Intel·ligència de ciberamenaces: diferència entre les revisions

De la Viquipèdia, l'enciclopèdia lliure
Exploració interactiva de l'historial
Edició següent →
Contingut suprimit Contingut afegit
VisualWikitext
Creada per traducció de la pàgina «Inteligencia de Ciberamenazas»
 
Cap resum de modificació
Línia 1: Línia 1:
La Intel·ligència de Ciberamenaces (en [[anglès]]: ''Cyber Threat Intelligence, CTI''), també coneguda com Intel·ligència d’Amenaces Cibernètiques, és l’activitat de recopilar informació basada en coneixements, habilitats i experiències sobre la ocurrència i avaluació d’amenaces cibernètiques i físiques, així com en els actors d’amenaces que tenen la intenció i l'objectiu d’ajudar a mitigar els possibles atacs i esdeveniments perjudicials que ocorren en el ciberespai <sup>[1] [2]</sup>.
La Intel·ligència de Ciberamenaces (en [[anglès]]: ''Cyber Threat Intelligence, CTI''), també coneguda com Intel·ligència d’Amenaces Cibernètiques, és l’activitat de recopilar informació basada en coneixements, habilitats i experiències sobre la ocurrència i avaluació d’amenaces cibernètiques i físiques, així com en els actors d’amenaces que tenen la intenció i l'objectiu d’ajudar a mitigar els possibles atacs i esdeveniments perjudicials que ocorren en el ciberespai <ref name=":0">{{Ref-web|títol=¿Qué significa CTI (Cyber Threat Intelligence)?|url=https://tehtris.com/es/blog/glosario/cti-cyber-threat-intelligence|data=2022-06-01|consulta=2023-04-13|llengua=es-ES|nom=Laurent|cognom=Oudot}}</ref> <ref name=":1">Bank of England. (2016). ''CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence Operations''. https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operations.pdf</ref>.


Aquest concepte va sorgir per combatre la gran varietat d’amenaces que s’estan produint així com per ajudar als professionals de la seguretat a reconèixer els indicadors dels ciberatacs, extreure informació sobre els mètodes dels atacs, i en conseqüència, respondre als mateixos de manera idònia i precisa <sup>[3] [4]</sup>.
Aquest concepte va sorgir per combatre la gran varietat d’amenaces que s’estan produint així com per ajudar als professionals de la seguretat a reconèixer els indicadors dels ciberatacs, extreure informació sobre els mètodes dels atacs, i en conseqüència, respondre als mateixos de manera idònia i precisa <ref name=":2">{{Ref-web|títol=¿Para qué sirve y cómo se usa la Cyber Threat Intelligence?|url=https://blog.softtek.com/es/para-que-sirve-y-como-se-usa-la-cyber-threat-intelligence|consulta=2023-04-13|llengua=es}}</ref> <ref name=":3">{{Ref-llibre|cognom=Conti|nom=M.|títol=Cyber threat intelligence|url=https://doi.org/10.1007/978-3-319-73951-9_1|llengua=anglès|data=2018|editorial=Springer Cham|pàgines=1-6|capítol=Cyber Threat Intelligence: Challenges and Opportunities.|nom2=A.|cognom2=Dehghantanha|editor=A. Dehghantanha, M. Conti y T. Dargahi}}</ref>.


La Intel·ligència de Ciberamenaces busca generar coneixements al voltant de l’enemic amb la finalitat de reduir el risc que pot ocasionar sobre qualsevol institució. És una estratègia que en tot moment buscarà anteposar-se als atacs i contrarrestar-los analitzant la amenaça en el seu conjunt per detectar les dades clau que ajuden a identificar al autor de l'atac, el ciberdelinqüent <sup>[3]</sup>. La seva finalitat última és proporcionar la capacitat de percebre, reconèixer, raonar, aprendre i actuar de manera intel·ligent i oportuna sobre indicadors d'escenaris d’atac i atacs cibernètics avançats, dit d’una altra manera, prendre les accions defensives intel·ligents corresponents <sup>[4]</sup> <sup>[5]</sup>.
La Intel·ligència de Ciberamenaces busca generar coneixements al voltant de l’enemic amb la finalitat de reduir el risc que pot ocasionar sobre qualsevol institució. És una estratègia que en tot moment buscarà anteposar-se als atacs i contrarrestar-los analitzant la amenaça en el seu conjunt per detectar les dades clau que ajuden a identificar al autor de l'atac, el ciberdelinqüent <ref name=":2" />. La seva finalitat última és proporcionar la capacitat de percebre, reconèixer, raonar, aprendre i actuar de manera intel·ligent i oportuna sobre indicadors d'escenaris d’atac i atacs cibernètics avançats, dit d’una altra manera, prendre les accions defensives intel·ligents corresponents <ref name=":3" /> <ref name=":4">{{Ref-publicació|cognom=Shackleford|nom=D.|article=Who’s Using Cyberthreat Intelligence and How?|publicació=SANS Institute|url=https://cdn-cybersecurity.att.com/docs/SANS-Cyber-Threat-Intelligence-Survey-2015.pdf|data=2015}}</ref>.


