Vés al contingut

Intel·ligència de ciberamenaces

De la Viquipèdia, l'enciclopèdia lliure

La intel·ligència de ciberamenaces (en anglès: Cyber Threat Intelligence, CTI), també coneguda com Intel·ligència d’Amenaces Cibernètiques, és l’activitat de recopilar informació basada en coneixements, habilitats i experiències sobre la ocurrència i avaluació d’amenaces cibernètiques i físiques, així com en els actors d’amenaces que tenen la intenció i l'objectiu d’ajudar a mitigar els possibles atacs i esdeveniments perjudicials que ocorren en el ciberespai.[1][2]

Aquest concepte va sorgir per combatre la gran varietat d’amenaces que s’estan produint així com per ajudar als professionals de la seguretat a reconèixer els indicadors dels ciberatacs, extreure informació sobre els mètodes dels atacs, i en conseqüència, respondre als mateixos de manera idònia i precisa.[3][4]

La intel·ligència de ciberamenaces busca generar coneixements al voltant de l’enemic amb la finalitat de reduir el risc que pot ocasionar sobre qualsevol institució. És una estratègia que en tot moment buscarà anteposar-se als atacs i contrarrestar-los analitzant l'amenaça en el seu conjunt per detectar les dades clau que ajuden a identificar al autor de l'atac, el ciberdelinqüent.[3] La seva finalitat última és proporcionar la capacitat de percebre, reconèixer, raonar, aprendre i actuar de manera intel·ligent i oportuna sobre indicadors d'escenaris d’atac i atacs cibernètics avançats, dit d’una altra manera, prendre les accions defensives intel·ligents corresponents.[4][5]

Per a això, es basa en multiplicitat de fonts i tècniques com la intel·ligència artificial; la intel·ligència de fonts obertes; la intel·ligència de xarxes socials; la intel·ligència humana; la intel·ligència tècnica; dades adquirides de manera forense; intel·ligència del tràfic d’Internet; arxius de registre de dispositius; i inclús la intel·ligència que prové de l’anàlisi de la Deep web i la Dark web.[1][4]

Procés - Cicle d’intel·ligència

[modifica]

El procés de desenvolupament de la intel·ligència de ciberamenaces és un procés circular i continu, conegut com el cicle d’intel·ligència, el qual es compren en cinc fases,[3][6][7][8] realitzades per equips d’intel·ligència per proporcionar al lideratge la intel·ligència rellevant i convenient per reduir els riscos i la incertesa.[7]

Les 5 fases són: 1) planificació i direcció; 2) recollida; 3) processament; 4) anàlisi; 5) disseminació.[3][6][7][8]

En la planificació i direcció, el consumidor/client del producte d’intel·ligència sol·licita intel·ligència sobre un tema o objectiu específic. Després, un cop dirigit pel client, comença la segona fase, la recollida, que implica l'accés a la informació sense processar, la qual es requerirà per produir el producte d’intel·ligència finalitzat. Donat que la informació no és intel·ligència, ha de ser transformada i per això ha de passar per les fases de processament i anàlisi: en el processament (o fase pre-analítica) la informació sense processar es filtra i prepara per l’anàlisi a través d’una sèrie de tècniques (desxifrat, traducció d’idiomes, reducció de dades, etc.); en la fase d’anàlisi la informació organitzada es transforma en intel·ligència. Finalment, la fase de disseminació, en la que la intel·ligència d’amenaces recent seleccionada s'envia als diferents usuaris per al seu ús.[6][8]

Tipus

[modifica]

La intel·ligència de ciberamenaces s’ha desenvolupat en tres nivells generals: 1) tàctic; 2) operacional; 3) estratègic.[2][3][8][9][10] Aquestes classes són fonamentals per construir una avaluació integral d’amenaces:[3]

