EquipoContacto

Threat Intelligence Platform

GuillermoGuillermo

Una Threat Intelligence Platform, conocida generalmente por sus iniciales en inglés TIPs, es una plataforma cuyo propósito es optimizar y transformar los datos sobre amenazas en información que sea realmente útil para la empresa. Estas herramientas centralizan la información y la correlacionan y analizan para luego ser compartida.

Las TIPs son fundamentales para minimizar el trabajo manual, disminuir el riesgo de errores y optimizar la eficiencia en la gestión de la seguridad.

Algunas de las características clave de una TIP son:

  • Agregación de datos: Automatiza la recopilación de datos de múltiples formatos (STIX, JSON o CSV entre otros) unificando la información para facilitar su procesamiento.
  • Normalización y enriquecimiento: Consolida datos de distintas fuentes y agrega contexto utilizando recursos externos, mejorando la calidad de la información para el SOC.
  • Correlación de datos: Establece vínculos entre indicadores de amenazas (IOCs) para identificar patrones. Los eventos que comparten estos IOCs se correlacionarán haciendo que, por ejemplo, se pueda observar la infraestructura que un adversario usa en diversas ocasiones para llevar a cabo diversos ataques. Proporciona contexto.
  • Integración: Asegura que los datos procesados sean estandarizados y compatibles para que luego puedan ser utilizados por herramientas de seguridad como SIEM, cortafuegos o IPS. Esta integración automatiza la transferencia de información entre sistemas.
  • Análisis y compartición: Automatiza el análisis de indicadores, identifica y facilita la presentación de resultados en formatos accesibles como informes o eventos. Facilita el intercambio de información con comunidades de confianza, como los ISACs (Information Sharing and Analysis Centers).

Las Plataformas de Inteligencia de Amenazas Comerciales (PTI), que requieren suscripción o adquisición, ofrecen una amplia y profunda cobertura de amenazas. Se distinguen por proporcionar información actualizada, una mayor cantidad de indicadores, alertas tempranas y análisis en profundidad, respaldados por proveedores con recursos avanzados.

Los precios de este tipo de plataformas varían entre $30,000 y $650,000 anuales, dependiendo de las funcionalidades y el proveedor. Algunas de estas son IBM X-Force Exchange, CrowdStrike Falcon-X, Recorded Future o Alien Vault USM.

Algunas de las más conocidas y que no son de pago per se son OpenCTI o la conocida MISP, iniciales de Malware Information Sharing Platform. Si bien son gratuitas, algunos feeds son de pago, aunque la plataforma sea de carácter abierto.

Bibliografía
Tipos de CiberinteligenciaAnterior

Tipos de Ciberinteligencia

Traffic Light Protocol
Siguiente

Traffic Light Protocol