La mayoría de las empresas disponen de más información ante las amenazas de la que creen, pero no saben cómo usarla. Esta gran cantidad de datos puede venir desde diversas fuentes: comerciales, de código abierto, gubernamentales, grupos de intercambio de la industria y/o proveedores de seguridad. Bombardeados por millones de datos sobre amenazas diariamente, puede parecer imposible aprovechar todo el valor de los datos de los que disponemos. Yann Le Borgne, Director Técnico de ThreatQuotient Europa, líder en plataformas de operaciones de Ciberinteligencia, junto a David Grout, CTO EMEA de FireEye ofrecen cinco consejos para saber cómo analizar un informe ante amenazas y hacerlo provechoso. Estas son las conclusiones:
- Seleccionar las fuentes de datos ante amenazas para tu empresa
Identificar las fuentes adecuadas para la organización y recopilar informes ante amenazas de varias fuentes diferentes es esencial porque proporcionan diferentes niveles de contenido: estratégico, operativo y táctico. Hay que averiguar el quién, el qué y el cuándo del consumo y usarlo para la métrica del éxito cuando se busque la adquisición de los datos.
Como la inteligencia de código abierto (OSINT) gratuita y de fácil acceso, la gran mayoría de las organizaciones la utilizan ampliamente por lo que las empresas deben tener en cuenta la confianza y fiabilidad de las fuentes. El nivel más alto de confianza viene de la inteligencia que generas y recibes de tu red más cercana y de tus compañer@s, y la información OSINT está en el nivel más bajo. Es recomendable usar modelos de confianza como el Sistema del Almirantazgo o el Sistema de la OTAN, que permite clasificar la información de la A a la F en fiabilidad y del 1 al 6 en credibilidad, sobre todo en el caso de nuevas fuentes que surgen en momentos de crisis. Aplicar esta escala sobre amenazas ayuda a determinar qué hacer con los datos y reduce los falsos positivos y el ruido generado por los datos no validos.
- Determinar adquiere los datos
Si es bueno proporcionar acceso a las fuentes de información ante amenazas a todos los grupos implicados, es mejor tener un equipo responsable que adquiera y analice los informes y solo entregue la información procesable. No todas las partes interesadas necesitan todos los niveles de información.
- Estructurar los datos para el análisis
Los tres pasos para el análisis incluyen: comprender el contexto del informe, su relevancia y relacionarlo con cualquier informe, inteligencia e incidente anterior. El proceso permite contextualizar y priorizar la inteligencia aunque requiere que los datos estén estructurados de manera uniforme. Los datos sobre amenazas se presentan en varios formatos (STIX, técnicas de MITRE ATT&CK, artículos de noticias, blogs, tweets, informes de la industria de la seguridad, (IoC) de feeds de amenazas, repositorios de GitHub, reglas de Yara y firmas de Snort) y necesitan ser normalizados.
No se trata solo del formato; el volumen de información ante amenazas es elevado y los distintos grupos utilizan nombres diferentes para referirse a lo mismo. La normalización lo compensay permite agregar y organizar información rápidamente. Estructurar los datos para priorizarlos es esencial para el triaje y garantiza que nos centremos en las amenazas más importantes.
- Utilizar herramientas de ayuda al análisis
Las herramientas utilizadas deben apoyar el resultado deseado. Una plataforma de inteligencia ante amenazas (TIP) extrae el contexto y puede ayudarte a utilizar la información de varias maneras (triaje de alertas, caza de amenazas, phishing selectivo, respuesta a incidentes) y para apoyar diferentes resultados.
- Seleccionar las herramientas adecuadas para ayudar a que los datos sean procesables
El análisis permite crear prioridades para determinar las acciones adecuadas. Hay una variedad de herramientas que ayudan a que los informes ante amenazas y otros elementos del programa de threat intelligence sean procesables y logren resultados a nivel estratégico (informes ejecutivos), a nivel operativo (cambios en la postura de seguridad) y a nivel táctico (actualización de reglas y firmas).
Con estos cinco consejos, el Director Técnico de ThreatQuotient Europa, Yann Le Borgne, cree que “antes de empezar a pensar en las fuentes de Threat Intelligence, en el análisis y en las acciones, hay que entender los resultados y los productos deseados para cada uno de sus componentes”. Y además añade que: “es un viaje que suele comenzar en el nivel táctico y que evoluciona hasta incluir la inteligencia operativa y estratégica para ofrecer un valor adicional. Cuando se comparte de la manera correcta con cada parte de la organización, las partes interesadas clave verán la inteligencia sobre amenazas como el habilitador de negocios que es, y el programa de inteligencia sobre amenazas ganará apoyo y el presupuesto crecerá”.
Comentarios recientes