Evaluación de las fuentes de inteligencia de amenazas

22 May 2019

A medida que la superficie de ataque se extiende y ante la creciente sofisticación de las amenazas, reaccionar ante un incidente ya no es suficiente. Los entornos cada vez más complejos proporcionan numerosas oportunidades de ataque. Cada industria y cada organización posee información única que debe proteger y utiliza sus propios conjuntos de aplicaciones, tecnologías y demás, lo que introduce una enorme cantidad de variables en los posibles métodos de ataque, que se multiplican cada día.

En los últimos años, hemos percibido cómo se han difuminado los límites que clasifican los tipos de amenazas y de autores de amenazas. Los métodos y herramientas que antes suponían una amenaza a un número reducido de organizaciones se han extendido hacia un mercado más amplio. Un ejemplo es el grupo Shadow Brokers que, con la publicación de su código, puso exploits sofisticados al alcance de grupos cibercriminales que de otro modo no hubieran tenido acceso a un código tan sofistacado. Otro ejemplo es la aparición de las campañas de amenazas avanzadas persistentes (APT, por sus siglas en inglés) que no se centran en el ciberespionaje, sino en el robo de dinero que utilizan para financiar otras actividades en las que los grupos de APT están involucrados. Por desgracia, la lista continúa.

Necesitamos una nueva estrategia

Cada vez más empresas se convierten en víctimas de los ataques avanzados y dirigidos, por lo que es evidente la necesidad de nuevos métodos de defensa. Para protegerse, necesitan una estrategia proactiva que adapte constantemente sus controles de seguridad al entorno de amenazas en continuo cambio. Para poder afrontar estos cambios, es necesario diseñar un programa de inteligencia de amenazas efectivo.

La inteligencia de amenazas se ha convertido en una parte crucial de las operaciones de seguridad que han establecido las empresas de diversa magnitud en todos los sectores y regiones. Mediante formatos legibles para humano y máquina, la inteligencia de amenazas puede respaldar a los equipos de seguridad con información significativa durante la gestión de los incidentes y proporcionar información para la elaboración de la estrategia.

Sin embargo, la creciente demanda de un servicio externo de inteligencia de amenazas ha generado el aumento de los proveedores y cada uno ofrece un conjunto de servicios diferentes. El mercado es amplio y competitivo con un sinfín de opciones complejas, por lo que puede resultar muy confuso y frustrante la elección de la solución indicada para tu empresa.

Operaciones de seguridad basadas en la inteligencia de amenazas

 

Una inteligencia de amenazas que no se adapte a tu negocio puede agravar el problema. En muchas empresas actuales, los analistas de seguridad invierten más de la mitad de su tiempo descartando los falsos positivos en lugar de dedicarse a la detección y respuesta preventiva de amenazas, lo que aumenta significativamente los tiempos de detección. Introducir datos de inteligencia irrelevantes o imprecisos incrementará las alertas falsas, lo que repercute de forma grave y negativa en tu capacidad de respuesta y en la seguridad general de tu empresa.

¿Cuál es la mejor opción?

Entonces, ¿cómo evalúas las numerosas fuentes de inteligencia de amenazas? ¿Cómo puedes saber cuál es la indicada para tu organización y cómo implementarla de modo eficiente? ¿Cómo afrontas las campañas de publicidad en las que cada proveedor afirma que sus servicios de inteligencia son los mejores?

Pero debes preguntarte otra cosa antes. Muchas organizaciones, atraídas por los mensajes deslumbrantes y las grandes promesas, creen que un proveedor externo puede dotarlos de una especie de superpoder, como visión de rayos X, omitiendo el hecho de que la inteligencia más valiosa se encuentra dentro de los límites de tus propias redes corporativas.

Los datos provenientes de los sistemas prevención y detección de intrusos, cortafuegos, registros de aplicación y registros de otros controles de seguridad revelan mucho sobre lo que sucede en las redes de la empresa. Por ejemplo, pueden identificar patrones de actividad maliciosa específica contra la organización, diferenciar entre el comportamiento de usuarios normales y el de redes, ayudar a dar seguimiento a las actividades que dan acceso a datos e identificar una brecha de datos potencial que necesita remediarse, entre otras muchas cosas. Todo esto permite a las empresas implementar la inteligencia de amenazas, relacionándola con lo que se ha observado en el interior. De otro modo, usar fuentes externas puede tornarse difícil. De hecho, algunos proveedores pueden tener una visión más amplia de las ciberamenazas debido a su presencia global y a su capacidad de recopilar, procesar y correlacionar los datos provenientes de diversas partes del mundo. Pero esto solamente es útil cuando el contexto interno es suficiente.

Puesta en práctica de la inteligencia de amenazas externa

Piensa como un atacante

Para diseñar un programa de inteligencia de amenazas efectivo, las empresas (incluidas aquellas con centros de operaciones de seguridad establecidos) deben pensar como un atacante, y por lo tanto, identificar y proteger los objetivos más comunes. Para obtener el valor real de un programa de inteligencia de amenazas, hace falta entender cuáles son los activos cruciales, los conjuntos de datos y los procesos de la empresa necesarios para lograr los objetivos de la organización. La identificación de estas “joyas de la corona” permite a las empresas establecer puntos de recopilación de datos en torno a ellos para esquematizar aún más los datos recogidos con la ayuda de la información externa sobre amenazas. En vista de los recursos limitados con los que comúnmente cuentan los departamentos de seguridad, describir una organización en su totalidad constituye un esfuerzo formidable. La solución es adoptar una estrategia basada en riesgos, centrando la atención en los objetivos más susceptibles.