Per a això, es basa en multiplicitat de fonts i tècniques com la [[intel·ligència artificial]]; la [[OSINT|intel·ligència de fonts obertes]]; la intel·ligència de xarxes socials; la intel·ligència humana; la intel·ligència tècnica; dades adquirides de manera forense; intel·ligència del tràfic d’Internet; arxius de registre de dispositius; i inclús la intel·ligència que prové de l’anàlisi de la [[Web profund|Deep web]] y la [[Web fosc|Dark web]] <sup>[1] [4]</sup>.
Per a això, es basa en multiplicitat de fonts i tècniques com la [[intel·ligència artificial]]; la [[OSINT|intel·ligència de fonts obertes]]; la intel·ligència de xarxes socials; la intel·ligència humana; la intel·ligència tècnica; dades adquirides de manera forense; intel·ligència del tràfic d’Internet; arxius de registre de dispositius; i inclús la intel·ligència que prové de l’anàlisi de la [[Web profund|Deep web]] y la [[Web fosc|Dark web]] <ref name=":0" /><ref name=":3" />.


== '''Procés - Cicle d’intel·ligència''' ==
== '''Procés - Cicle d’intel·ligència''' ==
El procés de desenvolupament de la Intel·ligència de Ciberamenaces és un procés circular i continu, conegut com el cicle d’intel·ligència, el qual es compren en cinc fases <sup>[3] [6] [7] [8]</sup>, realitzades per equips d’intel·ligència per proporcionar al lideratge la intel·ligència rellevant i convenient per reduir els riscos i la incertesa <sup>[7]</sup>.
El procés de desenvolupament de la Intel·ligència de Ciberamenaces és un procés circular i continu, conegut com el cicle d’intel·ligència, el qual es compren en cinc fases <ref name=":2" /> <ref name=":5">{{Ref-llibre|cognom=Phythian|nom=M.|títol=Understanding the Intelligence Cycle|url=https://www.defence.lk/upload/ebooks/Mark%20Phythian-Understanding%20the%20Intelligence%20Cycle-Routledge%20(2013).pdf|edició=1ª ed|llengua=anglès|data=2013|editorial=Routledge|pàgines=17-23|capítol=Beyond the Intelligence Cycle?}}</ref><ref name=":6">{{Ref-publicació|cognom=Kime|nom=B.|article=Threat Intelligence: Planning and Direction.|publicació=SANS Institute|url=https://www.sans.org/white-papers/36857/|data=2016}}</ref> <ref name=":7">{{Ref-llibre|cognom=Johansen|nom=G.|títol=Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats.|edició=2ª ed|llengua=anglès|data=2020|editorial=Packt Publishing Ltd}}</ref>, realitzades per equips d’intel·ligència per proporcionar al lideratge la intel·ligència rellevant i convenient per reduir els riscos i la incertesa <ref name=":6" />.


Les 5 fases són: 1) planificació i direcció; 2) recollida; 3) processament; 4) anàlisi; 5) disseminació <sup>[3] [6] [7] [8]</sup>.
Les 5 fases són: 1) planificació i direcció; 2) recollida; 3) processament; 4) anàlisi; 5) disseminació <ref name=":2" /><ref name=":5" /><ref name=":6" /><ref name=":7" />.


