Las plataformas de inteligencia sobre amenazas (TIP) son una excelente solución para centralizar y gestionar múltiples flujos de inteligencia sobre amenazas. Y a pesar de la lenta adopción de los TIP durante el último año, siguen siendo una gran fuerza en

Cómo funcionan las plataformas de inteligencia contra amenazas

Los TIP combinan múltiples fuentes de TI en un entorno unificado para ayudar a los SOC, analistas y otros equipos de seguridad a equilibrar la inteligencia que ingieren.

Naturalmente, la función principal de los TIP es agregar datos de múltiples fuentes de TI. Por lo general, exigirán que los proveedores proporcionen TI en un formato específico o al menos siguiendo un esquema fijo específico del proveedor. También realizarán normalización y deduplicación de esos datos sin procesar, pero algunos también permiten la ingesta de datos de formato libre para adaptarse a la diversidad de OSINT.

Más allá de esta función principal, los TIP también pueden proporcionar herramientas para analizar inteligencia sobre amenazas, como visualización, navegación, priorización o alertas. 

Muchos de ellos también ayudan a los socios a integrar inteligencia sobre amenazas en herramientas existentes como SIEM o SOAR a través de conectores integrados.

¿Para qué necesitas un TIP?

Antes de profundizar en las funciones de TIP, es importante incluir los casos de uso comunes y por qué es posible que desee (¿no?) invertir en una.

Automatización

La automatización es una de las funciones clave de los TIP, ya que pueden ayudar a los equipos de seguridad a absorber grandes cantidades de TI táctica o de reputación de múltiples proveedores. Estos datos pueden luego instrumentar herramientas de seguridad automatizadas, como NGFW, IDPS, CASB y más.

Los analistas de la industria coinciden en que el mercado de TI está dominado por la “coopetición”, en la que los clientes trabajan con múltiples proveedores al mismo tiempo, aprovechando las ventajas de cada uno para cubrir sus bases.

Esta tendencia es omnipresente en todos los casos de uso, pero es especialmente común entre los compradores de TI que buscan un TIP para mejorar sus sistemas automáticos de detección y protección. Esto se debe a que un proceso de normalización de TIP ayuda a los equipos de seguridad a reducir los costos de desarrollo.

Analistas SOC e investigadores de seguridad

Los TIP están equipados para ayudar a los analistas de SOC de todos los niveles en sus tareas diarias. La inteligencia sobre amenazas es el alma de los centros de operaciones de seguridad, por lo que los analistas pueden obtener mucho de una plataforma que unifique sus fuentes de TI.

Los TIP pueden ser especialmente útiles para los SOC cuando ofrecen capacidades de análisis de datos y la opción de importar otras fuentes de TI, generalmente OSINT internas o confiables.

Por último, los TIP que desean ofrecer una experiencia perfecta a los SOC y a los investigadores también ofrecen algún tipo de análisis dinámico de Malware para ayudar con la respuesta a incidentes, análisis forense digital, investigaciones, extracción de TI y más.

Gerencia y otros tomadores de decisiones

Si bien los TIP se centran principalmente en la reputación y la inteligencia operativa sobre amenazas, algunos de ellos también incluyen fuentes y servicios de TI estratégica (también conocidos como informes basados ​​en temas temáticos e impulsados ​​por humanos). Estos informes de alto nivel describen las tendencias de la industria, eventos notables u otra información que puede informar la toma de decisiones y la asignación de recursos.

Si la TI estratégica es un requisito para sus necesidades de inteligencia, los TIP no son nuestra primera recomendación. Los detalles fácticos que respaldan los informes serán escasos o insuficientes. Es mejor trabajar directamente con proveedores de TI centrados en las regiones o tipos de amenazas relevantes para usted.

Características cruciales a buscar en un TIP

Para comprender los requisitos de TIP que tiene, es importante analizar algunos detalles, como las fuentes de datos, su conjunto de herramientas existente y sus necesidades operativas. 

Fuente de datos

Ningún proveedor de TI puede brindarle visibilidad completa de todo tipo de amenazas. Incluso los proveedores globales que tienen una cobertura decente carecerán de la profundidad de información necesaria, del umbral de confianza procesable o de la velocidad para transmitir la información. Algunos proveedores pueden proporcionar valiosa inteligencia sobre vulnerabilidades, otros se destacan con grandes cantidades de datos sin procesar listos para escenarios MRTI (inteligencia de amenazas legible por máquina) y otros están especializados en hacer que la web oscura sea fácil de navegar.

