Threat Intelligence (TI) es el conocimiento basado en evidencia, contextualizado y procesable sobre amenazas cibernéticas existentes o emergentes. Va más allá de los datos brutos, transformándolos en información significativa sobre los adversarios, sus motivaciones, capacidades, tácticas, técnicas y procedimientos (TTPs), así como los Indicadores de Compromiso (IoCs) asociados. La TI se clasifica comúnmente en estratégica (motivaciones y capacidades del adversario), operativa (TTPs específicos de ataques inminentes) y táctica (IoCs técnicos como hashes, IPs maliciosas, dominios). Su objetivo es proporcionar una visión proactiva para fortalecer las defensas y mejorar la capacidad de respuesta ante incidentes.
En el mundo real, Threat Intelligence es implementada por una variedad de sistemas y herramientas. Los Security Information and Event Management (SIEM) como Splunk o IBM QRadar ingieren feeds de TI para correlacionar eventos de seguridad con IoCs conocidos, alertando sobre posibles compromisos. Los Next-Generation Firewalls (NGFW) y los Intrusion Prevention Systems (IPS) como Palo Alto Networks o Fortinet utilizan TI para bloquear tráfico malicioso, dominios de Command and Control (C2) y direcciones IP de atacantes en tiempo real. Plataformas de Endpoint Detection and Response (EDR) como CrowdStrike Falcon o Microsoft Defender ATP integran TI para identificar y mitigar actividades maliciosas en los endpoints. Además, existen plataformas dedicadas de Threat Intelligence Platform (TIP) como Recorded Future o Anomali que agregan, procesan y distribuyen TI a otros sistemas de seguridad.
Para un arquitecto de sistemas, la Threat Intelligence es crucial para diseñar arquitecturas de seguridad resilientes y proactivas. Permite tomar decisiones informadas sobre la selección de controles de seguridad, la configuración de políticas y la priorización de inversiones en seguridad. Un arquitecto debe considerar cómo integrar feeds de TI en la infraestructura existente (SIEM, SOAR, firewalls), evaluando los trade-offs entre la frescura de los datos, la calidad de las fuentes (públicas, privadas, de pago) y el coste. La implementación de TI requiere diseñar pipelines de ingesta y procesamiento, así como mecanismos para que los equipos de operaciones de seguridad (SOC) puedan consumir y actuar sobre esta información. La elección de fuentes de TI y la estrategia de su consumo impactan directamente en la postura de seguridad, la capacidad de detección y la eficiencia operativa, evitando la fatiga de alertas y falsos positivos.