En la planificació i direcció, el consumidor/client del producte d’intel·ligència sol·licita intel·ligència sobre un tema o objectiu específic. Després, un cop dirigit pel client, comença la segona fase, la recollida, que implica l'accés a la informació sense processar, la qual es requerirà per produir el producte d’intel·ligència finalitzat. Donat que la informació no és intel·ligència, ha de ser transformada i per això ha de passar per les fases de processament i anàlisi: en el processament (o fase pre-analítica) la informació sense processar es filtra i prepara per l’anàlisi a través d’una sèrie de tècniques (desxifrat, traducció d’idiomes, reducció de dades, etc.); en la fase d’anàlisi la informació organitzada es transforma en intel·ligència. Finalment, la fase de disseminació, en la que la intel·ligència d’amenaces recent seleccionada s'envia als diferents usuaris per al seu ús <sup>[6] [8]</sup>.
En la planificació i direcció, el consumidor/client del producte d’intel·ligència sol·licita intel·ligència sobre un tema o objectiu específic. Després, un cop dirigit pel client, comença la segona fase, la recollida, que implica l'accés a la informació sense processar, la qual es requerirà per produir el producte d’intel·ligència finalitzat. Donat que la informació no és intel·ligència, ha de ser transformada i per això ha de passar per les fases de processament i anàlisi: en el processament (o fase pre-analítica) la informació sense processar es filtra i prepara per l’anàlisi a través d’una sèrie de tècniques (desxifrat, traducció d’idiomes, reducció de dades, etc.); en la fase d’anàlisi la informació organitzada es transforma en intel·ligència. Finalment, la fase de disseminació, en la que la intel·ligència d’amenaces recent seleccionada s'envia als diferents usuaris per al seu ús <ref name=":5" /><ref name=":7" />.


== Tipus ==
== Tipus ==
La Intel·ligència de Ciberamenaces s’ha desenvolupat en tres nivells generals: 1) tàctic; 2) operacional; 3) estratègic <sup>[2] [3] [8] [9] [10]</sup>. Aquestes classes són fonamentals per construir una avaluació integral d’amenaces <sup>[3]</sup>.
La Intel·ligència de Ciberamenaces s’ha desenvolupat en tres nivells generals: 1) tàctic; 2) operacional; 3) estratègic <ref name=":1" /><ref name=":2" /><ref name=":7" /><ref>{{Ref-publicació|cognom=Trifonov|nom=R.|publicació=Artificial Intelligence in Cyber Threats Intelligence.|url=https://doi.org/10.1109/ICONIC.2018.8601235|data=2018|pàgines=1-4|nom2=O.|cognom2=Nakov|nom3=V.|cognom3=Mladenov|llengua=anglès|editorial=IEEE|article=2018 international conference on intelligent and innovative computing applications (ICONIC).}}</ref><ref name=":8">{{Ref-web|títol=What is threat intelligence? Definition and explanation|url=https://www.kaspersky.com/resource-center/definitions/threat-intelligence|data=2022-04-18|consulta=2023-04-13|llengua=en}}</ref>. Aquestes classes són fonamentals per construir una avaluació integral d’amenaces <ref name=":2" />.


* Tàctic: es sol utilitzar per ajudar a identificar els actors d'amenaces. S'utilitzen indicadors de compromís (com [[Adreça IP|adreces IP]], [[Domini d'Internet|dominis d’Internet]] o [[Funció hash|hashes]]) y es comença a profunditzar en els anàlisis de tàctiques, tècniques i procediments (TTP) que empren els ciberdelinqüents. Els coneixements generats a nivell tàctic ajudaran als equips de seguretat a predir els pròxims atacs i identificar-los en les etapes més primerenques possibles <sup>[2] [3] [7] [8] [10]</sup>.
* Tàctic: es sol utilitzar per ajudar a identificar els actors d'amenaces. S'utilitzen indicadors de compromís (com [[Adreça IP|adreces IP]], [[Domini d'Internet|dominis d’Internet]] o [[Funció hash|hashes]]) y es comença a profunditzar en els anàlisis de tàctiques, tècniques i procediments (TTP) que empren els ciberdelinqüents. Els coneixements generats a nivell tàctic ajudaran als equips de seguretat a predir els pròxims atacs i identificar-los en les etapes més primerenques possibles <ref name=":1" /><ref name=":2" /><ref name=":6" /><ref name=":7" /><ref name=":8" />.


* Operacional: aquest és el nivell d’intel·ligència d’amenaces més tècnic. En aquest es comparteixen els detalls concrets i específics sobre atacs, motivació, capacitat dels actors d’amenaces i campanyes individuals. Els coneixements proporcionats per experts en intel·ligència d’amenaces en aquest nivell inclouen la naturalesa, la intenció i el moment de les amenaces emergents. Aquests tipus d’informació és més complexa d’obtenir i la majoria de vegades es recopila a través de fòrums web profunds i foscos als quals els equips interns no poden accedir. Els equips de seguretat i resposta a atacs són els que utilitzen aquests tipus d’intel·ligència operativa <sup>[2] [3] [8] [10]</sup>.
* Operacional: aquest és el nivell d’intel·ligència d’amenaces més tècnic. En aquest es comparteixen els detalls concrets i específics sobre atacs, motivació, capacitat dels actors d’amenaces i campanyes individuals. Els coneixements proporcionats per experts en intel·ligència d’amenaces en aquest nivell inclouen la naturalesa, la intenció i el moment de les amenaces emergents. Aquests tipus d’informació és més complexa d’obtenir i la majoria de vegades es recopila a través de fòrums web profunds i foscos als quals els equips interns no poden accedir. Els equips de seguretat i resposta a atacs són els que utilitzen aquests tipus d’intel·ligència operativa <ref name=":1" /><ref name=":2" /><ref name=":7" /><ref name=":8" />.


