Plataforma de inteligencia contra amenazas
Una Plataforma de inteligencia contra amenazas o TIP, del inglés Threat Intelligence Platform, centraliza una colección de datos de amenazas de numerosas fuentes y formatos. Como el volumen de datos puede ser abrumador, la plataforma está diseñada para agregar los datos en un solo lugar y presentarlos en un formato comprensible y utilizable.[1] Es decir, ayuda organizar en un solo contenedor el gran volumen de datos de amenazas que obtiene de distintas fuentes.[2]
Servicios
Las características básicas que ofrecen son:[3][2]
- Combinar cientos de fuentes de información en una sola localización.
- Recibir y configurar alertas en tiempo real.
- Normalizar los datos que obtiene. Por ejemplo borrar duplicados o definir reglas de usuario (por ejemplo, para priorizar algunos fuentes de datos)
- Integrarse con otros sistemas como SIEMs, cortafuegos, plataformas de respuesta a incidentes...
- Crear informes
Solución de inteligencia contra amenazas
El volumen de posibles amenazas es enorme. Gestionarlas todas es una pesadilla en costes. Al no poder realizarlo muchas organizaciones acaba ignorando las amenazas. Sin embargo, para cualquier organización solo una pequeña fracción es relevante. Es necesario un mecanismo automatizado, que puede incluir técnicas de aprendizaje automático, para diferenciar lo útil de lo irrelevante, lo que se llama contextualizar la amenaza. A las TIP que tienen estos mecanismos se las llama Soluciones de inteligencia contra amenazas. Estos mecanismos se basan en la comparación de alertas con otras fuentes, telemetría interna de seguridad (datos y logs que generan los sistemas de una organización y que permiten saber qué sucede[4]) y una comprensión detallada de la infraestructura de su organización. [3]
Ejemplos
Ejemplo de plataforma de inteligencia contra amenazas:[5]
- Collaborative Research into Threats (CRITs) [1]. Herramienta Open Source
- Collective Intelligence Framework (CIF) [2]. Herramienta Open Source
- GOSINT [3]. Herramienta Open Source
- MANTIS [4]. Herramienta Open Source
- Malware Information Sharing Platform (MISP) [5]. Herramienta Open Source que se está convirtiendo en la herramienta estándar para el intercambio de información sobre ciberamenazas (indicadores de compromiso).
- MineMeld [6]. Herramienta Open Source
- Yeti [7]. Herramienta Open Source
- Sophos Labs Intelix. Basada en la nube. Permite realizar llamadas API para evaluar el riesgo de artefactos como documentos, URLs y direcciones IP.[6]
- HP Threat Central. Propietario de HP
- ThreatGRID Malware Threat Intelligence Platform. Propietario de Cisco
- AlienVault Unified Security Management
- Anomali. Propietario.
- Axur Digital Risk Protection Platform [8] . Propietario
- VirusTotal, propietario de uso libre.
Referencias
- ↑ What Is Cyber Threat Intelligence?. cisco.com
- ↑ a b The 4 Types of Threat Intelligence Vendors. Chris Pace. recordedfuture.com. 21 de marzo de 2018
- ↑ a b Threat Intelligence: Difference Between Platforms and Providers. RFSID. recordedfuture.com. 12 de octubre de 2017
- ↑ Hoy Google, un año después de la creación de Chronicle, lanza su primer producto de seguridad: Backstory. Centre de Seguretat TIC de la Comunitat Valenciana. 5 de marzo de 2019
- ↑ Inteligencia de amenazas II. Sothis. 27 de diciembre de 2018
- ↑ Una plataforma de inteligencia contra amenazas basada en la nube.Florencia Gomez Forti. itsitio.com. 10 de enero de 2020