberseguridad y Cifra

 | 

Telco & High-tech

La transformación digital que se está experimentando en las empresas de todo el mundo, se traduce en un gran número de ventajas para las mismas en relación al aumento de productividad, eficiencia y mejora en los procesos, entre otras, pero también supone una amenaza generalizada y constante en materia de seguridad de la información y activos empresariales.
Tabla de contenidos

Por lo general, las organizaciones mantienen enfoques reactivos y defensas tradicionales que con el avance de la tecnología quedan obsoletas y, por ende, fácilmente superables por los atacantes. Cualquier organización, independientemente del sector u actividad que ocupe, está expuesto a una serie de amenazas como pueden ser la denegación de servicios, brechas de datos, ciber espionaje, botnetsdistintos tipos de malware, phishing o incluso personal interno con fines poco éticos. El conjunto, se traduce en retos y oportunidades que pueden ser clave en la continuidad de negocio y seguridad de los activos, como bien se aprecia en la creciente tendencia de inversión y concienciación en ciberseguridad. 

 

La Cyber Threat Intelligence (CTI)

Con el fin de prevenir el posible impacto consecuente de un ataque a la seguridad de la información, la inteligencia de ciberamenazas o Cyber Threat Intelligence (CTI) permite conocer con detalle la parte exterior del perímetro de seguridad de las organizaciones, permitiendo adelantarse a los posibles ataques y mejorando la seguridad de los activos. Una posible definición acerca de la inteligencia de ciberamenazas se resumiría en una metodología de carácter proactivo que permite conocer en profundidad las distintas amenazas, incluyendo sus principales características como pueden ser sus capacidades, recursos disponibles, motivación y objetivos. Este tipo de inteligencia se basa en la metodología de inteligencia, la cual se define como el proceso de transformación de datos e información en conocimiento para la toma de decisiones. Ambas metodologías cumplen rigurosamente el ciclo de inteligencia, entendido como una secuencia circular mediante la que se obtiene la información y datos y se convierten en conocimiento para su posterior difusión, buscando que el conocimiento o información producida sea oportuna, precisa, procesable y relevante. Las fases se dividen en cuatro: La primera de ellas consiste en la Dirección, en la que se determinan las necesidades y acorde a estas se planifica y organiza las siguientes fases. Durante la fase de Obtención se adquiere la información de las distintas fuentes posibles, para continuar con la fase de Elaboración Producción de inteligencia, que a su vez se divide en cuatro fases: valoración de la información, análisis de la misma, integración e interpretación de los conocimientos producidos. La última fase se centra en la Difusión del conocimiento para la toma de decisiones, la cual ha de ser específica para cada situación como se definirá más adelante. 

 

Ventajas de la metodología

Para comprender mejor las ventajas que supone aplicar metodología de inteligencia de ciberamenazas al entorno empresarial, se especifica alguna de las acciones que forman parte del ciclo y los resultados que se pueden obtener. Durante la primera fase se determinan las necesidades concretas de cada organización, siempre dependiendo del sector o actividad que realiza, histórico de ataques a la organización o empresas competidoras o necesidades puntuales. En la fase de obtención se utilizan distintas fuentes como pueden ser la recolección de feeds, monitorización en internet, bien en sitios indexados o no indexados como puede ser deep o dark web, uso de repositorios de información de organizaciones gubernamentales o internacionales, proveedores o fuentes específicas de conocimiento.  Una vez obtenida la información necesaria, los distintos equipos analizan los datos mediante evaluaciones de relevancia y fiabilidad de los mismos, análisis de correlaciones e identificación de la información de valor, entre otras. A través de este análisis se extrae conocimiento de la metodología de ataque y los procesos y herramientas que puedan utilizar, para que durante la siguiente subfase, la de producción, se obtengan conocimientos específicos de las amenazas a través de la generación de escenarios, modelado y perfilado de los distintos actores y el árbol de ataque o patrones frecuentes que se utilizan en los ataques estudiados.  Por último, la fase de difusión, consiste en la entrega de informes de inteligencia, resúmenes ejecutivos y presentaciones a los decisores, además de un continuo seguimiento en busca de novedades y o cambios. Este paso puede parecer irrelevante en comparación al resto, pero puede marcar la diferencia en la toma de decisiones, puesto que la adecuación del mensaje a cada interlocutor, así como el contenido del mismo es crucial. Recordemos que buscamos que el conocimiento o la información producida sea oportuna, precisa, procesable y relevante, y siempre habrá distintos perfiles profesionales entre las personas que adoptan decisiones y por tanto distintos informes y contenido para estos. 

