Ir al contenido principal

Cyber Threat Intel (CTI)

Actualizado hace más de 2 meses

La Cyber Threat Intel (CTI) es una herramienta avanzada de inteligencia cibernética diseñada para capacitar a equipos de seguridad cibernética y proveedores de servicios gestionados (MSSPs) a enfrentar desafíos en constante evolución en un panorama de amenazas en constante cambio.

Este artículo destaca cómo Cyber Threat Intel (CTI) beneficia tanto a los equipos de seguridad cibernética como a los MSSPs, ofreciendo una visión integral de sus características y valor agregado.

¿Qué hace la Cyber Threat Intel (CTI)?

  • Inteligencia de Amenazas Curada: Agrega, sintetiza y filtra información de cientos de fuentes confiables, asegurando datos creíbles, relevantes y accionables.

  • Monitoreo Personalizado de Amenazas en Tiempo Real: Reciba alertas instantáneas sobre vulnerabilidades, exploits y ataques emergentes adaptados a la infraestructura tecnológica de su organización.

  • Análisis Automatizado de Amenazas: Utiliza inteligencia artificial y aprendizaje automático para priorizar alertas y proporcionar un contexto profundo y estrategias de mitigación.

¿Cómo funciona La Cyber Threat Intel (CTI)?

La Cyber Threat Intel (CTI) comprueba diariamente cientos de fuentes públicas de ciberinteligencia para analizar cada ataque, amenaza y vulnerabilidad y generar insights en tiempo real.

A continuación, Cyber Threat Intel (CTI) filtra la información relevante para el perímetro y las áreas de interés de su empresa, enviando alertas inmediatos. De esta manera, lo mantenemos informado para que pueda actuar proactivamente y garantizar la seguridad continua de su empresa.

¿Cómo configurar tu Workspace?

1. Agrega activos a su monitoreo

Es bastante fácil, compruébelo. Si desea agregar tecnologías para recibir insights sobre amenazas:

  • Vaya a Activos monitoreados, haga clic en Agregar activo y luego seleccione Tecnologías.

  • Escriba los nombres de los activos que sean relevantes para usted, separados por comas.

  • Luego, haz clic en " agregar todo " y ¡listo!

image.png

También puedes copiar una lista de activos creada previamente (en un archivo CSV, por ejemplo), recuerde que los temas siempre deben estar separados por comas, ¿vale?

Las palabras separadas por espacios se considerarán un solo término compuesto.

A continuación se muestran algunos ejemplos de tecnologías que puede agregar para monitorear:

  • Sistemas operativos : Windows, Windows 11, Windows Server 2022, macOS, macOS Big Sur, Linux, Ubuntu, Red Hat Enterprise, FreeBSD, Android

  • Navegadores : Edge, Chrome, Firefox, Safari

  • Aplicaciones empresariales : Microsoft Office, Microsoft 365, Google Workspace, Adobe Acrobat, SAP, Oracle, Teams, Slack, Zoom, PowerBI

  • Socios clave : Google, Microsoft, Meta, Apple, IBM, Salesforce, Deloitte, Cloudflare

  • Infraestructura de red : Cisco, Juniper, Fortinet, F5, Palo Alto

  • Bases de datos : Base de datos Oracle, Microsoft SQL, MySQL, PostgreSQL, MongoDB, Elasticsearch

  • Nube : AWS, Azure, GCP

  • Contenedores : Docker, Kubernetes

  • Otros : iPad, iPhone, Apache, ChatGPT, Github

Si desea realizar un seguimiento de sus activos externos y agregar hosts (dominios o subdominios) para descubrir puertos abiertos, servicios en ejecución y posibles vulnerabilidades (CVE):

  • Vaya a Activos monitoreados, haga clic en Agregar activo y luego seleccione Host.

  • Escriba los dominios o subdominios que le sean relevantes.