* Estratègic: sol adaptar-se a audiències no tècniques, és intel·ligència sobre riscos generals que s’associen amb les ciberamenaces. L’objectiu és entregar, en forma de documents tècnics i informes, un anàlisi detallat dels riscos actuals i futurs projectats per al negoci, així com les possibles conseqüències de les amenaces per ajudar als líders a prioritzar les seves respostes <sup>[2] [3] [8] [10]</sup>.
* Estratègic: sol adaptar-se a audiències no tècniques, és intel·ligència sobre riscos generals que s’associen amb les ciberamenaces. L’objectiu és entregar, en forma de documents tècnics i informes, un anàlisi detallat dels riscos actuals i futurs projectats per al negoci, així com les possibles conseqüències de les amenaces per ajudar als líders a prioritzar les seves respostes <ref name=":1" /><ref name=":2" /><ref name=":7" /><ref name=":8" />.


== '''Beneficis de la intel·ligència de ciberamenaces''' ==
== '''Beneficis de la intel·ligència de ciberamenaces''' ==
La Intel·ligència d’Amenaces Cibernètiques proporciona una sèrie de beneficis en els que es troben els següents:
La Intel·ligència d’Amenaces Cibernètiques proporciona una sèrie de beneficis en els que es troben els següents:


* Proporciona context i conclusions sobre els atacs actius i amenaces potencials per facilitar la presa de decisions <sup>[3]</sup>.
* Proporciona context i conclusions sobre els atacs actius i amenaces potencials per facilitar la presa de decisions <ref name=":2" />.
* Redueix els riscos ja que per a la presa de decisions es tenen dades útils <sup>[1]</sup>.
* Redueix els riscos ja que per a la presa de decisions es tenen dades útils <ref name=":0" />.
* Evita que les filtracions de dades alliberin informació confidencial, per tant evita la pèrdua de dades <sup>[10]</sup>.
* Evita que les filtracions de dades alliberin informació confidencial, per tant evita la pèrdua de dades <ref name=":8" />.
* Redueix els costos. Com les filtracions de dades són costoses, al reduir el risc de violacions de dades ajuda a estalviar diners <sup>[10]</sup>.
* Redueix els costos. Com les filtracions de dades són costoses, al reduir el risc de violacions de dades ajuda a estalviar diners <ref name=":8" />.
* Detecta patrons que utilitzen els [[Furoner|hackers]] <sup>[10]</sup>.
* Detecta patrons que utilitzen els [[Furoner|hackers]] <ref name=":8" />.
* Ajuda i proporciona instruccions a les institucions sobre com implementar mesures de seguretat per protegir-se contra futurs atacs <sup>[10]</sup>.
* Ajuda i proporciona instruccions a les institucions sobre com implementar mesures de seguretat per protegir-se contra futurs atacs <ref name=":8" />.
* Ajuda a les institucions a comprendre els riscos cibernètics i que passos es necessiten per mitigar-los <sup>[10]</sup>.
* Ajuda a les institucions a comprendre els riscos cibernètics i que passos es necessiten per mitigar-los <ref name=":8" />.
* Informa als demés a través dels experts en aquest camp donat que aquests comparteixen les tàctiques que han observat amb altres en la seva comunitat per crear una base de coneixement col·lectiva per combatre els delictes cibernètics <sup>[10]</sup>.
* Informa als demés a través dels experts en aquest camp donat que aquests comparteixen les tàctiques que han observat amb altres en la seva comunitat per crear una base de coneixement col·lectiva per combatre els delictes cibernètics <ref name=":8" />.
* Proporciona valor afegit a la informació, fet que redueix la incertesa del consumidor i el temps que es triga en identificar les amenaces i oportunitats <sup>[3]</sup>.
* Proporciona valor afegit a la informació, fet que redueix la incertesa del consumidor i el temps que es triga en identificar les amenaces i oportunitats <ref name=":2" />.
* Ajuda a identificar més fàcilment els mecanismes d’entrega, els indicadors de compromís en tota la infraestructura i els possibles actors i motivadors específics <sup>[5]</sup>.
* Ajuda a identificar més fàcilment els mecanismes d’entrega, els indicadors de compromís en tota la infraestructura i els possibles actors i motivadors específics <ref name=":4" />.
* Ajuda en la detecció d’atacs durant i abans d’aquestes etapes <sup>[5]</sup>.
* Ajuda en la detecció d’atacs durant i abans d’aquestes etapes <ref name=":4" />.
* Proporciona indicadors de les accions realitzades durant cada etapa de l’atac <sup>[5]</sup>.
* Proporciona indicadors de les accions realitzades durant cada etapa de l’atac <ref name=":4" />.


