¿Qué es una fuente sobre la inteligencia de amenazas?

Las fuentes de información sobre amenazas son flujos de datos externos que ayudan a los equipos de seguridad a identificar laa amenazas.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Describe el tipo de información que contiene una fuente de información sobre amenazas
  • Discute las ventajas de utilizar una fuente de información sobre amenazas
  • Comprende las fuentes de información sobre amenazas

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es una fuente sobre la inteligencia de amenazas?

Una fuente de información sobre amenazas es un flujo de datos sobre ataques potenciales (conocido como "información sobre amenazas" ) procedente de una fuente externa. Las organizaciones pueden utilizar la información sobre amenazas para mantener sus defensas de seguridad actualizadas y preparadas para enfrentar los últimos ataques.

Una sección de noticias en un sitio web de periodismo o en una plataforma de redes sociales muestran actualizaciones continuas: nuevos contenidos, nuevas noticias, cambios en historias en desarrollo, etc. Del mismo modo, una fuente de información sobre amenazas es una fuente continuamente actualizada de datos sobre amenazas: indicadores de riesgo (IoC), dominios sospechosos, firmas de malware conocidas y más.

La información sobre amenazas también se puede comparar con el reconocimiento militar. Un ejército puede usar la información sobre lo que hace una fuerza enemiga para tomar decisiones sobre cómo establecer sus defensas. De igual forma, la información sobre amenazas ayuda a los equipos de seguridad a prepararse mejor para los ciberataques actuales y futuros.

Algunas fuentes de información sobre amenazas son legibles por máquina. Estas fuentes pueden ser consumidas directamente por los sistemas de administración de eventos e información de seguridad (SIEM) y otras herramientas de seguridad. Otras están diseñadas para el consumo humano, permitiendo a los equipos de seguridad actuar y tomar decisiones.

Muchas fuentes de información sobre amenazas son gratuitas y de código abierto, con el fin de promover la prevención generalizada de las amenazas. Algunas fuentes de información sobre amenazas son exclusivas y solo están disponibles para clientes de pago.

¿Qué es una ciberamenaza?

"Amenaza" se puede definir como una acción que podría provocar el robo, la pérdida, el movimiento o la alteración de datos sin permiso. El término se puede referir tanto a acciones posibles como a acciones reales.

Si Chuck ha robado la contraseña de correo electrónico de Alice y se ha apoderado de su bandeja de entrada, pero aún no lo ha hecho con Bob, Chuck sigue suponiendo una amenaza para Bob. Es probable que Alice quiera informar a Bob de lo que ha hecho Chuck, para que Bob pueda tomar medidas para protegerse de Chuck. Alice le ha dado a Bob información simple sobre amenazas: "¡Cuidado con Chuck!"

Sin embargo, para ser útil para las herramientas y equipos de seguridad, la información sobre amenazas tiene que ser más detallada que simplemente "Cuidado con Chuck". La información sobre las posibles amenazas externas puede adoptar varias formas.

  • Tácticas, técnicas y procedimientos (TTP): los TTP son descripciones detalladas del comportamiento de un ataque.
  • Firmas de malware: una firma es un patrón o secuencia única de bytes por la que se puede identificar un archivo. Las herramientas de seguridad pueden buscar archivos con firmas que coincidan con el malware conocido.
  • Indicadores de riesgo (IoC): son datos que ayudan a identificar si se ha producido o está en curso un ataque.
  • Direcciones IP y dominios sospechosos: todo el tráfico de una red se origina en algún lugar. Si se observa que los ataques proceden de un determinado dominio o dirección IP, entonces los firewalls pueden bloquear el tráfico de esta fuente para evitar posibles ataques futuros.

¿De dónde proviene la información sobre amenazas de una fuente?

La información de una fuente de información sobre amenazas puede provenir de diferentes fuentes, tales como:

  • Análisis del tráfico de Internet para detectar los ataques y la exfiltración de datos
  • Investigación a fondo realizada por profesionales de la seguridad
  • Análisis directo de malware, a través del análisis heurístico, sandboxing u otra detección de malware
  • Datos de código abierto ampliamente disponibles y compartidos dentro de la comunidad de seguridad
  • Rastreo web para identificar ataques e infraestructuras de ataques (Cloudflare Cloud Email Security, por ejemplo, utiliza una forma de esta técnica para identificar ataques de phishing con anticipación)
  • Datos de analytics y telemétricos agregados de los clientes de una empresa de seguridad

Un proveedor de fuentes de información sobre amenazas recopila esta información, la añade a su fuente y la distribuye.

¿Por qué usar una fuente sobre la información sobre amenazas?

Información actualizada: los ciberdelincuentes quieren que sus ataques sean exitosos. Por eso cambian y amplían constantemente sus tácticas para burlar las defensas. Las organizaciones que están preparadas para bloquear los ataques del año pasado pueden verse en riesgo por las tácticas de ataque de este año. Por tanto, los equipos de seguridad quieren los datos más recientes para informar a sus defensas y asegurarse de que puedan detener los ataques más recientes.

Mayor amplitud de la información: las fuentes de información sobre amenazas ofrecen una amplia gama de datos. Volviendo a nuestro ejemplo, Bob puede haber impedido que Chuck robara su bandeja de entrada de correo electrónico en el pasado, pero si Alice le informa sobre el último ataque de Chuck, entonces Bob sabe cómo bloquear tanto el ataque que enfrentó antes como el ataque dirigido a Alice. De forma similar, la información sobre amenazas permite a las organizaciones mitigar una mayor variedad de amenazas.

Mayor eficacia: adquirir información sobre amenazas de fuentes externas permite a los equipos de seguridad dedicar más tiempo a bloquear ataques en lugar de a recopilar datos. Los profesionales de seguridad pueden tomar decisiones e implementar mitigaciones en lugar de recopilar la información necesaria para tomar esas decisiones. Y las herramientas de seguridad como WAFs pueden aprender a reconocer los ataques antes de enfrentarlos.

¿Cómo utilizan STIX/TAXII las fuentes de información sobre amenazas?

STIX y TAXII son dos normas que se utilizan juntas para compartir información sobre amenazas. STIX es una sintaxis para formatear la información sobre amenazas, mientras que TAXII es un protocolo estandarizado para distribuir estos datos (como HTTP). Muchas fuentes de información sobre amenazas utilizan STIX/TAXII para garantizar que sus datos puedan ser ampliamente interpretados y utilizados por diversas herramientas de seguridad.

¿Cómo distribuye Cloudflare su fuente de información sobre amenazas?

Cloudflare protege un gran porcentaje de los sitios web del mundo (con 63 millones de solicitudes HTTP procesadas por segundo), lo que permite a Cloudflare analizar una gran cantidad de datos sobre el tráfico de red y los patrones de ataque. Estos datos se convierten en información sobre amenazas acabada y procesable, lista para ser ingerida en herramientas de seguridad (a través de STIX/TAXII).

Cloudflare ofrece esta información sobre amenazas a través de su servicio Cloudforce One. Dirigido por un experimentado equipo de investigación, Cloudforce One desbarata los ciberatacantes de todo el mundo. Obtén más información sobre Cloudforce One.