  • Tàctic: es sol utilitzar per ajudar a identificar els actors d'amenaces. S'utilitzen indicadors de compromís (com adreces IP, dominis d’Internet o hashes) y es comença a profunditzar en les anàlisis de tàctiques, tècniques i procediments (TTP) que empren els ciberdelinqüents. Els coneixements generats a nivell tàctic ajudaran als equips de seguretat a predir els pròxims atacs i identificar-los en les etapes més primerenques possibles.[2][3][7][8][10]
  • Operacional: aquest és el nivell d’intel·ligència d’amenaces més tècnic. En aquest es comparteixen els detalls concrets i específics sobre atacs, motivació, capacitat dels actors d’amenaces i campanyes individuals. Els coneixements proporcionats per experts en intel·ligència d’amenaces en aquest nivell inclouen la naturalesa, la intenció i el moment de les amenaces emergents. Aquests tipus d’informació és més complexa d’obtenir i la majoria de vegades es recopila a través de fòrums web profunds i foscos als quals els equips interns no poden accedir. Els equips de seguretat i resposta a atacs són els que utilitzen aquests tipus d’intel·ligència operativa.[2][3][8][10]
  • Estratègic: sol adaptar-se a audiències no tècniques, és intel·ligència sobre riscos generals que s’associen amb les ciberamenaces. L’objectiu és entregar, en forma de documents tècnics i informes, una anàlisi detallada dels riscos actuals i futurs projectats per al negoci, així com les possibles conseqüències de les amenaces per ajudar als líders a prioritzar les seves respostes.[2][3][8][10]

Beneficis de la intel·ligència de ciberamenaces

[modifica]

La Intel·ligència d’Amenaces Cibernètiques proporciona una sèrie de beneficis en els que es troben els següents:

  • Proporciona context i conclusions sobre els atacs actius i amenaces potencials per facilitar la presa de decisions.[3]
  • Redueix els riscos ja que per a la presa de decisions es tenen dades útils.[1]
  • Evita que les filtracions de dades alliberin informació confidencial, per tant evita la pèrdua de dades.[10]
  • Redueix els costos. Com les filtracions de dades són costoses, al reduir el risc de violacions de dades ajuda a estalviar diners.[10]
  • Detecta patrons que utilitzen els hackers.[10]
  • Ajuda i proporciona instruccions a les institucions sobre com implementar mesures de seguretat per protegir-se contra futurs atacs.[10]
  • Ajuda a les institucions a comprendre els riscos cibernètics i que passos es necessiten per mitigar-los.[10]
  • Informa als demés a través dels experts en aquest camp donat que aquests comparteixen les tàctiques que han observat amb altres en la seva comunitat per crear una base de coneixement col·lectiva per combatre els delictes cibernètics.[10]
  • Proporciona valor afegit a la informació, fet que redueix la incertesa del consumidor i el temps que es triga en identificar les amenaces i oportunitats.[3]
  • Ajuda a identificar més fàcilment els mecanismes d’entrega, els indicadors de compromís en tota la infraestructura i els possibles actors i motivadors específics.[5]
  • Ajuda en la detecció d’atacs durant i abans d’aquestes etapes.[5]
  • Proporciona indicadors de les accions realitzades durant cada etapa de l’atac.[5]

Elements clau

[modifica]

Hi ha tres elements clau que deuen estar presents per a que la informació o les dades es considerin intel·ligència d’amenaces:[8]

  • Basat en l'evidència: per a que qualsevol producte d’intel·ligència sigui útil, primer s’ha d’obtenir a través de mètodes adequats de recollida d’evidència. S’ha de tenir en compte que a través d’altres processos (com l’anàlisi de malware) es pot produir intel·ligència d’amenaces.
  • Utilitat: per a que la intel·ligència d’amenaces tingui un impacte positiu en el resultat d’un esdeveniment de seguretat, ha de tenir alguna utilitat. La intel·ligència ha de proporcionar claredat, en termes de context i dades, sobre comportaments i mètodes específics.
  • Accionable: l’acció és l’element clau que separa la informació o les dades de la intel·ligència d’amenaces. La intel·ligència ha d’impulsar l’acció.

