CIBERSEGURIDAD

Combinando inteligencia de amenazas humanas y de máquinas para lograr la máxima seguridad

A pesar de los titulares sombríos de los ataques cibernéticos, muchas organizaciones se están moviendo a lo largo de la curva de madurez de la seguridad cibernética y ha aumentado la adopción de estrategias de seguridad basadas en inteligencia. Uno de los principales impulsores es el gran volumen de datos que entran y salen de una empresa, lo que dificulta la divulgación de información procesable. Muchos datos que no se transmiten de la manera correcta pueden ser tan malos como insuficientes y esta es la situación en la que se encuentran muchas empresas, lo que genera una sobrecarga de amenazas. No es de extrañar que uno de cada tres (32%) profesionales de la seguridad indique que carece de inteligencia eficaz para detectar y actuar contra las amenazas cibernéticas, según una encuesta reciente.[1].
Desafortunadamente, muchos equipos de seguridad no están optimizados para cumplir con este volumen de inteligencia de amenazas y, a menudo, están sobrecargados de trabajo, gastando demasiado tiempo haciendo las (muy necesarias) tareas básicas y simples, pero nunca dando un paso atrás para ver lo que está sucediendo en un momento. nivel macro. Muchas estrategias están todavía en su infancia, más reactivas que deliberadas. Pero la inteligencia de amenazas ya no puede verse como algo que se suma al problema de los macrodatos, o que simplemente proporciona indicadores tácticos.
Los equipos de seguridad deben corregir el triángulo de personas, procesos y tecnologías. Al considerar en qué herramientas invertir, deben buscar tecnología que pueda asimilar tanto la información legible por humanos como la legible por máquina en un recurso fácil de consumir. Además de analizar datos de amenazas de múltiples fuentes en tiempo real, lo que permite a los analistas evaluar rápida y fácilmente si deben tomar medidas defensivas. Esto potencialmente reduce la ventana de vulnerabilidad a una cuestión de horas y minutos.
Por lo tanto, las empresas pueden identificar las amenazas de las que deben tener en cuenta, lo que les brinda información relevante y procesable. Esto automatiza los procesos, determina resultados valiosos y ayuda a encontrar conocimientos, lo cual es esencial. Dichas soluciones comienzan catalogando información sobre las identidades, motivaciones, características y métodos de los atacantes. Este conocimiento se pone en contexto contra la actividad en tiempo real para identificar el comportamiento invasivo con conocimiento basado en evidencia. La personalización también es posible, adaptando las herramientas para adaptarse a cualquier red, ya que las alertas de amenazas deben ser informativas, no solo alarmantes. Por ejemplo, permitiéndole descubrir si sus datos son objeto del deseo de alguien o si su red simplemente tuvo mala suerte.
Toda esta automatización es imperativa, pero la realidad es que los ciber actores también son personas. La intuición humana y la recopilación de inteligencia humana (HUMINT) son cruciales, ya que contextualizan los datos de amenazas en resultados útiles y procesables. Dicho contexto útil incluye circunstancias geopolíticas, luchas económicas o ataques que se hacen públicos y que han impactado a otra industria u organización. Esto da como resultado una mayor visibilidad y enriquecimiento de los mecanismos de recopilación de inteligencia existentes.
Por lo tanto, es importante contar con un equipo de seguridad sólido, pero también, al elegir el socio tecnológico adecuado, asegúrese de conocer a las personas que están detrás de las herramientas. Es esencial que puedan brindar ayuda tanto con el equipo como con las personas de la inteligencia. Además de ayudar a conservar los datos de una manera que sea útil para cada empresa individual, contextualizando a los adversarios específicamente en un entorno y llenando cualquier brecha de habilidades. O durante un incidente, agregue capas adicionales de capacidades, como utilizar analistas de seguridad expertos en varios idiomas.
En el caso de los proveedores de inteligencia sobre amenazas, los equipos de laboratorio monitorean continuamente la actividad maliciosa a escala global. Mientras que los especialistas en la web profunda y oscura pueden obtener información detallada del oscuro inframundo del ciberdelincuente. Esto le da acceso a conversaciones, herramientas, técnicas e intercambios más privilegiados. Añadiendo otro aspecto humano de la inteligencia.
Un servicio de Deep Dark Web DIY propio simplemente no es posible. Los actores de amenazas provienen de innumerables lugares en todo el mundo, las barreras lingüísticas y culturales son enormes y penetrar en las comunidades relevantes requiere una gran confianza. Muchas comunidades son solo por invitación, por lo que se requieren prácticas adecuadas de anonimización y, como puede imaginar, los actores de amenazas están constantemente al acecho de los “topos”. Generar confianza y respeto lleva tiempo, por lo que un tercero que pueda hacer esto es una parte esencial de una postura de seguridad sólida para ayudar a navegar por el lado más oscuro de la web. Posteriormente, obtendrá más información contextual que le ayudará a comprender el panorama general de una amenaza.
A medida que las amenazas planteadas por los ciberdelincuentes continúan creciendo, debe simplificar el ruido de los datos para encontrar la inteligencia de amenazas que sea relevante y procesable para su organización. Difundir la afluencia de información, analizar grandes volúmenes de datos en tiempo real y aplicar inteligencia humana y de máquina para ayudar a priorizar la actividad maliciosa. Necesita una estrategia deliberada que le permita ser el comandante de las amenazas cibernéticas, ya no solo cortar el césped y tratar de mantener alejados a los malos.
[1] Encuesta a 153 asistentes, que representan una variedad de industrias, realizada por Anomali en InfoSecurity Europe, junio de 2017

Richard Betts, director de servicios financieros internacionales de Anomali

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar