Al igual que con la inteligencia convencional, existen diferentes niveles de inteligencia de amenazas cibernéticas: operativa, táctica y estratégica. La inteligencia estratégica informa a los más altos responsables de la toma de decisiones, la inteligencia operativa se dirige a quienes toman las decisiones cotidianas y la inteligencia táctica se centra en las unidades que necesitan información instantánea.
Paradigmas para el tratamiento de amenazas
La inteligencia cibernética se presenta en muchas formas. Algunas son urgentes, otras meramente informativas; otras son altamente técnicas, mientras que otras son amplias y genéricas. El reto consiste en determinar cómo hacer llegar la información de seguridad correcta al responsable de la toma de decisiones correcto de la manera correcta.
Los profesionales de la seguridad pueden aprender mucho de la manera en que el Departamento de Defensa de los Estados Unidos (DoD) enfoca la inteligencia. Hace años, la agencia estaba absolutamente abrumada por la información sobre las actividades adversas y tuvo que establecer marcos para tratar con los datos. Como resultado, los militares ahora consideran la inteligencia en tres niveles: estratégico, operativo y táctico.
Cada nivel difiere en la naturaleza y el formato del material transmitido, su audiencia prevista y su aplicación.
La inteligencia operativa de amenazas a menudo se relaciona con detalles de posibles operaciones inminentes contra una organización.
Aunque no siempre es fácil de obtener, al utilizar un enfoque de todas las fuentes, un proveedor de inteligencia podrá detectar, por ejemplo, las conversaciones de activistas cibernéticos que analizan objetivos potenciales para una próxima campaña o datos filtrados o vendidos en un foro oscuro. Eso podría ser utilizado en una operación contra la empresa.
Los proveedores de inteligencia de amenazas cibernéticas generalmente proporcionarán inteligencia de amenazas operativas en una combinación de formatos compatibles con humanos y máquinas.
La inteligencia de amenazas tácticas consiste en material relacionado con las técnicas, tácticas y procedimientos (TTP) utilizados por los actores de amenazas. Los indicadores de compromiso (IOC) son los principales productos a entregar por los proveedores de inteligencia de amenazas tácticas.
Estos son particularmente útiles para actualizar sistemas de defensa basados en firmas, para protegerse contra tipos de ataque conocidos, pero también pueden ser útiles para medidas más proactivas, como ejercicios de búsqueda de amenazas.
Por lo tanto, es particularmente útil para los defensores de la red, como los Centros de Operaciones de Seguridad (SOC). Los proveedores de TI (Threat Intelligence) generalmente suministrarán IOC en formatos legibles por máquina, mientras que la inteligencia en las TTP estará en formatos legibles por humanos, y requerirá la asimilación y la acción de los operadores.
La inteligencia de amenazas estratégicas existe para informar a los tomadores de decisiones de alto nivel sobre cambios más amplios en el panorama de amenazas.
Debido a esta audiencia prevista, los productos de inteligencia estratégica se expresan en un lenguaje sencillo y se centran en cuestiones de riesgo empresarial en lugar de terminología técnica. El formato de informe de los productos estratégicos de inteligencia sobre amenazas cibernéticas reflejará esta visión a más largo plazo; por ejemplo, a menudo se difundirá mensualmente o trimestralmente para ayudar a la formulación de la estrategia a más largo plazo.
