El volumen de vulnerabilidades de ciberseguridad est\u00e1 aumentando, y cerca de 30% m\u00e1s de vulnerabilidades encontradas en 2022 vs. 2018<\/a>. Los costos tambi\u00e9n est\u00e1n aumentando, y una filtraci\u00f3n de datos en 2023 costar\u00e1 4,45 millones de d\u00f3lares de media frente a 3,62 millones de d\u00f3lares en 2017<\/a>.<\/p>\n En el segundo trimestre de 2023, se reclamaron un total de 1386 v\u00edctimas <\/a>por ataques de ransomware en comparaci\u00f3n con solo 831 en el primer trimestre de 2023. El ataque MOVEit se ha cobrado m\u00e1s de 600 v\u00edctimas<\/a> hasta ahora y ese n\u00famero sigue aumentando.<\/p>\n Para las personas que trabajan hoy en d\u00eda en ciberseguridad, el valor de la inteligencia automatizada sobre amenazas probablemente sea bastante obvio. Los crecientes n\u00fameros especificados anteriormente, combinados con la falta de profesionales de ciberseguridad disponibles<\/a>e, significa que la automatizaci\u00f3n es una soluci\u00f3n clara. Cuando las operaciones de inteligencia de amenazas se pueden automatizar, las amenazas se pueden identificar y responder con menos esfuerzo por parte de los ingenieros.<\/p>\n Sin embargo, un error que a veces cometen las organizaciones es asumir que una vez que han automatizado los flujos de trabajo de inteligencia sobre amenazas, los humanos quedan fuera de escena. Combinan la automatizaci\u00f3n con inteligencia sobre amenazas completamente sin intervenci\u00f3n humana y sin intervenci\u00f3n humana.<\/p>\n En realidad, los humanos tienen papeles muy importantes que desempe\u00f1ar, incluso (o quiz\u00e1s especialmente) en operaciones altamente automatizadas. Como dice Pascal Bornet de Aera Technology: “La automatizaci\u00f3n inteligente tiene que ver con las personas.<\/a>,” y la inteligencia automatizada sobre amenazas no es una excepci\u00f3n.<\/p>\n Inteligencia de amenazas<\/a> no siempre estuvo automatizado. Fue un proceso reactivo. Cuando surg\u00eda un problema, el equipo del Centro de Operaciones de Seguridad (SOC) (o, en determinadas industrias, un equipo antifraude dedicado a recopilar informaci\u00f3n sobre los riesgos) lo investigaba manualmente. Buscaron en la web oscura m\u00e1s informaci\u00f3n sobre las amenazas, tratando de descubrir qu\u00e9 amenazas eran relevantes y c\u00f3mo los actores de amenazas planeaban actuar.<\/p>\n A partir de ah\u00ed, las operaciones de inteligencia sobre amenazas se volvieron poco a poco m\u00e1s proactivas. Los analistas e investigadores de amenazas se esforzaron por identificar los problemas antes de que afectaran a sus organizaciones. Esto condujo a la inteligencia predictiva de amenazas, que permiti\u00f3 a los equipos identificar las amenazas antes de que los actores de amenazas estuvieran indecisos, tratando de entrar.<\/p>\n Sin embargo, la inteligencia proactiva sobre amenazas no era inteligencia sobre amenazas automatizada. Los flujos de trabajo eran muy manuales. Los investigadores buscaron a mano a los actores de amenazas, encontraron los foros donde pasaban el rato y charlaron con ellos. Ese enfoque no tuvo \u00e9xito porque requerir\u00eda un ej\u00e9rcito de investigadores para encontrar e involucrar a todos los actores de amenazas en la web.<\/p>\n Para abordar esa deficiencia, surgi\u00f3 la inteligencia automatizada sobre amenazas. Las primeras formas de automatizaci\u00f3n implicaban rastrear la web oscura autom\u00e1ticamente, lo que hac\u00eda posible encontrar problemas m\u00e1s r\u00e1pido con mucho menos esfuerzo por parte de los investigadores. Luego, las automatizaciones de inteligencia de amenazas fueron m\u00e1s profundas y obtuvieron la capacidad de rastrear foros cerrados, como grupos de Telegram y canales de Discord, y otros lugares donde se re\u00fanen los actores de amenazas, como los mercados. Esto signific\u00f3 que la inteligencia automatizada sobre amenazas podr\u00eda extraer informaci\u00f3n de la web abierta, la web oscura y la web profunda (incluidos los canales sociales), haciendo que todo el proceso sea m\u00e1s r\u00e1pido, escalable y efectivo.<\/p>\n La inteligencia de amenazas automatizada ayud\u00f3 a los equipos a operar de manera m\u00e1s eficiente, pero present\u00f3 un desaf\u00edo novedoso: c\u00f3mo administrar y dar sentido a todos los datos que produjeron los procesos automatizados de inteligencia de amenazas.