== '''Elements clau''' ==
== '''Elements clau''' ==
Hi ha tres elements clau que deuen estar presents per a que la informació o les dades es considerin intel·ligència d’amenaces <sup>[8]</sup>:
Hi ha tres elements clau que deuen estar presents per a que la informació o les dades es considerin intel·ligència d’amenaces <ref name=":7" />:


* Basat en l'evidència: per a que qualsevol producte d’intel·ligència sigui útil, primer s’ha d’obtenir a través de mètodes adequats de recollida d’evidència. S’ha de tenir en compte que a través d’altres processos (com l’anàlisi de malware) es pot produir intel·ligència d’amenaces.
* Basat en l'evidència: per a que qualsevol producte d’intel·ligència sigui útil, primer s’ha d’obtenir a través de mètodes adequats de recollida d’evidència. S’ha de tenir en compte que a través d’altres processos (com l’anàlisi de malware) es pot produir intel·ligència d’amenaces.
Línia 49: Línia 49:


== '''Situació actual''' ==
== '''Situació actual''' ==
Els ciberatacs han augmentat notòriament tant en freqüència com en sofisticació, i han presentat grans reptes per a les institucions que han de defensar els seus sistemes i dades d'aquests actors. Els actors d'amenaces poden ser persistents, motivats i àgils, i utilitzen una varietat de TTPs per aconseguir els seus objectius. Donats els riscos que presenten aquestes amenaces, cada cop és més important que les institucions comparteixin informació sobre les amenaces cibernètiques i la utilitzin per millorar la seva postura de seguretat <sup>[11]</sup>.
Els ciberatacs han augmentat notòriament tant en freqüència com en sofisticació, i han presentat grans reptes per a les institucions que han de defensar els seus sistemes i dades d'aquests actors. Els actors d'amenaces poden ser persistents, motivats i àgils, i utilitzen una varietat de TTPs per aconseguir els seus objectius. Donats els riscos que presenten aquestes amenaces, cada cop és més important que les institucions comparteixin informació sobre les amenaces cibernètiques i la utilitzin per millorar la seva postura de seguretat <ref>{{Ref-publicació|cognom=Johnson|nom=C.|publicació=Guide to Cyber Threat Information Sharing (NIST SP - 800-150)|url=https://doi.org/10.6028/NIST.SP.800-150|data=2016|nom2=M.|cognom2=Badger|nom3=D.|cognom3=Waltermire|nom4=J.|cognom4=Snyder|nom5=C.|cognom5=Skorupka|editorial=National Institute of Standards and Technology}}</ref>.


Per això, en els darrers anys, la intel·ligència d'amenaces s'ha convertit en element crucial en les estratègies de ciberseguretat de les empreses ja que permet a les companyies ser més proactives en el seu enfocament i determinar quines amenaces representen els riscos més grans per al negoci. Això fa que les empreses siguin més actives en la detecció de vulnerabilitats i prevenció d'atacs <sup>[12]</sup>.
Per això, en els darrers anys, la intel·ligència d'amenaces s'ha convertit en element crucial en les estratègies de ciberseguretat de les empreses ja que permet a les companyies ser més proactives en el seu enfocament i determinar quines amenaces representen els riscos més grans per al negoci. Això fa que les empreses siguin més actives en la detecció de vulnerabilitats i prevenció d'atacs <ref>{{Ref-web|títol=Managed threat intelligence|url=https://www.cyberproof.com/cyber-101/managed-threat-intelligence/|consulta=2023-04-13|llengua=en-US|nom=CyberProof Inc.}}</ref>.


