Threat Intelligence Platform es una disciplina tecnológica emergente que ayuda a las organizaciones a agregar, correlacionar y analizar datos de amenazas .de múltiples fuentes en tiempo real para apoyar acciones defensivas. Los TIP han evolucionado para abordar la creciente cantidad de datos generados por una variedad de recursos internos y externos (como registros del sistema y fuentes de inteligencia de amenazas) y ayudar a los equipos de seguridad a identificar las amenazas que son relevantes para su organización. Al importar datos de amenazas de múltiples fuentes y formatos, correlacionar esos datos y luego exportarlos a los sistemas de seguridad o sistemas de emisión de tickets existentes de una organización, un TIP automatiza la gestión y mitigación de amenazas proactivas. Un verdadero TIP se diferencia de los productos de seguridad empresarial típicos en que es un sistema que puede ser programado por desarrolladores externos, en particular, los usuarios de la plataforma. Los TIP también pueden usar API para recopilar datos para generar análisis de configuración , Whoisinformación, búsqueda inversa de IP , análisis de contenido de sitios web, servidores de nombres y certificados SSL .
Enfoque tradicional de la seguridad empresarial
El enfoque tradicional de la seguridad empresarial implica que los equipos de seguridad utilicen una variedad de procesos y herramientas para realizar la respuesta a incidentes, la defensa de la red y el análisis de amenazas. La integración entre estos equipos y el intercambio de datos sobre amenazas suele ser un proceso manual que se basa en el correo electrónico, las hojas de cálculo o un sistema de tickets del portal. Este enfoque no se escala a medida que el equipo y la empresa crecen y la cantidad de amenazas y eventos aumenta. Con las fuentes de ataque que cambian por minuto, hora y día, la escalabilidad y la eficiencia son difíciles. Las herramientas utilizadas por los grandes centros de operaciones de seguridad (SOC), por ejemplo, producen cientos de millones de eventos por día, desde alertas de terminales y redes hasta eventos de registro, lo que dificulta el filtrado a una cantidad manejable de eventos sospechosos para la clasificación.
Plataformas de inteligencia de amenazas
Las plataformas de inteligencia de amenazas hacen posible que las organizaciones obtengan una ventaja sobre el adversario al detectar la presencia de actores de amenazas, bloquear y abordar sus ataques o degradar su infraestructura. Mediante el uso de inteligencia de amenazas, las empresas y las agencias gubernamentales también pueden identificar las fuentes de amenazas y los datos que son más útiles y relevantes para su propio entorno, reduciendo potencialmente los costos asociados con las fuentes de amenazas comerciales innecesarias. [1]
Los casos de uso táctico para la inteligencia de amenazas incluyen planificación de seguridad, monitoreo y detección, respuesta a incidentes , descubrimiento de amenazas y evaluación de amenazas. Un TIP también devuelve prácticas más inteligentes a los SIEM , la detección de intrusiones y otras herramientas de seguridad debido a la inteligencia de amenazas cuidadosamente seleccionada , relevante y ampliamente obtenida que produce un TIP.
