¿Qué es la ciberinteligencia sobre amenazas?

Qué incluye Cyber inteligencia sobre amenazas

Cyber threat intelligence includes any information that can be used to help inform the business about potential cyber threats that they face and how to address them. The majority of threat intelligence deals with the current cyberattacks and active malware variants. 

Sin embargo, las organizaciones también pueden tener acceso a tipos más específicos de inteligencia sobre amenazas que les proporcionan información sobre los riesgos para su marca o los datos filtrados debido a violaciones de datos pasadas. 

Tácticas, técnicas y procedimientos del atacante (TTP) 

The bulk of technical threat intelligence data is related to the TTPs used by various threat actors. When new malware or cyberattack campaigns are detected, security researchers collect and disseminate indicators of attack (IoAs) and indicators of compromise (IoCs) that can be used to identify these threats. 

For instance, a strategic threat intelligence feed could include file hashes for new malware variants and the IP addresses and domain names associated with known cyber attack campaigns. 

Organizations can subscribe to tactical threat intelligence feeds to collect this information and feed it to their security solutions. This data can also be filtered or personalized to identify the relevant threats that an organization is most likely to face, such as: 

• Malware or cyberattacks targeting other organizations in the same industry or geographic region. 

Al aprovechar esta inteligencia sobre amenazas más específica, una organización puede evaluar con mayor precisión los tipos de amenazas a las que probablemente se enfrentará y cómo defender mejor de ellas. 

Protección de la marca 

Los ciberdelincuentes suelen emplear direcciones de email y sitios web similares en sus ataques de phishing. Esto está diseñado para hacer que los ataques potenciales parezcan legítimos para sus objetivos y se aprovecha de la confianza de los objetivos en la marca. 

Esta práctica tiene el potencial de dañar significativamente la reputación de una organización con sus clientes, vendedores, proveedores y otros socios. 

La siguiente información se puede recopilar como inteligencia accionable sobre amenazas personalizada para una organización: 

• Dominios sospechosos 

• Sitios web de phishing 

• Suplantación de identidad en redes sociales 

• Unauthorized APKs 

A continuación, la organización puede tomar medidas para proteger su marca contra estas amenazas. 

Monitoreo de brechas 

Often, it takes time for a breach to be detected, if the company notices it at all. 

In the state of a data breach report, IBM and Ponemon differentiate between breaches identified within 200 days and those that took more than 200 days to detect when comparing the price and impact of faster breach detection. 

En algunos casos, las compañías solo se enteran de una violación cuando los datos de la compañía, los empleados o los clientes están a la venta en el sitio web oscuro. Los servicios de monitoreo de brechas pueden buscar: 

• Credenciales de los empleados 

• Información del cliente 

• Intellectual property 

• Otros datos que se publicaron o anunciado para la venta en el sitio web oscuro 

¿Quién se beneficia de la inteligencia sobre amenazas?

Threat intelligence provides insight into potential cyber threats a company may face or breaches that it has not yet identified within its systems. 

This diverse set of security information has numerous potential applications within an organization. 

One of the most common applications of strategic threat intelligence is for identifying potential security incidents via persistent threat detection and threat hunting. Threat intelligence feeds commonly provide IoCs that organizations can look for in their systems to either identify and block an impending attack or detect the presence of an intruder within their systems.