CIBERSEGURIDAD

Huracanes, terremotos e inteligencia de amenazas

Hay dos tipos de amenazas cibernéticas con las que se enfrentan las organizaciones, que se pueden clasificar en las siguientes categorías: huracanes y terremotos. Los huracanes, al igual que su homónimo, son esos ataques que puedes ver venir y, por la misma razón, los terremotos son los que no puedes. Ambos son inevitables y las organizaciones deben planificar y actuar en consecuencia. Esto comienza con la comprensión de qué es la inteligencia de amenazas y cómo hacerla relevante y procesable. La clave está en estar preparado tanto para los ataques previsibles como para los que se te acercan sigilosamente. Aquí es donde entra la inteligencia de amenazas, ayudando a su organización a pasar de reaccionar constantemente a las amenazas a ser más proactiva en su enfoque. Threat Intel le permite prepararse para los huracanes y responder a los terremotos con un enfoque eficiente e integrado.
Eliminar el ruido
Mencione la inteligencia de amenazas y la mayoría de las organizaciones piensan en múltiples fuentes de datos a las que se suscriben (fuentes comerciales, fuente abierta y fuentes adicionales de proveedores de seguridad), cada una en un formato diferente y la mayoría sin ningún contexto que permita la priorización. Estos datos de amenazas globales brindan información sobre las actividades que ocurren fuera de su empresa; no sólo los ataques en sí mismos, sino también cómo los atacantes operan y se infiltran en las redes.
El desafío es que la mayoría de las organizaciones sufren una sobrecarga de datos. Sin las herramientas y la información para examinar automáticamente montañas de datos globales dispares y agregarlos para los analistas y la acción, estos datos de amenazas se convierten en ruido; tiene alertas sobre ataques que no están contextualizados, no son relevantes o no son prioritarios. Para hacer un uso más efectivo de estos datos, deben agregarse en una ubicación manejable y traducirse a un formato uniforme para que pueda deshacerse automáticamente del ruido y concentrarse en lo que es importante.
Centrarse en las amenazas
Con los datos de amenazas globales organizados, puede concentrarse en los huracanes y terremotos que amenazan a su organización. Los huracanes son las amenazas que conoce, para las que puede prepararse, protegerse y anticiparse en función de las tendencias pasadas. Por ejemplo, según una investigación, digamos que sabemos que un archivo es malware. Esta inteligencia debería operacionalizarse; se convierte en una política, una regla o una firma y se envía al sensor apropiado para que pueda evitar que los malos actores roben datos valiosos, creen una interrupción o causen daños. A medida que las operaciones de seguridad se vuelven más maduras, puede comenzar a recibir alertas sobre estas amenazas conocidas, además de bloquearlas automáticamente para que pueda aprender más sobre el adversario. Esto le permite concentrarse en los ataques que realmente importan.
Los terremotos son amenazas desconocidas, o amenazas contra las que es posible que no tenga las contramedidas adecuadas, que han pasado por alto las defensas existentes. Una vez que están dentro de la red, su trabajo es detectar, responder y recuperarse. Esto depende de la capacidad de convertir los datos de amenazas globales en inteligencia de amenazas enriqueciendo esos datos con amenazas internas y datos de eventos y permitiendo que los analistas colaboren para una mejor toma de decisiones. La inteligencia de amenazas lo ayuda a analizar mejor la campaña una vez que se detecta la amenaza, aprender más sobre el adversario y comprender los sistemas afectados y la mejor manera de remediarla. Al correlacionar eventos e indicadores asociados desde el interior de su entorno (por ejemplo, alertas SIEM o registros de gestión de casos) con datos externos sobre indicadores, adversarios y sus métodos, obtiene el contexto para comprender quién, qué, cuándo, dónde, por qué y cómo de un ataque.
Ir un paso más allá, aplicar contexto a sus procesos y activos comerciales le ayuda a evaluar la relevancia. ¿Hay algo que le importe a la organización en riesgo? Si la respuesta es no, entonces lo que sospechaba que era una amenaza es de baja prioridad. Si la respuesta es sí, entonces es una amenaza. De cualquier manera, tiene la inteligencia que necesita para actuar rápidamente.
Haga que la inteligencia sea accionable
La inteligencia tiene tres atributos que ayudan a definir “procesable”.

  • Exactitud: ¿La inteligencia es confiable y detallada?
  • Relevancia: ¿La inteligencia se aplica a su negocio o industria?
  • Oportunidad: ¿Se recibe la inteligencia con tiempo suficiente para hacer algo?

Una vieja broma de la industria es que solo puede tener dos de los tres, por lo que debe determinar qué es lo más importante para su negocio. Si necesita inteligencia lo más rápido posible para implementar en sus sensores, entonces la precisión puede verse afectada y puede esperar algunos falsos positivos. Si la inteligencia es precisa y oportuna, es posible que no haya podido realizar un análisis exhaustivo para determinar si la inteligencia es relevante para su negocio. Esto podría resultar en gastar recursos en algo que no presenta mucho riesgo.
En última instancia, el objetivo es hacer que la inteligencia de amenazas sea procesable. Pero, procesable lo define el usuario. El centro de operaciones de seguridad generalmente busca direcciones IP, nombres de dominio y otros indicadores de compromiso, cualquier cosa que ayude a detectar y contener una amenaza y prevenirla en el futuro. Para el equipo de red, se trata de fortalecer las defensas con información sobre vulnerabilidades, firmas y reglas para actualizar firewalls y sistemas de administración de parches y vulnerabilidades. El equipo de respuesta a incidentes necesita inteligencia sobre el adversario y las campañas involucradas para que puedan investigar y remediar. Y el equipo ejecutivo y la junta necesitan inteligencia sobre las amenazas en términos comerciales, el impacto financiero y operativo, con el fin de aumentar los ingresos y proteger a los accionistas y a la empresa en su conjunto. Los analistas deben trabajar juntos y en toda la organización para proporcionar la inteligencia adecuada en el formato correcto y con la frecuencia adecuada para que pueda ser utilizada por varios equipos.
La puesta en funcionamiento de la inteligencia sobre amenazas, por supuesto, llevará tiempo y requiere una planificación minuciosa. Muchas organizaciones ya están comenzando a pasar de un modo reactivo a ser más proactivas. Pero, para tener tiempo para mirar el horizonte y ver y prepararse para los huracanes y al mismo tiempo lidiar con los terremotos, las organizaciones deben pasar a un modelo anticipatorio con inteligencia contextual, relevancia y visibilidad de las tendencias en el panorama de amenazas.
Por Jonathon Couch, vicepresidente sénior de estrategia, ThreatQuotient

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar