La inteligencia de ciber-amenazas y la inteligencia de vulnerabilidades junto con la inteligencia de impactos genera la inteligencia de ciber-riesgos, tema crucial y de elevado interés para las empresas que se ocupan de los ciber-seguros en todo tipo de entornos y ecosistemas IT/OT/IoT. Dimensiones de la inteligencia de ciberseguridad: inteligencia de ciber- amenazas e inteligencia de vulnerabilidades La inteligencia de ciberseguridad engloba tanto la información relevante para poder defender y proteger las entidades/eco- sistemas/organizaciones IT/OT de cualquier ciber-amenaza interna y externa, así como de los procesos, políticas y herra- mientas diseñadas para recoger y analizar dicha información. Al igual que en inteligencia militar (que integra a la inteligencia naval, inteligencia aérea, inteligencia terrestre, inteligencia espacial e inteligencia en el ciberespacio), en inteligencia de negocios, en la inteligencia de ciberseguridad es la información la que proporciona la toma de decisiones, el soporte y una clara ventaja estratégica y competitiva. La inteligencia (capacidad de entender, comprender, de resolver problemas que propor- ciona conocimiento, compresión y entendimiento) se basa en explorar, extraer y analizar la mayor cantidad de información y datos fiables posible para generar nueva información, recono- cer patrones o tendencias ocultas y posibilitar una mejor toma de decisiones. La inteligencia de ciberseguridad permite con- trarrestar ciber-amenazas procedentes de un amplio grupo de ciber-atacantes/ciber-adversarios. La inteligencia de ciberseguridad se aplica para disuadir, detectar anticipadamente, prevenir, mitigar, engañar, derrotar, contener, etc. a los agentes de ciber-amenazas maliciosos que se dirigen contra todo tipo de recursos (equipos, personas, redes, datos, medio ambiente, etc.). La inteligencia de ciberseguridad permite definir y priorizar las necesidades de ciber-protección y conseguir mejores remedios. La inteligencia de ciber-amenazas es una dimensión o componente de la inteligencia de ciber- seguridad. Los servicios de inteligencia en ciber-amenazas proporcionan la información actual relativa a las fuentes de ciber-ataque potenciales relevantes contra posibles obje- tivos: negocios, infraestructuras críticas, organizaciones, CPDs, industrias, nubes, sistema distribuido DNS, etc. Existen organizaciones de ciberseguridad que ofrecen servicios de con- sultoría, así como servicios de inteligencia y dispositivos capaces de “cazar ciber-amenazas” (con honeypots, honeynets, hone- yfarms, sandboxing, DDPs, etc.). Con el crecimiento del número de ciber-incidentes y el aumento de la sofisticación de los ciber- ataques en entornos IT/OT la inteligencia de ciber-amenazas se ha convertido en algo esencial para detectar, prevenir, predecir, engañar/desinformar, prever, disuadir, defender, contener, remediar, erradicar, mitigar, etc. ciber-ataques cooperando con los métodos tradicionales. Hoy en día se pueden identificar diferentes tipos de actores y agentes implicados en los ciber-incidentes, por ejemplo: inten- cionados (hackers maliciosos, estados nación extranjeras o partes apoyadas por estados, crimen organizado, activistas, organizaciones de activistas, hacktivistas, competidores mali- ciosos, antiguos empleados descontentos, antiguos proveedores de equipos, empleados actuales y desconocidos corruptos, etc.), no intencionados (proveedores de servicios actuales, consulto- ras, contratistas, agentes no maliciosos (internos), proveedores de equipos actuales, suministradores o socios, etc.). La calidad de la inteligencia de ciber-amenazas influye directamente en la calidad de la respuesta a ciber-incidentes, por tanto, es clave verificar si los datos son ciertos o falsos, completos o incomple- tos, actuales o caducados, maliciosos o no, etc. La inteligencia de ciberseguridad desarrolla los medios técnicos para proteger y defender infraestructuras críticas, propiedad intelectual de organizaciones, etc. La inteligencia de ciber- amenazas se basa en la recogida de inteligencia utilizando: OSINT (Open-Source INTelligence), SOCMINT (SOCial Media INTelligence), HUMINT (HUMan INTelligence), inteligencia de las Webs profundas, honeypots/honeynets/honeyfarms, etc. La misión fundamental de la inteligencia de ciber-amenazas es investigar y analizar tendencias y desarrollos técnicos en áreas como: el ciber-espionaje, las APTs, las ARTs, el ciber-crimen, el ciber-hacktivismo, etc. La inteligencia de ciber-amenazas integra, prepara, protege-defiende, detecta-y-responde. OSINT (Open- Source INTelligence) integra inteligencia recogida de fuentes disponibles públicamente. Open se refiere a fuentes abiertas disponibles públicamente (en oposición a fuentes encubiertas, subliminares o clandestinas). OSINT desempeña un papel esencial en proveer a la comunidad de ciberseguridad de una percepción, entendimiento y contexto lo más completo posible, a bajo costo. OSINT recoge y analiza información de un gran número de fuen- tes abiertas o públicas. El proceso OSINT consta de cinco fases: identificación de fuentes, recogida de los datos, procesar e inte- grar datos, analizar datos y distribuir-entregar resultados. Inteligencia de vulnerabilidades La inteligencia de vulnerabilidades ayuda a la toma de decisio- nes y a priorizar con eficiencia-efectividad y responder a las ciber-amenazas permitiendo que los equipos de ciberseguridad se enfoquen en las ciber-amenazas importantes y eviten emer- gencias innecesarias y costosas. Los servicios de inteligencia de vulnerabilidades deben cubrir muchos miles de vendedores y cientos de miles de versiones de productos para entender la complejidad de la priorización de los parches y la gestión de las vulnerabilidades. En la inteligencia de vulnerabilidades se ana- liza cada vulnerabilidad y se proporcionan los detalles claves que tratan de su gravedad, explotabilidad y pruebas de concepto para ayudar a las organizaciones a priorizar proactivamente las operaciones y decisiones de ciberseguridad IT/OT. En este contexto se recoge información de agentes de ciber-ame- nazas, malware, vulnerabilidades, campañas de infección masiva, objetivos, dominios, correos electrónicos de phishing y spam, etc. y como se relacionan unos con otros. Una vulnerabilidad (según el estándar ISO 27002) es una debilidad (bug, deficiencias en diseño, mala implementación, configuración defectuosa, fallos, obsolescencia programada, negligencia, accidente, acción cri- minal, despistes, etc.) de un activo o grupo de activos que puede ser explotada por una o más ciber-amenazas. La gestión de vul- nerabilidades, es el proceso en el que las vulnerabilidades (OT/ IT) se identifican (escaneo de vulnerabilidades) y se evalúan los riesgos de dichas vulnerabilidades (consecuentemente la gestión de vulnerabilidades integra el escaneo de vulnerabilidades y la evaluación de los riesgos, su posible aceptación o los posibles remedios, etc.). 59 INVESTIGACIÓN