¿Cuáles son los tipos de inteligencia de amenazas?
Cyber Threat Intelligence se clasifica principalmente como estratégica, táctica, técnica y operativa.
1.Inteligencia de amenazas estrategicas
La inteligencia de amenazas estratégicas proporciona una descripción general del panorama de amenazas de la organización. Es menos técnico, principalmente para que los profesionales de seguridad de nivel ejecutivo impulsen una estrategia organizacional de alto nivel basada en los hallazgos de los informes. Idealmente, la inteligencia de amenazas estratégica proporciona información como vulnerabilidades y riesgos asociados con el panorama de amenazas de la organización con acciones preventivas, actores de amenazas, sus objetivos y la gravedad de los ataques potenciales.
2.Inteligencia de amenazas tácticas
La inteligencia de amenazas tácticas consta de detalles más específicos sobre los actores de amenazas TTP y es principalmente para que el equipo de seguridad comprenda los vectores de ataque. La inteligencia les brinda información sobre cómo construir una estrategia de defensa para mitigar esos ataques. El informe incluye las vulnerabilidades en los sistemas de seguridad que los atacantes podrían aprovechar y cómo identificar dichos ataques.
El hallazgo se utiliza para fortalecer los controles de seguridad/mecanismo de defensa existentes y ayuda a eliminar las vulnerabilidades en la red.
3.Inteligencia de amenazas técnicas
La inteligencia técnica sobre amenazas se centra en pistas o pruebas específicas de un ataque y crea una base para analizar dichos ataques. El analista de Threat Intelligence busca el indicador de compromiso (IOC), que incluye direcciones IP informadas, el contenido de correos electrónicos de phishing, muestras de malware y URL fraudulentas. El momento para compartir inteligencia técnica es muy crítico porque los IOC, como las IP maliciosas o las URL fraudulentas, se vuelven obsoletas en unos pocos días.
4.Inteligencia de amenazas operativas
La inteligencia de amenazas operativas se centra en el conocimiento sobre los ataques. Brinda información detallada sobre factores como la naturaleza, el motivo, el momento y cómo se lleva a cabo un ataque. Idealmente, la información se recopila de las salas de chat de los piratas informáticos o de sus discusiones en línea a través de la infiltración, lo que dificulta su obtención.
Desafíos en la recopilación de inteligencia operativa:
• Las amenazas generalmente se comunican a través de salas de chat encriptadas o privadas, y el acceso a estos canales no es fácil.
• No es fácil recopilar manualmente inteligencia relevante de grandes datos de salas de chat u otros canales de comunicación.
• Los grupos de amenazas pueden usar un lenguaje confuso y ambiguo para que nadie pueda entender su conversación.