La inteligencia sobre amenazas cibernéticas es información sobre amenazas y actores de amenazas que ayuda a mitigar eventos dañinos en el ciberespacio. [1] cibernéticos fuentes de inteligencia de amenazas incluyen la inteligencia de fuente abierta , la inteligencia social media , inteligencia humana , la inteligencia técnica o la inteligencia de la profunda y oscura web.
Tipos
Hay tres tipos generales de inteligencia sobre amenazas: [1]
- Táctico: inteligencia técnica (incluidos indicadores de compromiso , como direcciones IP, nombres de archivos o hashes) que se puede utilizar para ayudar en la identificación de los actores de amenazas.
- Operativo: detalles de la motivación o las capacidades de los actores de amenazas, incluidas sus herramientas, técnicas y procedimientos
- Estratégico: inteligencia sobre los riesgos generales asociados con las amenazas cibernéticas que se puede utilizar para impulsar una estrategia organizacional de alto nivel.
Beneficios de la inteligencia sobre amenazas cibernéticas
La inteligencia sobre amenazas cibernéticas proporciona una serie de beneficios, que incluyen:
- Permite a las organizaciones desarrollar una postura proactiva de ciberseguridad y reforzar las políticas generales de gestión de riesgos.
- Impulsa el impulso hacia una postura de ciberseguridad que es predictiva, no solo reactiva
- Permite una detección mejorada de amenazas
- Informa mejor la toma de decisiones durante y después de la detección de una intrusión cibernética
Elementos clave
Los datos o información sobre ciberamenazas con los siguientes elementos clave se consideran inteligencia sobre ciberamenazas: [2]
- Basado en evidencia: se puede obtener evidencia de amenazas cibernéticas a partir del análisis de malware para asegurarse de que la amenaza sea válida
- Utilidad: debe haber alguna utilidad para tener un impacto positivo en el resultado o la organización de un incidente de seguridad.
- Accionable: la inteligencia de amenazas cibernéticas obtenida debe impulsar la acción de control de seguridad, no solo los datos o la información
Atribución
Las amenazas cibernéticas involucran el uso de computadoras, software y redes. Durante o después de un ciberataque, se puede recopilar información técnica sobre la red y las computadoras entre el atacante y la víctima. Sin embargo, es difícil identificar a la (s) persona (s) detrás de un ataque, sus motivaciones o el patrocinador final del ataque. Los esfuerzos recientes en inteligencia de amenazas enfatizan la comprensión de los TTP adversarios . [3] En todas las industrias, las organizaciones han comenzado a utilizar el marco MITRE ATT & CK para comprender los TTP de los actores de amenazas e identificar los agujeros en las defensas.
Organizaciones del sector público y privado han publicado varios informes que atribuyen ciberataques. Esto incluye de MANDIANT Apt1 y APT28 informes, de los Estados Unidos CERT informe APT29 y de Symantec libélula , Grupo Waterbug y Seedworm informes. [4]
Compartir CTI
En 2015, la legislación del gobierno de los EE. UU. En forma de "Ley de intercambio de información sobre ciberseguridad" alentó el intercambio de indicadores CTI entre el gobierno y las organizaciones privadas. Esta ley requería que el gobierno federal de los Estados Unidos facilitara y promoviera 4 objetivos de la CTI: [5]
- Compartir "indicadores de amenazas cibernéticas clasificados y desclasificados en posesión del gobierno federal con entidades privadas, agencias gubernamentales no federales o gobiernos estatales, tribales o locales";
- Compartir "indicadores no clasificados con el público";
- Compartir "información con entidades bajo amenazas de seguridad cibernética para prevenir o mitigar efectos adversos";
- Compartir "las mejores prácticas de seguridad cibernética con atención a los desafíos que enfrentan las pequeñas empresas.
En 2016, la agencia del gobierno de los EE. UU., Instituto Nacional de Estándares y Tecnología (NIST) emitió una publicación (NIST SP 800-153) que describió con más detalle la necesidad de compartir información sobre amenazas cibernéticas, así como un marco para la implementación. [6]
Ver también
Referencias
- ^ a b "Comprensión de las operaciones de inteligencia de amenazas cibernéticas" (PDF) . Banco de Inglaterra . 2016.
- ^ GerardJohansen (24 de julio de 2017). Análisis forense digital y respuesta a incidentes . Packt Publishing Ltd, 2017. p. 269. ISBN 9781787285392.
- ^ Levi Gundert, Cómo identificar los TTP de actores de amenazas
- ^ PrivacySavvy
- ^ Burr, Richard (28 de octubre de 2015). "S.754 - 114º Congreso (2015-2016): Mejorar la ciberseguridad en los Estados Unidos mediante un mejor intercambio de información sobre amenazas a la ciberseguridad y para otros fines" . www.congress.gov . Consultado el 9 de junio de 2021 .
- ^ Johnson, Christopher S .; Badger, Mark Lee; Waltermire, David A .; Snyder, Julie; Skorupka, Clem (octubre de 2016). "Guía para compartir información sobre amenazas cibernéticas" . doi : 10.6028 / nist.sp.800-150 . Cite journal requiere
|journal=
( ayuda )
Otras lecturas
- Boris Giannetto - Pierluigi Paganini (2020). Dominar la comunicación en las actividades de ciberinteligencia: una guía de usuario concisa . Revista Cyber Defense.
- Anca Dinicu, Academia de Fuerzas Terrestres "Nicolae Bălcescu", Sibiu, Rumania, Amenazas cibernéticas a la seguridad nacional. Características específicas y actores involucrados - Boletín Ştiinţific No 2 (38) / 2014
- Zero Day: Nuclear Cyber Sabotage, BBC Four - el thriller documental sobre la guerra en un mundo sin reglas: el mundo de la ciberguerra. Cuenta la historia de Stuxnet, un malware informático autorreplicante, conocido como 'gusano' por su capacidad de excavar desde la computadora.
- ¿Qué es la inteligencia de amenazas? - Publicación de blog que proporciona contexto y se suma a la discusión sobre la definición de inteligencia de amenazas.
- Explicación de la caza de amenazas : artículo breve que explica la inteligencia sobre amenazas cibernéticas.
- Un actor conocido en inteligencia de amenazas cibernéticas : sitio dedicado a la inteligencia de amenazas.
- MITRE ATT & CK - Primeros pasos.