A causa de la [[pandèmia de COVID-19]] i del [[teletreball]] que va produir, les vulnerabilitats davant de les ciberamenaces han augmentat considerablement, fet que ha deixat exposades les dades de les persones físiques i jurídiques sense seguretat <sup>[13]</sup>. Per això, i a causa de l'augment de les amenaces cibernètiques i les necessitats de sofisticació de la intel·ligència d'amenaces, les empreses han optat per subcontractar les activitats d'intel·ligència d'amenaces a un proveïdor de serveis de seguretat administrada (MSSP) <sup>[14]</sup>.
A causa de la [[pandèmia de COVID-19]] i del [[teletreball]] que va produir, les vulnerabilitats davant de les ciberamenaces han augmentat considerablement, fet que ha deixat exposades les dades de les persones físiques i jurídiques sense seguretat <ref>{{Ref-web|url=https://www.interpol.int/es/Noticias-y-acontecimientos/Noticias/2020/Un-informe-de-INTERPOL-muestra-un-aumento-alarmante-de-los-ciberataques-durante-la-epidemia-de-COVID-19|títol=Un informe de INTERPOL muestra un aumento alarmante de los ciberataques durante la epidemia de COVID-19.|data=4 d'agost de 2020|nom=INTERPOL}}</ref>. Per això, i a causa de l'augment de les amenaces cibernètiques i les necessitats de sofisticació de la intel·ligència d'amenaces, les empreses han optat per subcontractar les activitats d'intel·ligència d'amenaces a un proveïdor de serveis de seguretat administrada (MSSP) <ref>{{Ref-web|url=https://www.checkpoint.com/cyber-hub/network-security/what-is-a-managed-security-service-provider/|títol=What is a Managed Security Service Provider (MSSP)?|nom=Check Point Company}}</ref>.


== '''Veure també''' ==
== '''Veure també''' ==
Línia 61: Línia 61:
* [[Ransomware]]
* [[Ransomware]]


== Referències ==
== '''Referències''' ==
{{listaref}}

Revisió del 15:45, 13 abr 2023

La Intel·ligència de Ciberamenaces (en anglès: Cyber Threat Intelligence, CTI), també coneguda com Intel·ligència d’Amenaces Cibernètiques, és l’activitat de recopilar informació basada en coneixements, habilitats i experiències sobre la ocurrència i avaluació d’amenaces cibernètiques i físiques, així com en els actors d’amenaces que tenen la intenció i l'objectiu d’ajudar a mitigar els possibles atacs i esdeveniments perjudicials que ocorren en el ciberespai [1] [2].

Aquest concepte va sorgir per combatre la gran varietat d’amenaces que s’estan produint així com per ajudar als professionals de la seguretat a reconèixer els indicadors dels ciberatacs, extreure informació sobre els mètodes dels atacs, i en conseqüència, respondre als mateixos de manera idònia i precisa [3] [4].

La Intel·ligència de Ciberamenaces busca generar coneixements al voltant de l’enemic amb la finalitat de reduir el risc que pot ocasionar sobre qualsevol institució. És una estratègia que en tot moment buscarà anteposar-se als atacs i contrarrestar-los analitzant la amenaça en el seu conjunt per detectar les dades clau que ajuden a identificar al autor de l'atac, el ciberdelinqüent [3]. La seva finalitat última és proporcionar la capacitat de percebre, reconèixer, raonar, aprendre i actuar de manera intel·ligent i oportuna sobre indicadors d'escenaris d’atac i atacs cibernètics avançats, dit d’una altra manera, prendre les accions defensives intel·ligents corresponents [4] [5].

Per a això, es basa en multiplicitat de fonts i tècniques com la intel·ligència artificial; la intel·ligència de fonts obertes; la intel·ligència de xarxes socials; la intel·ligència humana; la intel·ligència tècnica; dades adquirides de manera forense; intel·ligència del tràfic d’Internet; arxius de registre de dispositius; i inclús la intel·ligència que prové de l’anàlisi de la Deep web y la Dark web [1][4].

Procés - Cicle d’intel·ligència

El procés de desenvolupament de la Intel·ligència de Ciberamenaces és un procés circular i continu, conegut com el cicle d’intel·ligència, el qual es compren en cinc fases [3] [6][7] [8], realitzades per equips d’intel·ligència per proporcionar al lideratge la intel·ligència rellevant i convenient per reduir els riscos i la incertesa [7].

Les 5 fases són: 1) planificació i direcció; 2) recollida; 3) processament; 4) anàlisi; 5) disseminació [3][6][7][8].