El primer paso para decidir en qué TIP invertir es comprender las diversas fuentes de TI y decidir qué proveedores o tipos de proveedores son importantes para su organización.

Tipo de inteligencia sobre amenazas

El medio TI no tiene una nomenclatura uniforme para los diferentes tipos de inteligencia sobre amenazas. Ya escribimos un desglose exhaustivo de los diferentes tipos de inteligencia sobre amenazas, te recomendamos que lo leas también.

Para un resumen rápido, así es como Bitdefender define los diferentes tipos de TI:

• TI de reputación: datos sin procesar de sensores activos, generalmente indicadores de compromiso como hashes de archivos, IP, dominios, etc.
• TI operativa: IoC enriquecidos y correlacionados, atribuidos a diferentes actores de amenazas o tipos de amenazas como ransomware, phishing y fraude, etc.
• TI estratégica: informes recurrentes y bajo demanda sobre los intereses de los clientes, como actores de amenazas, tipos de malware, desarrollos geopolíticos y más.

Antes de invertir en un TIP, es importante decidir qué tipo de inteligencia sobre amenazas necesita su organización. Si necesita mejorar la detección automatizada, la TI de reputación es la más valiosa. Si opera un SOC, la TI operativa puede resultar especialmente útil en investigaciones, búsqueda de amenazas o respuesta a incidentes. Si necesita información para la toma de decisiones, los TIP que incluyen TI estratégica son ideales.

Integración y Estandarización

Los proveedores de TI utilizan una variedad de formatos para entregar datos, lo que puede generar incompatibilidades entre algunos proveedores y las soluciones existentes en su organización. Los TIP desempeñan un papel importante en la estandarización de la información procedente de los proveedores, pero también pueden ser incompatibles con algunas soluciones.

Por ejemplo, si ya utiliza Splunk o QRadar, busque una plataforma que facilite la integración con ellos. Si ya confía en el formato MISP para algunos TI, pero desea mejorarlo con fuentes comerciales, verifique si su TIP preferido admite la integración de MISP.

Si identifica posibles incompatibilidades entre sus soluciones actuales y un TIP, tenga en cuenta los recursos de desarrollo necesarios para analizar datos o crear conectores.

Características adicionales

Las funciones adicionales pueden hacer o deshacer las plataformas de inteligencia sobre amenazas en algunos casos de uso. Por ejemplo, las herramientas de análisis y visualización de datos sobre el panorama de amenazas relevante son cruciales para los analistas de SOC y los investigadores de seguridad. Otras características para considerar incluyen gestión de alertas, herramientas de exploración MITRE TTP, precios, integración de Sandbox, puntuación de amenazas y confianza o cobertura de la web oscura. 

¿Plataforma, portal o licencia directa?

Las plataformas de inteligencia contra amenazas tienen muchos beneficios, como unificar múltiples fuentes de TI, normalizar datos para socios y ofrecer herramientas de análisis adicionales. Sin embargo, también existen inconvenientes. 

Obtener una licencia de TI a través de un TIP puede resultar más costoso que ir directamente a la fuente. Además, grandes cantidades de datos pueden ser un inconveniente si no se tienen los recursos para convertirlos en información procesable. Pueden crear fatiga de alerta y generar mucho ruido en sus sistemas.

Una alternativa es trabajar con TI directamente de proveedores globales. Generalmente se proporciona a través de API simples y en varios formatos. Esta es la opción recomendada si desea tener un control total sobre qué tipo de TI compra, en qué cantidades, el nivel de detalle y cómo lo integra en una infraestructura existente.

Los proveedores más maduros también pueden ofrecer acceso a un portal de inteligencia sobre amenazas dedicado, donde centralizan toda su TI y la hacen accesible a través de una interfaz de usuario sencilla y optimizada. Esta es la opción recomendada para analistas de SOC e investigadores de seguridad que utilizan TI durante las investigaciones.

Más investigación

Los TIP pueden proporcionar un valor inmenso para el integrador adecuado, pero no son la mejor solución para todos. La decisión de compra depende del tipo de TI que se necesita, su caso de uso y su presupuesto.

Para obtener más información sobre nuestra oferta de inteligencia sobre amenazas, puede leer sobre el TI operativo de Bitdefender o ponerse en contacto con nuestro TI de reputación a continuación:

 

Fuente: Bitdefender Central