  • Luego, haga clic en "Agregar activo" y ¡listo!

image.png

2. Creando reglas de monitoreo:

Puedes crear reglas que combinen múltiples criterios para recibir alertas sobre las amenazas más relevantes para tu organización:

  • Tecnologías y activos que monitoreas

  • Malware o actores de amenaza específicos

  • Ubicaciones geográficas

  • Sectores de la industria

  • Tipos de amenazas (Ransomware, Malware, Zero Day, Trojan Horses, Exploit Attacks, etc.)

  • Niveles de Riesgo

image.png

Para comenzar rápidamente, puedes usar nuestras plantillas predeterminadas:

  • "Amenazas a mis tecnologías": Monitorea amenazas relacionadas con tu stack tecnológico, y está activado por defecto para todos los usuarios

  • "Amenazas dirigidas a sectores y ubicaciones específicas": Rastrea amenazas que afectan a tu sector y región

  • "Actividad de actores de amenaza específicos": Sigue las actividades de actores de amenaza específicos

¿Cómo configurar tu perfil y alertas?

En las preferencias de notificación de Inteligencia de Amenazas y Exposición, puedes:

  • Agregar tu número de teléfono (opcional - solo en caso de que quieras recibir alertas por WhatsApp o SMS).

  • Elegir tus canales de notificación preferidos: Whatsapp, SMS y/o correo electrónico para obtener información.

  • Elegir tus preferencias de notificación por correo electrónico para nuevos CVEs (basados en el nivel de riesgo) y certificados que expiran.

¿Cómo seguir o dejar de seguir insights?

Siempre que una información se correlacione con uno de los temas monitoreados de su organización, automáticamente comenzará a seguir esa información. En la práctica, esto significa que la información estará disponible en su área de información en la Cyber Threat Intel (CTI) y que las actualizaciones relevantes (consulte la sección anterior) generarán alertas en el canal que elija.

Puede optar por dejar de seguir estas ideas en cualquier momento:

unfollow.png

También puede descubrir nuevos insights que sean relevantes para usted y empezar a seguirlos en el área Explorar, seleccionando el botón "seguir insights".

La acción de seleccionar o anular la selección de información a seguir afecta solo al usuario individual y no se aplica a toda la empresa.

¿Cómo funciona el monitoreo de host?

Cuando agrega un nuevo host, Cyber Threat Intel (CTI) lo escaneará automáticamente y le proporcionará datos valiosos, como:

  • ¿Cuál es la información de registro de dominio público (WhoIs)?

  • ¿Cuál es la dirección IP del host?

  • ¿Qué puertos están abiertos y qué servicios se están ejecutando en ellos?

  • ¿Existen vulnerabilidades conocidas (CVE) asociadas a estos servicios?

  • ¿Qué tipo de certificados se están utilizando y cuándo caducan?

Si agrega un dominio, la Cyber Threat Intel (CTI) irá más allá del escaneo inicial y buscará automáticamente en Internet otros hosts relacionados (descubrimiento de activos). Esto le ayuda a obtener una imagen completa de su superficie de ataque externa. Cada nuevo host encontrado será analizado de la misma manera que el primero, brindándole información detallada sobre su postura de seguridad.

¿Cómo se calcula la puntuación de riesgo de una alerta?

La Cyber Threat Intel (CTI) calcula el puntaje de riesgo para un insight utilizando el siguiente método:

  • 1. Verifique si hay CVEs (Vulnerabilidades y Exposiciones Comunes) asociadas:

    • Si el insight tiene uno o más CVEs, la Cyber Threat Intel (CTI) selecciona el puntaje CVSS (Sistema Común de Puntuación de Vulnerabilidades) más alto.

    • Si no hay un puntaje de CVE disponible, continúe con el siguiente paso.

  • 2. Estimación de CVSS impulsada por IA:

    • La Cyber Threat Intel (CTI) utiliza IA para estimar el puntaje de CVSS basado en tres factores clave:

      • Nivel de Impacto

      • Probabilidad de Explotación

      • Nivel de Amenaza

    • Cada factor se califica como Bajo, Medio, Alto o Crítico, y estas calificaciones se combinan para calcular el puntaje de riesgo final.

