La inteligencia de amenazas es información sobre posibles ataques. La inteligencia de amenazas ayuda a las organizaciones a tomar medidas para defenderse de estos ataques.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es el cross-site scripting?
¿Qué es el desbordamiento del búfer?
¿Qué es la inyección de código SQL?
Firewall
Fuentes de información sobre amenazas
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
La inteligencia de amenazas es la información sobre los posibles ataques a los que se puede enfrentar una organización, y cómo detectar y detener tales ataques. Las fuerzas de seguridad distribuyen a veces carteles de "Se busca" con información sobre los sospechosos; del mismo modo, la inteligencia de ciberamenazas contiene información sobre el aspecto de las amenazas actuales y su procedencia.
En términos de seguridad digital, una "amenaza" es una acción con intención maliciosa que podría provocar que los datos se roben, se pierdan o se alteren sin permiso. El término hace referencia tanto a los ataques potenciales como a los reales. La inteligencia de amenazas permite a las organizaciones tomar medidas contra las amenazas, en lugar de limitarse a proporcionar datos. Cada pieza de inteligencia de amenazas ayuda a detectar y prevenir los ataques.
Algunos tipos de inteligencia de amenazas pueden introducirse en los firewalls, en los firewalls de aplicaciones web (WAF), en los sistemas de administración de eventos e información de seguridad y en otros productos de seguridad, lo que les permite identificar y bloquear las amenazas con mayor eficacia. Otros tipos de inteligencia de amenazas son más generales y ayudan a las organizaciones a tomar decisiones estratégicas más amplias.
La mayor parte de la inteligencia de amenazas encaja en una de estas tres categorías:
Una firma es un patrón único o una secuencia de bytes por la que se puede identificar el software malicioso. De igual forma que las huellas dactilares se utilizan para identificar a las personas sospechosas de un delito, las firmas ayudan a identificar el software malicioso.
La detección de firmas es una de las formas más comunes de análisis de malware. Para ser eficaz, la detección de firmas debe actualizarse constantemente con las últimas firmas de malware identificadas.
Un indicador de riesgo (IoC) es un dato que ayuda a identificar si un ataque ha tenido lugar o está en curso. Un IoC es como una prueba física que un detective podría recoger para determinar quién estuvo presente en la escena del crimen. Del mismo modo, ciertas pruebas digitales —actividad inusual registrada en los registros, tráfico de red hacia servidores no autorizados, etc.— ayudan a los administradores a determinar cuándo se ha producido un ataque (o se está produciendo en ese momento) y qué tipo de ataque ha sido.
Sin los IoC, a veces puede ser difícil determinar si se ha producido un ataque; suele beneficiar al atacante que no sea detectado (por ejemplo, si quiere utilizar un dispositivo en riesgo en una botnet).
Una fuente de información sobre amenazas es un flujo externo de datos sobre la información sobre amenazas. Al igual que una fuente RSS para blogs, las organizaciones pueden suscribirse a una fuente de información sobre amenazas para proporcionar actualizaciones de seguridad constantes a sus sistemas.
Algunas fuentes sobre la inteligencia de amenazas son gratuitas; otras cuestan dinero y proporcionan información propia que no está disponible en fuentes abiertas.
Cloudflare está en una posición única para recopilar información sobre las amenazas a gran escala. La red de Cloudflare protege millones de sitios web. Al analizar el tráfico hacia y desde estos sitios web, Cloudflare puede identificar patrones de tráfico malicioso de bots, explotaciones de vulnerabilidad y otros ataques.
Cloudflare utiliza esta información para proteger mejor a los clientes. Por ejemplo, Cloudflare crea reglas de WAF y las implementa para todos los clientes de WAF cada vez que se detecta una nueva amenaza. Cloudflare Bot Management utiliza la inteligencia de amenazas de los miles de millones de solicitudes que Cloudflare ve cada día para aprender a identificar bots maliciosos.
Para saber más sobre ciberamenazas, consulta ¿Qué es la seguridad de las aplicaciones web?