Entender la inteligencia sobre ciberamenazas
.
.
Por: Allen Funkhouser, analista de seguridad de la información de Netskope
¿Qué es la inteligencia sobre ciberamenazas? “Si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de cien batallas. Si te conoces a ti mismo, pero no al enemigo, por cada victoria obtenida sufrirás también una derrota. Si no conoces ni al enemigo ni a ti mismo, sucumbirás en cada batalla”. — Sun Tzu
La cita anterior de Sun Tzu resume perfectamente la inteligencia sobre ciberamenazas (CTI). El objetivo final de cualquier programa de CTI es la recopilación de inteligencia sobre las amenazas que se pueden dirigir hacia la organización y la utilización de esa inteligencia para enriquecer sus programas de seguridad. Por tanto, el primer paso de la CTI no es mirar hacia fuera, sino hacia dentro. Mirar a la organización y entender la superficie de ataque, recopilando una lista del stack tecnológico de la organización, en qué sector opera, dónde opera y qué puntos ciegos potenciales hay en el stack de seguridad. Comprender la organización y su funcionamiento permite a los programas de CTI encontrar las amenazas a las que probablemente se enfrente la organización, en lugar de limitarse a comprender las amenazas generales. Después de mirar hacia dentro, el personal de CTI empezará a mirar hacia fuera en el panorama de las amenazas. En esta investigación, la hipótesis de la CTI debe ser trazada con respecto a los tipos de amenazas que esperan descubrir utilizando factores como, quién, qué, dónde, con, por qué y cómo. Para ayudar a responder a cada una de estas preguntas, la CTI puede dividirse en cuatro categorías diferentes: estratégica, táctica, técnica y operativa.
La inteligencia sobre ciberamenazas es algo más que los IoC
Los departamentos de seguridad pueden caer fácilmente en la trampa de que los IoCs solo se centran en gestionar una lista de IoCs para construir listas de bloqueos y permisos. Sin embargo, los IoC son sólo una pieza del rompecabezas de la CTI. La mayoría de los IoCs son de corta duración y sin contexto no son útiles cuando se trata de construir una política de seguridad alrededor de ellos. La CTI, que proporciona IoCs, también tiene el objetivo de correlacionar los IoCs con otra información sobre amenazas, como los perpetradores de la amenaza (quién), la infraestructura (qué), el país de origen o los países objetivo habituales (dónde), las capacidades (con), los objetivos finales del atacante (por qué), y las tácticas, técnicas y procedimientos del atacante (cómo). Teniendo en cuenta este contexto, la CTI cuenta una historia en torno a un conjunto de IoCs poniendo el contexto de por qué el IoC es importante y desde dónde se origina.
¿Por qué realizar inteligencia sobre ciberamenazas?
La realización de CTI proporciona valor al personal de seguridad, desde los ejecutivos hasta los analistas, ofreciendo información sobre el dinámico panorama de amenazas en el que operan las organizaciones hoy en día. A nivel de liderazgo, puede capacitar a los líderes para tomar decisiones operativas informadas dentro de la organización. En el caso de los departamentos de seguridad, la CTI mejora el rendimiento del equipo humano al proporcionar información crítica sobre la mejor manera de detectar o mitigar las amenazas actuales. El SOC utilizaría la información de la CTI para asegurarse de que se alerta sobre los últimos IoC, la TVM (gestión de amenazas y vulnerabilidades) para estar informados sobre las vulnerabilidades más recientes explotadas activamente, y los cazadores de amenazas para comprender los TTP y las motivaciones de los perpetradores de las amenazas. Con cada bit de conocimiento adquirido, los departamentos de seguridad pueden estar mejor preparados para mitigar, detectar y remediar cualquier amenaza a la que la organización se pueda enfrentar.