Este enfoque garantiza un puntaje de riesgo preciso y confiable para cada insight.

¿Cómo se define el riesgo de un host?

El riesgo del host será el mayor riesgo entre las CVEs asociadas a él. Si no hay CVEs asociadas, el riesgo será indefinido. Los riesgos de las CVEs se basan en el CVSS (Common Vulnerability Scoring System), aquí hay un resumen:

  • Crítico (CVSS 9,0-10,0): Vulnerabilidades que pueden ser explotadas fácilmente, sin interacción del usuario, y resultan en un impacto alto, como la pérdida completa de confidencialidad, integridad o disponibilidad.

  • Alto (CVSS 7,0-8,9): Vulnerabilidades que pueden ser explotadas con relativa facilidad y resultan en un impacto significativo, como la pérdida parcial de confidencialidad, integridad o disponibilidad.

  • Medio (CVSS 4,0-6,9): Vulnerabilidades que requieren alguna condición específica o interacción del usuario para ser explotadas y resultan en un impacto moderado.

  • Bajo (CVSS 0,0-3,9): Vulnerabilidades que son difíciles de explotar o tienen un impacto limitado.

CVSS (Sistema Común de Puntuación de Vulnerabilidades)

¿Qué es?

  • Un sistema de puntuación estandarizado que mide la gravedad técnica de una vulnerabilidad.

  • Escala De 0.0 a 10.0, donde:

    • 0.0: Sin impacto.

    • 4.0–6.9: Gravedad media.

    • 7.0–8.9: Alta.

    • 9.0–10.0: Crítica.

  • Componentes principales:

    • Vectores como acceso remoto/local, necesidad de autenticación, impacto en la confidencialidad, integridad y disponibilidad.

    • Ejemplo: un defecto que permite la ejecución de código remoto sin autenticación tendrá una alta puntuación CVSS.

  • Limitación:

  • CVSS no tiene en cuenta si la vulnerabilidad está siendo explotada activamente o la probabilidad de que esto ocurra.

EPSS (Sistema de Puntuación de Predicción de Explotación)

¿Qué es?

  • Una métrica que estima la probabilidad de que una vulnerabilidad sea explotada en la práctica dentro de los próximos 30 días.

  • Escala De 0 a 1, donde:

    • 0.0: Muy baja probabilidad de explotación.

    • 1.0: Muy alta probabilidad de explotación.

  • Base de cálculo:

    • Utiliza aprendizaje automático y datos reales (como fuentes de explotación, honeypots, telemetría, etc).

    • Considera la presencia pública de explotaciones, facilidad de explotación, notoriedad de la falla, etc.

  • Ventaja:

  • Ayuda a priorizar qué remediar primero, enfocándose en el riesgo real en lugar de solo la gravedad teórica.

Ejemplo de uso práctico

Imagina dos vulnerabilidades:

  • CVE-A: CVSS 9.8 (crítica), pero EPSS 0.002 (casi nadie la está explotando).

  • CVE-B: CVSS 6.5 (media), pero EPSS 0.85 (muy explotada en el mundo real).

En este caso, aunque CVE-B parece menos grave, puede representar un riesgo más urgente para tu organización.

¿Cómo se calcula el nivel de confianza de un IOC?

  • El nivel de confianza de un IOC en la Cyber Threat Intel (CTI) es una métrica diseñada para ayudar a clientes y socios a implementar medidas de seguridad basadas en sus propias políticas.

  • Se calcula a través de un análisis de múltiples fuentes, que determina cuántos proveedores de seguridad identifican el IOC como malicioso.

  • Luego, estos datos se mapean en nuestro sistema interno de puntuación, que asigna un nivel de confianza como Bajo, Medio o Alto.

  • Este enfoque garantiza que el nivel de confianza refleje con precisión el consenso entre fuentes confiables.

Apoyo

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊

Artículos relacionados
Indicadores de Compromiso (IoCs)
Threat Actor Profile
Gestión de activos
Menciones en filtraciones de datos
¿Ha quedado contestada tu pregunta?