Las fuentes de información sobre amenazas son flujos de datos externos que ayudan a los equipos de seguridad a identificar laa amenazas.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Una fuente de información sobre amenazas es un flujo de datos sobre ataques potenciales (conocido como "información sobre amenazas" ) procedente de una fuente externa. Las organizaciones pueden utilizar la información sobre amenazas para mantener sus defensas de seguridad actualizadas y preparadas para enfrentar los últimos ataques.
Una sección de noticias en un sitio web de periodismo o en una plataforma de redes sociales muestran actualizaciones continuas: nuevos contenidos, nuevas noticias, cambios en historias en desarrollo, etc. Del mismo modo, una fuente de información sobre amenazas es una fuente continuamente actualizada de datos sobre amenazas: indicadores de riesgo (IoC), dominios sospechosos, firmas de malware conocidas y más.
La información sobre amenazas también se puede comparar con el reconocimiento militar. Un ejército puede usar la información sobre lo que hace una fuerza enemiga para tomar decisiones sobre cómo establecer sus defensas. De igual forma, la información sobre amenazas ayuda a los equipos de seguridad a prepararse mejor para los ciberataques actuales y futuros.
Algunas fuentes de información sobre amenazas son legibles por máquina. Estas fuentes pueden ser consumidas directamente por los sistemas de administración de eventos e información de seguridad (SIEM) y otras herramientas de seguridad. Otras están diseñadas para el consumo humano, permitiendo a los equipos de seguridad actuar y tomar decisiones.
Muchas fuentes de información sobre amenazas son gratuitas y de código abierto, con el fin de promover la prevención generalizada de las amenazas. Algunas fuentes de información sobre amenazas son exclusivas y solo están disponibles para clientes de pago.
"Amenaza" se puede definir como una acción que podría provocar el robo, la pérdida, el movimiento o la alteración de datos sin permiso. El término se puede referir tanto a acciones posibles como a acciones reales.
Si Chuck ha robado la contraseña de correo electrónico de Alice y se ha apoderado de su bandeja de entrada, pero aún no lo ha hecho con Bob, Chuck sigue suponiendo una amenaza para Bob. Es probable que Alice quiera informar a Bob de lo que ha hecho Chuck, para que Bob pueda tomar medidas para protegerse de Chuck. Alice le ha dado a Bob información simple sobre amenazas: "¡Cuidado con Chuck!"
Sin embargo, para ser útil para las herramientas y equipos de seguridad, la información sobre amenazas tiene que ser más detallada que simplemente "Cuidado con Chuck". La información sobre las posibles amenazas externas puede adoptar varias formas.
La información de una fuente de información sobre amenazas puede provenir de diferentes fuentes, tales como:
Un proveedor de fuentes de información sobre amenazas recopila esta información, la añade a su fuente y la distribuye.
Información actualizada: los ciberdelincuentes quieren que sus ataques sean exitosos. Por eso cambian y amplían constantemente sus tácticas para burlar las defensas. Las organizaciones que están preparadas para bloquear los ataques del año pasado pueden verse en riesgo por las tácticas de ataque de este año. Por tanto, los equipos de seguridad quieren los datos más recientes para informar a sus defensas y asegurarse de que puedan detener los ataques más recientes.
Mayor amplitud de la información: las fuentes de información sobre amenazas ofrecen una amplia gama de datos. Volviendo a nuestro ejemplo, Bob puede haber impedido que Chuck robara su bandeja de entrada de correo electrónico en el pasado, pero si Alice le informa sobre el último ataque de Chuck, entonces Bob sabe cómo bloquear tanto el ataque que enfrentó antes como el ataque dirigido a Alice. De forma similar, la información sobre amenazas permite a las organizaciones mitigar una mayor variedad de amenazas.
Mayor eficacia: adquirir información sobre amenazas de fuentes externas permite a los equipos de seguridad dedicar más tiempo a bloquear ataques en lugar de a recopilar datos. Los profesionales de seguridad pueden tomar decisiones e implementar mitigaciones en lugar de recopilar la información necesaria para tomar esas decisiones. Y las herramientas de seguridad como WAFs pueden aprender a reconocer los ataques antes de enfrentarlos.
STIX y TAXII son dos normas que se utilizan juntas para compartir información sobre amenazas. STIX es una sintaxis para formatear la información sobre amenazas, mientras que TAXII es un protocolo estandarizado para distribuir estos datos (como HTTP). Muchas fuentes de información sobre amenazas utilizan STIX/TAXII para garantizar que sus datos puedan ser ampliamente interpretados y utilizados por diversas herramientas de seguridad.
Cloudflare protege un gran porcentaje de los sitios web del mundo (con 63 millones de solicitudes HTTP procesadas por segundo), lo que permite a Cloudflare analizar una gran cantidad de datos sobre el tráfico de red y los patrones de ataque. Estos datos se convierten en información sobre amenazas acabada y procesable, lista para ser ingerida en herramientas de seguridad (a través de STIX/TAXII).
Cloudflare ofrece esta información sobre amenazas a través de su servicio Cloudforce One. Dirigido por un experimentado equipo de investigación, Cloudforce One desbarata los ciberatacantes de todo el mundo. Obtén más información sobre Cloudforce One.