Situació actual

[modifica]

Els ciberatacs han augmentat notòriament tant en freqüència com en sofisticació, i han presentat grans reptes per a les institucions que han de defensar els seus sistemes i dades d'aquests actors. Els actors d'amenaces poden ser persistents, motivats i àgils, i utilitzen una varietat de TTPs per aconseguir els seus objectius. Donats els riscos que presenten aquestes amenaces, cada cop és més important que les institucions comparteixin informació sobre les amenaces cibernètiques i la utilitzin per millorar la seva postura de seguretat.[11]

Per això, en els darrers anys, la intel·ligència d'amenaces s'ha convertit en element crucial en les estratègies de ciberseguretat de les empreses ja que permet a les companyies ser més proactives en el seu enfocament i determinar quines amenaces representen els riscos més grans per al negoci. Això fa que les empreses siguin més actives en la detecció de vulnerabilitats i prevenció d'atacs.[12]

A causa de la pandèmia de COVID-19 i del teletreball que va produir, les vulnerabilitats davant de les ciberamenaces han augmentat considerablement, fet que ha deixat exposades les dades de les persones físiques i jurídiques sense seguretat.[13] Per això, i a causa de l'augment de les amenaces cibernètiques i les necessitats de sofisticació de la intel·ligència d'amenaces, les empreses han optat per subcontractar les activitats d'intel·ligència d'amenaces a un proveïdor de serveis de seguretat administrada (MSSP).[14]

Vegeu també

[modifica]

Referències

[modifica]
  1. 1,0 1,1 1,2 Oudot, Laurent. «¿Qué significa CTI (Cyber Threat Intelligence)?» (en espanyol europeu), 01-06-2022. [Consulta: 13 abril 2023].
  2. 2,0 2,1 2,2 2,3 2,4 Bank of England. (2016). CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence Operations. https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operations.pdf
  3. 3,00 3,01 3,02 3,03 3,04 3,05 3,06 3,07 3,08 3,09 3,10 «¿Para qué sirve y cómo se usa la Cyber Threat Intelligence?» (en castellà). [Consulta: 13 abril 2023].
  4. 4,0 4,1 4,2 Conti, M.; Dehghantanha, A. «Cyber Threat Intelligence: Challenges and Opportunities.». A: A. Dehghantanha, M. Conti y T. Dargahi. Cyber threat intelligence (en anglès). Springer Cham, 2018, p. 1-6. 
  5. 5,0 5,1 5,2 5,3 Shackleford, D. «Who’s Using Cyberthreat Intelligence and How?». SANS Institute, 2015.
  6. 6,0 6,1 6,2 Phythian, M. «Beyond the Intelligence Cycle?». A: Understanding the Intelligence Cycle (en anglès). 1ª ed. Routledge, 2013, p. 17-23. 
  7. 7,0 7,1 7,2 7,3 Kime, B. «Threat Intelligence: Planning and Direction.». SANS Institute, 2016.
  8. 8,0 8,1 8,2 8,3 8,4 8,5 8,6 8,7 Johansen, G. Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats. (en anglès). 2ª ed. Packt Publishing Ltd, 2020. 
  9. Trifonov, R.; Nakov, O.; Mladenov, V. «2018 international conference on intelligent and innovative computing applications (ICONIC).» (en anglès). Artificial Intelligence in Cyber Threats Intelligence.. IEEE, 2018, pàg. 1-4.
  10. 10,00 10,01 10,02 10,03 10,04 10,05 10,06 10,07 10,08 10,09 «What is threat intelligence? Definition and explanation» (en anglès), 18-04-2022. [Consulta: 13 abril 2023].
  11. Johnson, C.; Badger, M.; Waltermire, D.; Snyder, J.; Skorupka, C. Guide to Cyber Threat Information Sharing (NIST SP - 800-150). National Institute of Standards and Technology, 2016.
  12. «Managed threat intelligence» (en anglès americà). [Consulta: 13 abril 2023].
  13. «Un informe de INTERPOL muestra un aumento alarmante de los ciberataques durante la epidemia de COVID-19.», 04-08-2020.
  14. «What is a Managed Security Service Provider (MSSP)?».