<\/p>\n Este es un desaf\u00edo que surge cada vez que se recopilan grandes cantidades de informaci\u00f3n. “M\u00e1s datos, m\u00e1s problemas<\/a>,” como cableado<\/em> lo pone.<\/p>\n El principal problema que enfrentan los equipos cuando trabajan con grandes cantidades de datos de inteligencia sobre amenazas es que no todos son realmente relevantes para una organizaci\u00f3n determinada. Gran parte de esto involucra amenazas que no afectan un negocio en particular, o simplemente “ruido”; por ejemplo, una discusi\u00f3n de un actor de amenazas sobre su serie de anime favorita o qu\u00e9 tipo de m\u00fasica escuchan mientras escriben vulnerabilidades.<\/p>\n La soluci\u00f3n a este desaf\u00edo es introducir una capa adicional de automatizaci\u00f3n mediante la aplicaci\u00f3n de procesos de aprendizaje autom\u00e1tico a los datos de inteligencia sobre amenazas. En general, el aprendizaje autom\u00e1tico (ML) hace que sea mucho m\u00e1s f\u00e1cil analizar grandes cantidades de datos y encontrar informaci\u00f3n relevante. En particular, ML permite estructurar y etiquetar datos de inteligencia sobre amenazas y luego encontrar la informaci\u00f3n que sea relevante para su negocio.<\/p>\n Por ejemplo, una de las t\u00e9cnicas que Ciberint<\/a> Lo que utilizamos para procesar datos de inteligencia de amenazas es correlacionar los activos digitales de un cliente (como dominios, direcciones IP, marcas y logotipos) con nuestro lago de datos de inteligencia de amenazas para identificar riesgos relevantes. Si un registro de malware contiene “examplecustomerdomain.com”, por ejemplo, lo marcaremos y alertaremos al cliente. En los casos en que este dominio aparezca en el campo de nombre de usuario, es probable que las credenciales de un empleado se hayan visto comprometidas. Si el nombre de usuario es una cuenta de correo electr\u00f3nico personal (por ejemplo, Gmail) pero la p\u00e1gina de inicio de sesi\u00f3n est\u00e1 en el dominio de la organizaci\u00f3n, podemos asumir que se trata de un cliente al que le han robado sus credenciales. El \u00faltimo caso es una amenaza menor, pero Cyberint alerta a los clientes sobre ambos riesgos.<\/p>\n En un mundo donde hemos automatizado completamente la recopilaci\u00f3n de datos de inteligencia sobre amenazas y, adem\u00e1s, hemos automatizado el an\u00e1lisis de los datos, \u00bfpueden los humanos desaparecer por completo del proceso de inteligencia sobre amenazas?<\/p>\n La respuesta es un rotundo no. La inteligencia sobre amenazas eficaz sigue dependiendo en gran medida de los humanos, por varias razones.<\/p>\n Para empezar, los humanos tienen que desarrollar programas que impulsen la inteligencia automatizada sobre amenazas. Necesitan configurar estas herramientas, mejorar y optimizar su rendimiento y agregar nuevas funciones para superar nuevos obst\u00e1culos, como los captchas. Los seres humanos tambi\u00e9n deben indicar a las herramientas de recopilaci\u00f3n automatizadas d\u00f3nde buscar datos, qu\u00e9 recopilar, d\u00f3nde almacenarlos, etc. <\/p>\n Adem\u00e1s, los humanos deben dise\u00f1ar y entrenar los algoritmos que analizan los datos una vez completada la recopilaci\u00f3n. Deben garantizar que las herramientas de inteligencia de amenazas identifiquen todas las amenazas relevantes, pero sin realizar b\u00fasquedas tan amplias que muestren informaci\u00f3n irrelevante y produzcan una avalancha de alertas de falsos positivos.<\/p>\n En resumen, las automatizaciones de inteligencia sobre amenazas no se crean ni configuran por s\u00ed solas. Se necesitan humanos capacitados para hacer ese trabajo.<\/p>\n En muchos casos, las automatizaciones que los humanos construyen inicialmente resultan no ser ideales, debido a factores que los ingenieros no pudieron predecir inicialmente. Cuando eso sucede, los humanos deben intervenir y mejorar las automatizaciones para poder conducir. inteligencia de amenazas procesable<\/a>.<\/p>\n Por ejemplo, imagine que su software genera alertas sobre la venta de credenciales de su organizaci\u00f3n en la web oscura. Pero tras una investigaci\u00f3n m\u00e1s detallada, resulta que son credenciales falsas, no credenciales que los actores de amenazas hayan robado, por lo que no existe ning\u00fan riesgo real para su organizaci\u00f3n. En este caso, las reglas de automatizaci\u00f3n de inteligencia de amenazas deber\u00edan actualizarse para validar las credenciales, tal vez cotejando el nombre de usuario con un sistema IAM interno o un registro de empleados, antes de emitir la alerta.