Una vez que las fuentes de inteligencia de amenazas queden definidas e implementadas, la empresa puede comenzar a pensar en añadir información externa a sus flujos de trabajo existentes.

Es un asunto de confianza

Las fuentes de inteligencia de amenazas varían según sus niveles de confianza:

  • Las fuentes de código abierto son gratuitas, pero a menudo carecen de contexto y arrojan un número considerable de falsos positivos.
  • Para empezar, está el acceso a las comunidades que comparten inteligencia específica para la industria; por ejemplo, Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC). Estas comunidades proporcionan información extremadamente valiosa, aunque son de acceso restringido, por lo que requieren una afiliación para poder acceso.
  • Las fuentes de inteligencia de amenazas comerciales son de más confianza, aunque las cuotas de acceso pueden ser elevadas.

En la elección de las fuentes de inteligencia de amenazas suele primar la calidad sobre la cantidad. Algunas organizaciones piensan que, cuantas más fuentes de inteligencia de amenazas integren, mayor será la visibilidad. Esto puede ser cierto en algunos casos; por ejemplo, las fuentes de confianza, incluyendo las opciones comerciales, que proporcionan inteligencia de amenazas adaptada al perfil de amenazas específicas de la organización, pues, de lo contrario, existe un riesgo considerable de que sobrecargue tus operaciones de seguridad con información irrelevante.

La información que proporcionan los proveedores de inteligencia de amenazas puede que no coincida. Como sus fuentes de inteligencia y sus métodos de recopilación varían, los conocimientos que facilitan son únicos en ciertos aspectos. Por ejemplo, un proveedor de gran presencia en una región específica proporcionará más información sobre las amenazas que surjan en esa región, mientras que otro facilitará más detalles acerca del tipo de amenaza. Tener acceso a ambas fuentes puede resultar beneficioso y, utilizadas en conjunto, pueden proporcionar una perspectiva más amplia y guiar en la detección efectiva de amenazas y en la respuesta a incidentes. Sin embargo, ten en cuenta que, independientemente del nivel de confianza, todas estas fuentes requieren una cuidadosa evaluación previa para garantizar que el servicio de inteligencia que proporcionan es adecuado a las necesidades particulares y a los casos de aplicación de tu organización, como las operaciones de seguridad, la repuesta a incidentes, la gestión de riesgos y vulnerabilidades, el red teaming (simulacros de ataque) y demás.

Qué debes tener en cuenta cuando evalúes los diferentes servicios de inteligencia de amenazas

No hay unos criterios comunes para evaluar las diversas opciones comerciales de los servicios de inteligencia de amenazas; sin embargo, sí que hay un par de cosas que debes tener en cuenta:

  • Busca una inteligencia de alcance global. Los ataques no tienen fronteras: una agresión contra una empresa latinoamericana puede tener origen en Europa y viceversa. ¿Recaba el proveedor la información de todo el mundo y recopila actividades en apariencia no relacionadas en campañas unificadas?
  • Si buscas un contenido más estratégico para la planificación de tu estrategia de seguridad, te sugerimos centrarte en:
    • Un panorama de alto nivel de las tendencias de ataque.
    • Técnicas y métodos empleados por los atacantes.
    • Motivaciones.
    • Atribuciones, etc.

A continuación, busca un proveedor de inteligencia de amenazas con una trayectoria probada de investigación y detección de amenazas complejas en tu región o industria. Asimismo, es fundamental que el proveedor adapte sus habilidades de investigación a las características de tu empresa.

  • El contexto permite elaborar la información de inteligencia a partir de los datos. Los indicadores de amenazas carecen de valor si no tienen contexto. Por tanto, debes buscar a los proveedores que te ayuden a responder a la siguiente pregunta: “¿por qué es importante esto?”. El contexto de las relaciones (por ejemplo, los dominios asociados con las direcciones IP detectadas o las URL desde las cuales se ha descargado el archivo específico) proporciona el valor adicional, impulsa la investigación de incidentes y respalda una mejor examinación del incidente mediante el descubrimiento de los indicadores de compromiso relacionados y recientemente adquiridos en la red.
  • Damos por hecho que tu empresa ha implementado ya algunos controles de seguridad, con los procesos asociados definidos, y que consideras importante relacionar la inteligencia de amenazas con las herramientas que ya conoces y utilizas. Por tanto, busca los métodos de entrega, los mecanismos de integración y los formatos que respalden la integración uniforme de la inteligencia de amenazas en tus operaciones de seguridad existentes.

En Kaspersky Lab llevamos más de dos décadas centrados en la investigación de amenazas. Con petabytes de datos valiosos sobre amenazas por explotar, tecnologías de aprendizaje automático avanzado y un equipo global único de expertos, trabajamos para proporcionarte la inteligencia de amenazas más actualizada del mundo que te ayuda a permanecer inmune incluso frente a ciberataques inéditos. Para más información, visita la página web de Kaspersky for Security Operations Center.