Casos prácticos y ejemplos de inteligencia sobre amenazas

Algunos ejemplos habituales de inteligencia sobre amenazas son los siguientes:

• Indicadores de compromiso (IOCs)
• Tácticas, técnicas y procedimientos (TTPs)
• Atribución de atacantes
• Información sobre vulnerabilidades
• Feeds de inteligencia sobre amenazas

Tanto si se usan por separado como de forma conjunta, sirven como enfoque preventivo y proactivo para proteger los sistemas y los datos sensibles.

Los IOCs son artefactos de análisis forense que indican posibles incidentes de seguridad en tu entorno. Entre ellos, se incluyen las direcciones IP maliciosas, los cifrados de archivos con hash, los nombres de dominio y las URLs que te ayudan a detectar cuándo hay atacantes en tus sistemas. Cuando tus herramientas de seguridad identifican un IOC a partir de una campaña de ataque reciente, puedes investigar inmediatamente si ese indicador aparece en algún lugar de tu entorno.

Las TTPs describen cómo operan los atacantes y los métodos que utilizan para acceder a los sistemas, moverse lateralmente y alcanzar sus objetivos. Conocer estos patrones te ayuda a reconocer comportamientos de ataque incluso cuando cambian IOCs específicos. Si sabes que un grupo de atacantes concreto suele usar el phishing personalizado para acceder inicialmente a un sistema, puedes configurar reglas de detección en torno a esos comportamientos.

La inteligencia de atribución identifica qué grupos de amenazas están detrás de los ataques y revela sus objetivos, motivaciones y capacidades típicos. Este contexto te ayuda a evaluar si tu organización entra dentro del ámbito de segmentación de un grupo concreto. La atribución también te ayuda a comprender los objetivos de los atacantes, ya sea robar propiedad intelectual, desplegar ransomware o mantener un acceso persistente.

La inteligencia de vulnerabilidades proporciona detalles sobre las debilidades del software que los atacantes podrían aprovechar. Esto incluye datos de CVEs, disponibilidad de exploits e información sobre las vulnerabilidades a las que se dirigen los atacantes de forma activa. La inteligencia de vulnerabilidades te ayuda a distinguir los riesgos teóricos de las amenazas activas, ya que muestra qué fallos usan los atacantes en sus campañas.

Los feeds proporcionan flujos continuos de datos de amenazas procedentes de varias fuentes, como proveedores de seguridad, organismos públicos y comunidades de intercambio de información. Estos feeds mantienen tus defensas actualizadas frente a las amenazas emergentes sin necesidad de realizar investigaciones manuales. Los feeds varían en su enfoque: algunos ofrecen una amplia cobertura de muchos tipos de amenazas, mientras que otros se especializan en áreas específicas, como los dominios de phishing o la infraestructura de ransomware.

Adoptar un enfoque centrado en los casos prácticos hace que la inteligencia sobre amenazas sea útil en lugar de abstracta. Cuando asignas datos de amenazas a funciones de seguridad específicas, como la respuesta a incidentes y la gestión de vulnerabilidades, puedes medir su impacto en tus resultados de seguridad y tomar mejores decisiones sobre dónde invertir recursos.

La inteligencia sobre amenazas te permite identificar y bloquear amenazas antes de que lleguen a tu entorno. Si conoces la infraestructura y los métodos de los atacantes de antemano, puedes configurar tus defensas para detener los ataques en el perímetro. Por ejemplo, cuando la inteligencia revela que un grupo de atacantes está registrando dominios siguiendo patrones de nomenclatura específicos, puedes bloquear esos patrones en tus filtros de DNS.

Cuando se producen incidentes, la inteligencia sobre amenazas proporciona contexto sobre lo que está ocurriendo. Puedes determinar rápidamente el alcance de un ataque, identificar indicadores relacionados y comprender los objetivos del atacante para contener las amenazas más rápido. Por ejemplo, si detectas una ejecución sospechosa de PowerShell en un endpoint, la inteligencia sobre ataques similares te indica qué buscar a continuación: si un atacante suele intentar un movimiento lateral, la filtración externa de datos o el robo de credenciales.

La inteligencia te guía en la búsqueda de amenazas ocultas que ya están presentes en tu entorno. Si te centras en las TTPs y los IOCs conocidos que son relevantes para tu sector, podrás descubrir ataques sofisticados que eluden la detección automatizada. Por ejemplo, si los grupos de atacantes que se dirigen a tu sector suelen usar técnicas de aprovechamiento de recursos legítimos con herramientas administrativas, puedes buscar usos anómalos de esas herramientas.

Applied Threat Intelligence en Google Security Operations va más allá del almacenamiento de indicadores de riesgo y comportamientos de atacantes. Utiliza el conocimiento de Google sobre el panorama de amenazas, incluida la inteligencia sobre amenazas emergentes de Mandiant, y aplica este conocimiento a tu entorno específico. El sistema correlaciona automáticamente los datos de amenazas con tu telemetría de seguridad para identificar las amenazas relevantes sin necesidad de hacer análisis manuales. Obtienes resultados priorizados y prácticos que conectan eventos, alertas, recursos y usuarios en una historia coherente para que puedas adelantarte a las últimas amenazas.

El enfoque basado en requisitos estructura la forma en que recoges y usas la inteligencia sobre amenazas en función de las necesidades reales de tu empresa. Este proceso satisface explícitamente las necesidades especificadas de todos los colaboradores relevantes a lo largo del ciclo de vida de la inteligencia sobre amenazas. Todo empieza con un perfil de amenazas que proporciona contexto sobre las amenazas más relevantes en tu sector y tu región. El análisis de los colaboradores genera requisitos de inteligencia y casos prácticos, que sirven de base para la planificación de la recogida y el desarrollo de recursos de recogida. Estos elementos se combinan para formar líneas de servicio que generan resultados que cumplen los requisitos de los colaboradores, los formatos y la frecuencia de los informes.

Esta estrategia incluye varios componentes que funcionan conjuntamente. La planificación y la dirección establecen qué inteligencia necesitas y por qué. La recogida consiste en recopilar datos en bruto de fuentes relevantes. El procesamiento convierte esos datos en formatos estructurados. El análisis transforma la información procesada en datos y métricas. La difusión pone esos datos a disposición de los responsables de la toma de decisiones y los equipos de seguridad para que puedan actuar en consecuencia. Puedes aplicar este framework en varios casos prácticos, desde la gestión de vulnerabilidades hasta la búsqueda de amenazas o la planificación de la arquitectura de seguridad.

La inteligencia sobre amenazas es más valiosa cuando la aplicas a tu entorno específico y a tus retos de seguridad. Google Threat Intelligence combina estadísticas de la monitorización de más de 500 atacantes con funciones de detección automatizada, lo que te proporciona inteligencia priorizada y relevante para tu sector y tu región. Al integrar estas funciones en tus operaciones de seguridad, puedes pasar de recoger datos de amenazas a prevenir ataques.

Descubre nuestras soluciones de inteligencia sobre amenazas