<\/p>\n Las amenazas siempre est\u00e1n evolucionando y los humanos deben asegurarse de que las herramientas estrat\u00e9gicas de inteligencia sobre amenazas evolucionen con ellas. Deben realizar la investigaci\u00f3n necesaria para identificar las ubicaciones digitales de las nuevas comunidades de actores de amenazas, as\u00ed como nuevas estrategias de ataque, y luego utilizar herramientas de recopilaci\u00f3n de inteligencia para mantenerse al d\u00eda con el panorama de amenazas en evoluci\u00f3n.<\/p>\n Por ejemplo, cuando los actores de amenazas comenzaron usando ChatGPT para generar malware<\/a>, las herramientas de inteligencia de amenazas necesitaban adaptarse para reconocer la nueva amenaza. Cuando Foros expuestos <\/a>Surgi\u00f3, los investigadores humanos detectaron el nuevo foro y actualizaron sus herramientas para recopilar inteligencia de esta nueva fuente. Del mismo modo, el cambio a Telegram por parte de los actores de amenazas requiri\u00f3 que las herramientas de inteligencia de amenazas se reconfiguraran para rastrear canales adicionales.<\/p>\n A menudo, las automatizaciones deben validarse para garantizar que est\u00e9n creando la informaci\u00f3n m\u00e1s relevante. Las grandes organizaciones reciben toneladas de alertas y el filtrado autom\u00e1tico de ellas solo llega hasta cierto punto. A veces, se necesita un analista humano para entrar y evaluar una amenaza.<\/p>\n Por ejemplo, tal vez las herramientas automatizadas de inteligencia sobre amenazas hayan identificado un posible sitio de phishing que puede estar haci\u00e9ndose pasar por la marca monitoreada. Quiz\u00e1s el nombre de la marca est\u00e9 en una URL particular, ya sea en un subdominio, el dominio principal o un subdirectorio. Podr\u00eda ser un sitio de phishing, pero tambi\u00e9n podr\u00eda ser un “sitio web de fans”, es decir, un sitio creado por alguien que rinde homenaje a la marca (por ejemplo, escribiendo cr\u00edticas positivas, describiendo experiencias favorables con su marca y sus productos, etc.). Para notar la diferencia, se requiere que un analista investigue la alerta. <\/p>\n Descarga nuestra gu\u00eda: El gran libro de la Web profunda y oscura<\/a><\/p>\n La automatizaci\u00f3n es una excelente manera de recopilar datos de inteligencia sobre amenazas en las webs abiertas, profundas y oscuras. La automatizaci\u00f3n se puede utilizar (en forma de aprendizaje autom\u00e1tico) para ayudar a analizar la informaci\u00f3n de inteligencia sobre amenazas de manera eficiente.<\/p>\n Pero los algoritmos de automatizaci\u00f3n deben ser escritos, mantenidos y optimizados por humanos de forma continua. Tambi\u00e9n se necesitan humanos para clasificar alertas, descartar falsos positivos e investigar amenazas potenciales. Incluso con el de hoy soluciones avanzadas de IA<\/a>, es dif\u00edcil imaginar un mundo donde estas tareas puedan automatizarse completamente de tal manera que no se requiera interacci\u00f3n humana. Esto puede ser posible en el mundo de la ciencia ficci\u00f3n, pero ciertamente no es una realidad que veremos hacerse realidad en un futuro pr\u00f3ximo.<\/p>\n Las capacidades de escaneo de la web profunda y oscura de Cyberint ayudan a identificar riesgos relevantes para las organizaciones, desde fugas de datos y credenciales expuestas hasta infecciones de malware y conversaciones dirigidas en foros de actores de amenazas. Cyberint ofrece alertas de inteligencia impactantes, lo que ahorra tiempo a los equipos al reducir la tasa de falsos positivos y acelerar los procesos de investigaci\u00f3n y respuesta. <\/p>\n Compru\u00e9belo usted mismo por solicitando una demostraci\u00f3n de Cyberint<\/a>.<\/p>\nInteligencia de amenazas automatizada: una breve historia<\/h2>\n
Resolviendo el desaf\u00edo de los datos de inteligencia de amenazas<\/h2>\n
El papel de los humanos en la inteligencia de amenazas personalizada<\/h2>\n
Configuraci\u00f3n de automatizaci\u00f3n<\/h3>\n
Optimizaci\u00f3n de automatizaciones<\/h3>\n
Seguimiento de la evoluci\u00f3n de la automatizaci\u00f3n de amenazas<\/h3>\n
Validar automatizaciones<\/h3>\n
Los beneficios y limitaciones de la inteligencia automatizada sobre amenazas<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/La-interdependencia-entre-la-recopilacion-automatizada-de-inteligencia-sobre-amenazas.gif\")