Una ventaja de los TIP es la capacidad de compartir inteligencia sobre amenazas con otras partes interesadas y comunidades. Los adversarios suelen coordinar sus esfuerzos en foros y plataformas. Un TIP proporciona un hábitat común que hace posible que los equipos de seguridad compartan información sobre amenazas entre sus propios círculos de confianza, interactúen con expertos en seguridad e inteligencia y reciban orientación sobre la implementación de contramedidas coordinadas. Los TIP con todas las funciones permiten a los analistas de seguridad coordinar simultáneamente estas actividades tácticas y estratégicas con la respuesta a incidentes, las operaciones de seguridad y los equipos de gestión de riesgos, al mismo tiempo que agregan datos de comunidades de confianza. [2]
Capacidades de la plataforma de inteligencia de amenazas
Las plataformas de inteligencia de amenazas se componen de varias áreas de características principales [3] que permiten a las organizaciones implementar un enfoque de seguridad basado en inteligencia. Estas etapas están respaldadas por flujos de trabajo automatizados que agilizan la detección de amenazas, la administración, el análisis y el proceso defensivo y lo siguen hasta su finalización:
- Recopilar: un TIP recopila y agrega múltiples formatos de datos de múltiples fuentes, incluidos CSV, STIX, XML, JSON, IODEK, OpenIOC, correo electrónico y varias otras fuentes. De esta manera, un TIP se diferencia de una plataforma SIEM . Si bien los SIEM pueden manejar múltiples fuentes de TI, son menos adecuados para la importación ad hoc o para analizar formatos no estructurados que se requieren regularmente para el análisis. La eficacia del TIP dependerá en gran medida de la calidad, profundidad, amplitud y actualidad de las fuentes seleccionadas. La mayoría de los TIP brindan integración a las principales fuentes de inteligencia comerciales y de código abierto .
- Correlación: el TIP permite a las organizaciones comenzar a analizar, correlacionar y pivotar automáticamente sobre los datos para que se pueda obtener inteligencia procesable sobre quién, por qué y cómo de un ataque determinado y se puedan introducir medidas de bloqueo. La automatización de estas fuentes de procesamiento es fundamental.
- Enriquecimiento y contextualización: para crear un contexto enriquecido en torno a las amenazas, un TIP debe poder aumentar automáticamente o permitir que los analistas de inteligencia de amenazas utilicen aplicaciones de análisis de amenazas de terceros para aumentar los datos de amenazas. Esto permite que los equipos de SOC e IR tengan la mayor cantidad de datos posible sobre un determinado actor de amenazas, sus capacidades y su infraestructura para actuar adecuadamente sobre la amenaza. Un TIP generalmente enriquecerá los datos recopilados con información como la geolocalización de IP, redes ASN y otra información de fuentes como IP y listas de bloqueo de dominios.
- Analizar: el TIP analiza automáticamente el contenido de los indicadores de amenazas y las relaciones entre ellos para permitir la producción de inteligencia de amenazas útil, relevante y oportuna a partir de los datos recopilados. Este análisis permite identificar las tácticas, técnicas y procedimientos (TTP) de un actor de amenazas. Además, las capacidades de visualización ayudan a representar relaciones complejas y permiten a los usuarios girar para revelar mayores detalles y relaciones sutiles. Un método probado de análisis dentro del marco de TIP es el modelo Diamond de análisis de intrusiones. [4] El Modelo Diamante permite a los equipos crear una imagen clara de cómo operan los adversarios e informar una respuesta general de manera más eficaz. Este proceso ayuda a los equipos a refinar y colocar los datos en contexto para desarrollar un plan de acción eficaz. Por ejemplo, un analista de inteligencia de amenazas puede realizar un modelado de relaciones en un correo electrónico de phishing para determinar quién lo envió, quién recibió el correo electrónico, los dominios en los que está registrado, las direcciones IP que se resuelven en ese dominio, etc. Desde aquí, el analista puede pivotar además para revelar otros dominios que usan el mismo sistema de resolución de DNS, los hosts internos que intentan conectarse a él y qué otras solicitudes de nombres de dominio / host se han intentado. El modelo Diamond difiere del enfoque Cyber Kill Chain® (atribuido a Lockheed Martin [5] ) que teoriza que, como defensor, una organización solo necesita interrumpir un eslabón de la cadena para comprometer un ataque. Sin embargo, no todas las etapas de un ataque son evidentes para el defensor. Si bien los pasos de reconocimiento pueden detectarse si un atacante está navegando en el sitio web de su víctima, la etapa de armamento permanece oculta. Sin embargo, el modelo Diamond se centra más en comprender al atacante (sus TTP y sus motivaciones). En lugar de observar una serie de eventos, el modelo analiza las relaciones entre las características para ayudar a los defensores a comprender mejor la amenaza. Esto asegura una respuesta general más eficaz. [6] En lugar de jugar al whack-a-mole con amenazas persistentes, las organizaciones construyen una imagen de cómo operan y pueden tomar medidas para abordar esos hechos directamente.
