El Informe de amenazas 2023 de Sophos destaca cómo los ciberdelincuentes están cada vez más organizados a medida que la economía del cibercrimen sigue transformándose en una industria. Una gran oportunidad para que los defensores puedan protegerse mejor contra el nuevo “malware como servicio” es compartir la inteligencia sobre amenazas.
Este es uno de los principios fundamentales de la filosofía de seguridad de Sophos y una visión que subyace a la plataforma Intelix de SophosLabs. Desde publicar el mayor conjunto de datos de investigación de malware a escala de producción para la comunidad de seguridad en general, hasta proporcionar acceso a la potente funcionalidad de análisis de amenazas de la plataforma Intelix a los miembros de CompTIA, Sophos ha demostrado un compromiso significativo con la innovación y la colaboración para los esfuerzos de inteligencia sobre ciberamenazas.
La integración con OpenCTI
Tras ampliar la funcionalidad de inteligencia y análisis de amenazas de la plataforma Intelix a MISP, ThreatQuotient e ISAO de CompTIA, hemos añadido otra forma que los clientes consuman nuestra inteligencia de amenazas: mediante la integración con OpenCTI.
OpenCTI es una plataforma de código abierto y libre acceso que permite a los profesionales y equipos de seguridad gestionar, ingerir y normalizar valiosa inteligencia sobre ciberamenazas. Esto incluye el conocimiento de las TTP y comportamientos actuales de diversos actores de amenazas, las campañas maliciosas en curso y el seguimiento de nuevas amenazas de malware y vulnerabilidades.
La ANSSI, la agencia nacional francesa para la seguridad de los sistemas de información, y el Equipo de Respuesta a Emergencias Informáticas de la UE (CERT-UE) siguen siendo los principales contribuyentes al proyecto OpenCTI. Se ha creado para estructurar, almacenar, organizar y visualizar información técnica y no técnica sobre ciberamenazas. Descubre más sobre OpenCTI viendo este vídeo.
La integración con SophosLabs Intelix proporcionará a la comunidad OpenCTI inteligencia sobre amenazas fácil de entender, que fomenta decisiones de seguridad mejor informadas para una amplia gama de artefactos de amenazas, como archivos, páginas web y direcciones IP, que abarcan tanto amenazas conocidas como riesgos no vistos anteriormente.
El siguiente ejemplo muestra el panel de OpenCTI en el que un usuario está aprovechando la inteligencia sobre amenazas de SophosLabs Intelix para enriquecer los datos de archivos y URL.
La selección resaltada en la columna izquierda, que dice “Observaciones”, representa propiedades de estado, como el hash de un archivo o los datos de reputación de búsqueda de una URL. Cuando se combinan con fuentes de inteligencia sobre amenazas contextuales o procesables, como la plataforma Intelix, tales observables ayudan a identificar indicadores de compromiso (IOC) para diversos artefactos de amenaza.
En la siguiente imagen se ve cómo la integración de la inteligencia sobre amenazas Intelix de SophosLabs proporciona más datos desglosados a los usuarios de OpenCTI.
Ante la creciente sofisticación y complejidad de las amenazas y las herramientas informáticas, los profesionales de la seguridad y los investigadores de amenazas encuentran poca ayuda en los datos de inteligencia de amenazas semiestructurados y con gran cantidad de texto. Combinando la inteligencia sobre amenazas precisa y procesable de SophosLabs Intelix con los análisis visuales interactivos de OpenCTI, los profesionales de la seguridad pueden ayudar significativamente a las acciones de detección, investigación y respuesta a las amenazas.
Para aprovechar los datos de Intelix en el entorno OpenCTI, los usuarios deben añadir su clave API para SophosLabs Intelix (de AWS Marketplace) en la configuración de OpenCTI para enriquecimientos.
Si tienes alguna pregunta, haz un comentario a este post.