¿Cómo se produce la inteligencia sobre ciberamenazas? ¿Cómo funciona en el día a día de las empresas? ¿Qué ventajas es más probable que obtengan las organizaciones que lo aprovechan, en comparación con sus pares que aún no lo han logrado?
En nuestra serie de artículos sobre el tema, buscamos ayudarte a comprender por qué este concepto es fundamental. Así que ahora vamos a tratar de responder a estas preguntas. ¡Verificar!
→ Quizás desee una introducción al concepto de inteligencia de amenazas. En este caso, lea primero este artículo:
Las seis fases del ciclo de Threat Intelligence
La inteligencia de amenazas cibernéticas es el producto final que surge de un ciclo de seis partes de recopilación, procesamiento y análisis de datos. Este proceso es un ciclo a medida que se identifican nuevos problemas y lagunas de conocimiento durante el desarrollo de inteligencia, lo que conduce a la definición de nuevos requisitos de recopilación.
En este sentido, un programa de inteligencia efectivo es iterativo y se vuelve más refinado con el tiempo.
Para maximizar el valor de la inteligencia de amenazas que produce, es fundamental identificar sus casos de uso y definir objetivos antes de hacer cualquier otra cosa. ¡Sigue los temas que siguen!
1. Planificación y dirección
El primer paso para producir inteligencia de amenazas procesable es hacer las preguntas correctas.
Las preguntas que mejor impulsan la creación de inteligencia procesable sobre amenazas se centran en un solo hecho, evento o actividad; por lo general, se deben evitar las preguntas amplias y abiertas.
Priorice sus objetivos de inteligencia en función de factores como qué tan cerca se adhieren a los valores fundamentales de su organización, qué tan grande será el impacto que tendrá la decisión resultante y qué tan delicada es la decisión.
Un factor de orientación importante en esta etapa es comprender quién consumirá y se beneficiará del producto final.
Tienes que preguntar y responder:
- ¿Irá la inteligencia a un equipo de analistas con conocimientos técnicos que necesitan un informe rápido sobre un nuevo exploit?
- ¿O para un ejecutivo que busca una visión general amplia de las tendencias para informar sus decisiones de inversión en seguridad para el próximo trimestre?
2. Colección
El siguiente paso es recopilar datos sin procesar que cumplan con los requisitos definidos en la primera etapa. Lo mejor es recopilar activos de información de una amplia variedad de fuentes: internas, como registros de eventos de red y registros de respuesta a incidentes anteriores; y fuentes externas de la web abierta, web oscura y fuentes técnicas.
Los datos de amenazas generalmente se consideran listas de IoC, como direcciones IP maliciosas, dominios y hash de archivos. Pero también puede incluir información de vulnerabilidad, como información de identificación personal de los clientes, código sin procesar de sitios web pegados y texto de fuentes de noticias o redes sociales.
3. Procesamiento
Después de recopilar todos los datos sin procesar, debe clasificarlos, organizarlos con etiquetas de metadatos y filtrar información redundante o falsos positivos y negativos.
Hoy en día, incluso las organizaciones pequeñas recopilan datos del orden de millones de eventos de registro y cientos de miles de indicadores todos los días. Es demasiado para que los analistas humanos lo procesen de manera eficiente: la recopilación y el procesamiento de datos deben automatizarse para comenzar a tener sentido.
Soluciones como SIEM son un buen punto de partida porque hacen que la estructuración de datos sea relativamente fácil con reglas de correlación que se pueden configurar para algunos casos de uso diferentes, pero solo pueden admitir una cantidad limitada de tipos de datos.
Si recopila datos no estructurados de muchas fuentes internas y externas diferentes, necesitará una solución más robusta.
4. análisis
El siguiente paso es comprender los datos procesados. El propósito del análisis es buscar posibles problemas de seguridad y notificar a los equipos relevantes en un formato que cumpla con los requisitos de inteligencia descritos en el paso de planificación y dirección.
La inteligencia de amenazas puede tomar muchas formas, según sus objetivos iniciales y el público objetivo. Pero la idea es poner los activos de información en un formato que el público entienda, que puede variar desde simples listas de amenazas hasta informes revisados por pares.
5. Divulgación
El producto terminado luego se distribuye a sus consumidores previstos. Para que la inteligencia de amenazas sea procesable, debe llegar a las personas adecuadas en el momento adecuado.
También debe ser rastreable, para que haya continuidad entre un ciclo de inteligencia y el siguiente. De esa manera, el aprendizaje no se perderá.
Se recomienda utilizar sistemas de emisión de tickets que se integren con sus otros sistemas de seguridad para realizar un seguimiento de cada paso del ciclo de inteligencia: cada vez que llega una nueva solicitud de inteligencia, varias personas de diferentes equipos pueden enviar, escribir, revisar y completar tickets.
6. Comentarios
La etapa final es cuando se completa el ciclo de inteligencia, por lo que está estrechamente relacionado con la fase inicial de planificación y dirección.
Después de recibir el producto de inteligencia terminado, el solicitante inicial lo revisa y determina si sus preguntas han sido respondidas. Esto impulsa los objetivos y procedimientos del próximo ciclo de inteligencia, haciendo que la documentación y la continuidad sean esenciales.
¿Cómo se está manejando el tema de inteligencia de amenazas en su empresa? Profundiza en este concepto descargando el eBook que acabamos de lanzar!