En la planificació i direcció, el consumidor/client del producte d’intel·ligència sol·licita intel·ligència sobre un tema o objectiu específic. Després, un cop dirigit pel client, comença la segona fase, la recollida, que implica l'accés a la informació sense processar, la qual es requerirà per produir el producte d’intel·ligència finalitzat. Donat que la informació no és intel·ligència, ha de ser transformada i per això ha de passar per les fases de processament i anàlisi: en el processament (o fase pre-analítica) la informació sense processar es filtra i prepara per l’anàlisi a través d’una sèrie de tècniques (desxifrat, traducció d’idiomes, reducció de dades, etc.); en la fase d’anàlisi la informació organitzada es transforma en intel·ligència. Finalment, la fase de disseminació, en la que la intel·ligència d’amenaces recent seleccionada s'envia als diferents usuaris per al seu ús [6][8].

Tipus

La Intel·ligència de Ciberamenaces s’ha desenvolupat en tres nivells generals: 1) tàctic; 2) operacional; 3) estratègic [2][3][8][9][10]. Aquestes classes són fonamentals per construir una avaluació integral d’amenaces [3].

  • Tàctic: es sol utilitzar per ajudar a identificar els actors d'amenaces. S'utilitzen indicadors de compromís (com adreces IP, dominis d’Internet o hashes) y es comença a profunditzar en els anàlisis de tàctiques, tècniques i procediments (TTP) que empren els ciberdelinqüents. Els coneixements generats a nivell tàctic ajudaran als equips de seguretat a predir els pròxims atacs i identificar-los en les etapes més primerenques possibles [2][3][7][8][10].
  • Operacional: aquest és el nivell d’intel·ligència d’amenaces més tècnic. En aquest es comparteixen els detalls concrets i específics sobre atacs, motivació, capacitat dels actors d’amenaces i campanyes individuals. Els coneixements proporcionats per experts en intel·ligència d’amenaces en aquest nivell inclouen la naturalesa, la intenció i el moment de les amenaces emergents. Aquests tipus d’informació és més complexa d’obtenir i la majoria de vegades es recopila a través de fòrums web profunds i foscos als quals els equips interns no poden accedir. Els equips de seguretat i resposta a atacs són els que utilitzen aquests tipus d’intel·ligència operativa [2][3][8][10].
  • Estratègic: sol adaptar-se a audiències no tècniques, és intel·ligència sobre riscos generals que s’associen amb les ciberamenaces. L’objectiu és entregar, en forma de documents tècnics i informes, un anàlisi detallat dels riscos actuals i futurs projectats per al negoci, així com les possibles conseqüències de les amenaces per ajudar als líders a prioritzar les seves respostes [2][3][8][10].

Beneficis de la intel·ligència de ciberamenaces

La Intel·ligència d’Amenaces Cibernètiques proporciona una sèrie de beneficis en els que es troben els següents:

  • Proporciona context i conclusions sobre els atacs actius i amenaces potencials per facilitar la presa de decisions [3].
  • Redueix els riscos ja que per a la presa de decisions es tenen dades útils [1].
  • Evita que les filtracions de dades alliberin informació confidencial, per tant evita la pèrdua de dades [10].
  • Redueix els costos. Com les filtracions de dades són costoses, al reduir el risc de violacions de dades ajuda a estalviar diners [10].
  • Detecta patrons que utilitzen els hackers [10].
  • Ajuda i proporciona instruccions a les institucions sobre com implementar mesures de seguretat per protegir-se contra futurs atacs [10].
  • Ajuda a les institucions a comprendre els riscos cibernètics i que passos es necessiten per mitigar-los [10].
  • Informa als demés a través dels experts en aquest camp donat que aquests comparteixen les tàctiques que han observat amb altres en la seva comunitat per crear una base de coneixement col·lectiva per combatre els delictes cibernètics [10].
  • Proporciona valor afegit a la informació, fet que redueix la incertesa del consumidor i el temps que es triga en identificar les amenaces i oportunitats [3].
  • Ajuda a identificar més fàcilment els mecanismes d’entrega, els indicadors de compromís en tota la infraestructura i els possibles actors i motivadors específics [5].
  • Ajuda en la detecció d’atacs durant i abans d’aquestes etapes [5].
  • Proporciona indicadors de les accions realitzades durant cada etapa de l’atac [5].

Elements clau

Hi ha tres elements clau que deuen estar presents per a que la informació o les dades es considerin intel·ligència d’amenaces [8]:

  • Basat en l'evidència: per a que qualsevol producte d’intel·ligència sigui útil, primer s’ha d’obtenir a través de mètodes adequats de recollida d’evidència. S’ha de tenir en compte que a través d’altres processos (com l’anàlisi de malware) es pot produir intel·ligència d’amenaces.
  • Utilitat: per a que la intel·ligència d’amenaces tingui un impacte positiu en el resultat d’un esdeveniment de seguretat, ha de tenir alguna utilitat. La intel·ligència ha de proporcionar claredat, en termes de context i dades, sobre comportaments i mètodes específics.
  • Accionable: l’acció és l’element clau que separa la informació o les dades de la intel·ligència d’amenaces. La intel·ligència ha d’impulsar l’acció.