- Integrar: las integraciones son un requisito clave de un TIP. Los datos de la plataforma deben encontrar un camino de regreso a las herramientas y productos de seguridad que utiliza una organización. Los TIP con todas las funciones permiten el flujo de información recopilada y analizada de feeds, etc. y difunden e integran los datos limpios a otras herramientas de red, incluidos SIEM , sistemas de tickets internos, firewalls , sistemas de detección de intrusos y más. Además, las API permiten la automatización de acciones sin la participación directa del usuario. [7]
- Actuar: una implementación de plataforma de inteligencia de amenazas madura también maneja el procesamiento de respuesta. Los flujos de trabajo y procesos integrados aceleran la colaboración dentro del equipo de seguridad y comunidades más amplias como los Centros de análisis e intercambio de información (ISAC) y las Organizaciones de análisis e intercambio de información (ISAO), de modo que los equipos puedan tomar el control del desarrollo del curso de acción, la planificación de la mitigación y ejecución. Este nivel de participación de la comunidad no se puede lograr sin una plataforma de inteligencia de amenazas sofisticada. Los poderosos TIP permiten a estas comunidades crear herramientas y aplicaciones que se pueden utilizar para continuar cambiando el juego para los profesionales de la seguridad. En este modelo, los analistas y desarrolladores comparten libremente aplicaciones entre sí, eligen y modifican aplicaciones y aceleran el desarrollo de soluciones a través de actividades plug-and-play. Además, también se puede actuar estratégicamente sobre la inteligencia de amenazas para informar los cambios necesarios en la arquitectura de red y seguridad y optimizar los equipos de seguridad.
- Colaborar: Threat Intelligence Platform también permite que las personas colaboren con las partes interesadas internas y externas.
Despliegues operativos
Las plataformas de inteligencia de amenazas se pueden implementar como software o dispositivo (físico o virtual) en las instalaciones o en nubes públicas o dedicadas para mejorar la colaboración de la comunidad.
Referencias
- ^ "Plataformas de inteligencia de amenazas: el próximo 'imprescindible' para los equipos de operaciones de seguridad agobiados" . Lectura oscura . Consultado el 3 de febrero de 2016 .
- ^ Poputa-Clean, Paul (15 de enero de 2015). "Defensa automatizada utilizando inteligencia de amenazas para aumentar la seguridad" . Sala de lectura InfoSec del Instituto SANS .
- ^ "Visión general de la tecnología para plataformas de inteligencia de amenazas" . www.gartner.com . Consultado el 3 de febrero de 2016 .
- ^ "El modelo de diamante de análisis de intrusión | ActiveResponse.org" . www.activeresponse.org . Consultado el 3 de febrero de 2016 .
- ^ Eric M. Hutchins; Michael J. Cloppert; Rohan M. Amin (2009). "Defensa de redes informáticas impulsada por inteligencia basada en análisis de campañas de adversarios y cadenas de destrucción de intrusiones" (PDF) . Lockheed Martin .
- ^ MacGregor, Rob (29 de mayo de 2015). "Diamantes o cadenas" .
- ^ "¿Qué hay en una verdadera plataforma de análisis de inteligencia de amenazas?" . ThreatConnect | Plataforma de inteligencia de amenazas empresariales . Consultado el 3 de febrero de 2016 .
enlaces externos
- Plataformas de inteligencia de amenazas: el próximo 'imprescindible' para los equipos de operaciones de seguridad agobiados, Tim Wilson, Dark Reading, 2/6/2015
- Fuentes de inteligencia de amenazas de código abierto: Abuse.ch , MalcOde