 

Funciones de la Cyber Threat Intelligence

El hecho de tener que adecuar el mensaje, al igual que el contenido del mismo se basa en las diferentes tipologías de Cyber Threat Intelligence y las personas y funciones que las componen: 

  • Estratégica: Se compone de información crucial para personas cuya formación no es técnica como puede ser información o impacto económico, histórico de ataques o tendencias e información relevante que pueda afectar a decisiones empresariales. El público objetivo suele ser la junta directiva o altos responsables encargados de la toma de decisiones en un nivel superior. 
  • Táctica: Incluye información acerca de cómo los atacantes realizan sus maniobras, incluyendo tácticas, técnicas y procedimientos (TTP). Agrega valor a la compresión tanto de la cadena de ataque como de los actores de las amenazas y se dirige principalmente a los responsables de sistemas o infraestructura. 
  • TécnicaSe basa en información específica como pueda ser tipología de malware utilizados. Suele estar dirigida a responsables de investigación o analistas de los Centros de Operaciones de Seguridad (SOC). 
  • Operacional: Este tipo de inteligencia tiene utilidad en la parte de detección y mitigación de posibles ataques para el personal de seguridad operativa, ya que recoge las medidas o acciones necesarias a realizar ante un posible ataque a la organización. 

 

Conclusión

En conclusión, la aplicación de la metodología de inteligencia de amenazas proporciona recursos y capacidades para hacer frente a posibles ataques en contra de la organización y sus activos de información, previniendo y evitando importantes impactos económicos, operacionales y por supuesto reputacionales. Además, permite abandonar el tradicional enfoque de seguridad perimetral interior por el conocimiento de lo ajeno a dicho perímetro, lo que resulta en un cambio en la actitud de seguridad, concretamente modificando el enfoque de reactivo a proactivo y buscando dar respuesta a lo que sabemos que sabemos, lo que sabemos que no sabemos, lo que no sabemos que sabemos y lo que no sabemos que no sabemos. 

Carlos Javier García García

Escrito por:

Carlos Javier García García

Descubre más insights acerca de:

Descubre más

SGoSat

Familia de terminales SATCOM On The Move (SOTM) para instalación vehicular y conexión estable en movilidad

SGoSat es una familia de terminales SOTM (Satellite Comms On The Move) de alta tecnología que se instalan en un vehículo, brindando la capacidad de apuntar y mantener una conexión estable con el satélite cuando el vehículo está en movimiento en cualquier tipo de condiciones.

La familia SGoSat está compuesta por terminales versátiles, que pueden instalarse en cualquier tipo de plataforma: trenes y buses, vehículos militares y / o gubernamentales, aeronaves, barcos, etc. Al haber sido diseñados originariamente para el sector militar, los terminales SGoSat son extremadamente fiables y robustos, ya que integran componentes de alto rendimiento que cumplen con las normativas medioambientales y EMI / EMC más exigentes. El producto utiliza antenas de bajo perfil y alta eficiencia, así como una unidad de posicionador y seguimiento de alto rendimiento, que permiten la operación del terminal en cualquier parte del mundo.

Con el fin de satisfacer las diversas necesidades de sus clientes, INSTER ha desarrollado terminales de banda única y terminales de doble banda en las frecuencias X, Ka y Ku.

La familia de terminales SGoSat también se puede configurar con una variada gama de radomos (incluidas opciones balísticas), adaptándose a los requisitos del cliente.