Una vez que conozca a sus posibles actores de amenazas, debe asegurarse de que su red pueda brindarle la inteligencia que necesita para identificar cuando está bajo vigilancia o ataque por parte de ellos.
Inteligencia de amenazas (TI) es cualquier información externa sobre una amenaza que una organización puede consumir e integrar en su proceso de toma de decisiones defensivas y que resulta en algo procesable, como una nueva política, configuración o diseño, o conduce a la selección e implementación. de un nuevo dispositivo.
Esta inteligencia puede ser Estratégica, Táctica u Operativa.
Aquí hay más información sobre cada tipo de TI.
Estratégico:
- Este tipo de TI generalmente se proporciona en forma de informes impresos o en línea que se centran en los actores de amenazas, sus intenciones, motivaciones, capacidades y sus planes, ahora y en el futuro.
- Los CISO y la gestión de TI suelen utilizar esta información para determinar qué tipos de controles administrativos, físicos o tecnológicos adicionales pueden necesitar presupuestarse.
Táctica:
- Este tipo de TI se centra en comprender las tácticas, técnicas y procedimientos de los actores de amenazas. Plantea la pregunta: «¿Cómo están cumpliendo su misión cibernética?»
- Los equipos de seguridad y operaciones de red utilizan esta inteligencia para comprender y priorizar las vulnerabilidades, establecer escalaciones de alertas e informar consideraciones de diseño y cambios de configuración para diseñar fallas y vulnerabilidades fuera de la propia red.
Operacional:
- Este tipo de TI generalmente lo consume una plataforma SIEM o de inteligencia de amenazas, donde se compara con registros de red y otros datos recopilados para determinar si un actor de amenazas planea involucrarse en su organización o si ya ha violado sus defensas.
- Este tipo de inteligencia a menudo incluye indicadores de compromiso (IOC) que pueden ayudar a una organización a saber si está bajo ataque o si tiene vulnerabilidades particulares que deben abordar.
- Esta información suele ser utilizada por un equipo de respuesta a incidentes o analistas forenses para determinar el alcance de una infracción, así como para «cazar» actores de amenazas.
Espero que os resulte útil.
Un saludo