La inteligencia sobre amenazas puede definirse como el uso de bases de datos actualizadas que se utilizan en los cortafuegos de nueva generación, como Safe Pro de Teldat.

En los firewall de nueva generación se detectan los virus de ciberseguridad, malware o una intrusión, para que así este sepa cómo actuar una vez que se ha producido la detección.

La Inteligencia de Amenazas o Threat intelligence es utilizada por todas aquellas funcionalidades de un firewall de nueva generación que requieren contenidos específicos de una base de datos para poder trabajar correctamente. Sin embargo, no todas las funcionalidades de los firewall de nueva generación requieren inteligencia sobre amenazas.

Algunas funcionalidades trabajan independientemente de las bases de datos de inteligencia sobre amenazas. Por ejemplo, la inspección SSL / TLS, ZTNA, VPN o DLP.

Funcionalidades en las que se despliega la inteligencia sobre amenazas

Existen 4 funcionalidades básicas dentro de un firewall de nueva generación que utilizan esta tecnología son IPS/IDS, Antivirus/Anti-Bot, Filtrado de URL y Control de Aplicaciones.

A continuación se explica en detalle cada una de estas 4 áreas:

1.- IDS/IPS
Un IDS (Sistema de Detección de Intrusos) supervisa el tráfico de la red en busca de actividades sospechosas, anomalías o violaciones de las políticas y genera alertas para notificar a los administradores las amenazas potenciales. Funciona de forma pasiva y no toma medidas contra los problemas detectados.

Si es necesario actuar, lo hace un IPS (Sistema de Prevención de Intrusiones). El IPS supervisa y controla activamente el tráfico de la red. Detecta actividades sospechosas y toma medidas inmediatas para bloquear, rechazar o poner en cuarentena el tráfico malicioso, evitando así ataques y mejorando la seguridad general de la red.

Tanto los IDS como los IPS utilizan bases de datos para detectar amenazas en la red.

2.- Antivirus/Anti-Bot
El software antivirus detecta, previene y elimina de las redes programas maliciosos como virus, gusanos y troyanos. Utiliza la detección basada en firmas, el análisis heurístico y la supervisión en tiempo real para identificar y mitigar las amenazas, garantizando la seguridad e integridad del sistema.

El software anti-bot ataca específicamente las amenazas relacionadas con botnets, que implican redes de dispositivos infectados controlados por ciberdelincuentes. Detecta, bloquea y elimina los bots maliciosos, impidiendo el acceso no autorizado, el robo de datos y la participación en ciberataques coordinados. Ambas herramientas son esenciales para una ciberseguridad integral.

3.- Filtrado de URL
Esta funcionalidad también se conoce como filtrado de contenidos o filtrado web.
Los firewall convencionales sólo identifican puertos, protocolos y direcciones IP, no pueden identificar URLs ni controlar aplicaciones. El filtrado de URL o filtrado de contenidos permite categorizar la navegación por Internet, pudiendo aplicar el filtrado de URL a categorías maliciosas. De esta forma se bloquea o deniega el acceso a sitios web maliciosos, se generan reglas por URL de destino, se establece un control de navegación por categorías y mucho más.

4.- Control de aplicaciones
El control de aplicaciones se utiliza para detectar qué aplicaciones se están utilizando en una red. De este modo, todas las aplicaciones específicas se detectan y están bajo control.

Los administradores de red pueden establecer políticas para permitir, denegar, restringir o bloquear las aplicaciones conocidas. Si se utiliza una aplicación desconocida, se puede investigar en tiempo real y clasificarla según corresponda.

Puntos clave relacionados con la Inteligencia de Amenazas

Además de elegir la mejor solución de sistemas de ciberseguridad para su empresa u organización, existen puntos clave relacionados con la inteligencia de amenazas que deben tenerse en cuenta a la hora de seleccionar un firewall de nueva generación con sus correspondientes funcionalidades de inteligencia de amenazas:

• Calidad de las bases de datos: Existen muchas empresas que ofrecen bases de datos de buena calidad estándar en el mercado para Filtrado de URLs, IPS / IDS y otras funcionalidades de inteligencia de amenazas. Las mejores bases de datos deben ser las que se utilicen, pues éstas ofrecerán la mayor eficiencia y eficacia.
• No sólo una base de datos: Es importante que la inteligencia de amenazas elegida por una empresa u organización esté conformada de tal manera que no dependa de una sola base de datos, sino que tenga la capacidad de desplegar la inteligencia de varias bases de datos para dar la solución final. Esto también aumentará la eficiencia y la eficacia.
• Velocidad de actuación: A la hora de elegir una solución de inteligencia sobre amenazas, también hay que medir la velocidad con la que se actualizan las bases de datos. Es de suma importancia que sólo sea cuestión de minutos entre que se detecta un virus o malware y se aplica a la base de datos de trabajo. De este modo, las redes que se están protegiendo no corren ningún riesgo ante la constante afluencia de nuevas amenazas.

Otras consideraciones relacionadas con la ciberseguridad

La ciberseguridad no es sólo inteligencia sobre amenazas, es mucho más. Las soluciones de ciberseguridad se componen de un conjunto de funcionalidades. No podemos analizar todas estas funcionalidades en esta nota de blog, sin embargo, presentamos algunas cuestiones relacionadas:

Ataques de día cero: En teoría no entrarían en la categoría de inteligencia de amenazas, porque al ser de día cero, estos virus o malwares no se detectarían en las bases de datos de inteligencia de amenazas. Sin embargo, existen otras formas de detectar los ataques de día cero. Uno de estos métodos sería mediante el uso de sandbox, que es lo que utiliza Teldat (aliado de Bismark), además de otras soluciones.

Vulnerabilidades: No se pueden evitar, pero es cierto que en Teldat se toman muy en serio este aspecto. Tanto es así, que el sistema operativo está diseñado para minimizar la posibilidad de impacto en las redes de los clientes y además cuentan con equipo propio de I+D para resolver de forma prioritaria cualquier bug reportado.

Auto virtual patching: Teldat dispone de un sistema que no sólo realiza DPI sobre el tráfico que llega a los firewalls, sino que también puede detectar un virus o malware que se esté dirigiendo a los dispositivos instalados, antes de que lleguen. Esto significa que los dispositivos, que realizan las funciones de cortafuegos de nueva generación, también están protegidos de los ciberataques.

A modo de resumen

Un rápido repaso a la inteligencia de amenazas. Entender qué es la inteligencia de amenazas dentro de la ciberseguridad. Cómo y dónde se despliega. Puntos clave a tener en cuenta a la hora de elegir la mejor política de inteligencia de amenazas para su empresa u organización.

Si desea conocer más de las soluciones de ciberseguridad, contáctenos aquí

Fuente: versión original– Teldat: socios estratégicos de Bismark.