Situació actual

Els ciberatacs han augmentat notòriament tant en freqüència com en sofisticació, i han presentat grans reptes per a les institucions que han de defensar els seus sistemes i dades d'aquests actors. Els actors d'amenaces poden ser persistents, motivats i àgils, i utilitzen una varietat de TTPs per aconseguir els seus objectius. Donats els riscos que presenten aquestes amenaces, cada cop és més important que les institucions comparteixin informació sobre les amenaces cibernètiques i la utilitzin per millorar la seva postura de seguretat [11].

Per això, en els darrers anys, la intel·ligència d'amenaces s'ha convertit en element crucial en les estratègies de ciberseguretat de les empreses ja que permet a les companyies ser més proactives en el seu enfocament i determinar quines amenaces representen els riscos més grans per al negoci. Això fa que les empreses siguin més actives en la detecció de vulnerabilitats i prevenció d'atacs [12].

A causa de la pandèmia de COVID-19 i del teletreball que va produir, les vulnerabilitats davant de les ciberamenaces han augmentat considerablement, fet que ha deixat exposades les dades de les persones físiques i jurídiques sense seguretat [13]. Per això, i a causa de l'augment de les amenaces cibernètiques i les necessitats de sofisticació de la intel·ligència d'amenaces, les empreses han optat per subcontractar les activitats d'intel·ligència d'amenaces a un proveïdor de serveis de seguretat administrada (MSSP) [14].

Veure també

Referències

  1. 1,0 1,1 1,2 Oudot, Laurent. «¿Qué significa CTI (Cyber Threat Intelligence)?» (en espanyol europeu), 01-06-2022. [Consulta: 13 abril 2023].
  2. 2,0 2,1 2,2 2,3 2,4 Bank of England. (2016). CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence Operations. https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operations.pdf
  3. 3,00 3,01 3,02 3,03 3,04 3,05 3,06 3,07 3,08 3,09 3,10 «¿Para qué sirve y cómo se usa la Cyber Threat Intelligence?» (en castellà). [Consulta: 13 abril 2023].
  4. 4,0 4,1 4,2 Conti, M.; Dehghantanha, A. «Cyber Threat Intelligence: Challenges and Opportunities.». A: A. Dehghantanha, M. Conti y T. Dargahi. Cyber threat intelligence (en anglès). Springer Cham, 2018, p. 1-6. 
  5. 5,0 5,1 5,2 5,3 Shackleford, D. «Who’s Using Cyberthreat Intelligence and How?». SANS Institute, 2015.
  6. 6,0 6,1 6,2 Phythian, M. «Beyond the Intelligence Cycle?». A: Understanding the Intelligence Cycle (en anglès). 1ª ed. Routledge, 2013, p. 17-23. 
  7. 7,0 7,1 7,2 7,3 Kime, B. «Threat Intelligence: Planning and Direction.». SANS Institute, 2016.
  8. 8,0 8,1 8,2 8,3 8,4 8,5 8,6 8,7 Johansen, G. Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats. (en anglès). 2ª ed. Packt Publishing Ltd, 2020. 
  9. Trifonov, R.; Nakov, O.; Mladenov, V. «2018 international conference on intelligent and innovative computing applications (ICONIC).» (en anglès). Artificial Intelligence in Cyber Threats Intelligence.. IEEE, 2018, pàg. 1-4.
  10. 10,00 10,01 10,02 10,03 10,04 10,05 10,06 10,07 10,08 10,09 «What is threat intelligence? Definition and explanation» (en anglès), 18-04-2022. [Consulta: 13 abril 2023].
  11. Johnson, C.; Badger, M.; Waltermire, D.; Snyder, J.; Skorupka, C. Guide to Cyber Threat Information Sharing (NIST SP - 800-150). National Institute of Standards and Technology, 2016.
  12. «Managed threat intelligence» (en anglès americà). [Consulta: 13 abril 2023].
  13. «Un informe de INTERPOL muestra un aumento alarmante de los ciberataques durante la epidemia de COVID-19.», 04-08-2020.
  14. «What is a Managed Security Service Provider (MSSP)?».
Obtingut de «https://ca.wikipedia.org/w/index.php?title=Intel·ligència_de_ciberamenaces&oldid=31547131»