{"id":18466,"date":"2019-05-22T13:24:00","date_gmt":"2019-05-22T11:24:00","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18466"},"modified":"2019-11-22T10:52:55","modified_gmt":"2019-11-22T08:52:55","slug":"evaluating-threat-intelligence","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/evaluating-threat-intelligence\/18466\/","title":{"rendered":"Evaluaci\u00f3n de las fuentes de inteligencia de amenazas"},"content":{"rendered":"

A medida que la superficie de ataque se extiende y ante la creciente sofisticaci\u00f3n de las amenazas, reaccionar ante un incidente ya no es suficiente. Los entornos cada vez m\u00e1s complejos proporcionan numerosas oportunidades de ataque. Cada industria y cada organizaci\u00f3n posee informaci\u00f3n \u00fanica que debe proteger y utiliza sus propios conjuntos de aplicaciones, tecnolog\u00edas y dem\u00e1s, lo que introduce una enorme cantidad de variables en los posibles m\u00e9todos de ataque, que se multiplican cada d\u00eda.<\/p>\n

En los \u00faltimos a\u00f1os, hemos percibido c\u00f3mo se han difuminado los l\u00edmites que clasifican los tipos de amenazas y de autores de amenazas. Los m\u00e9todos y herramientas que antes supon\u00edan una amenaza a un n\u00famero reducido de organizaciones se han extendido hacia un mercado m\u00e1s amplio. Un ejemplo es el grupo Shadow Brokers que, con la publicaci\u00f3n de su c\u00f3digo, puso exploits<\/em> sofisticados al alcance de grupos cibercriminales que de otro modo no hubieran tenido acceso a un c\u00f3digo tan sofistacado. Otro ejemplo es la aparici\u00f3n de las campa\u00f1as de amenazas avanzadas persistentes (APT, por sus siglas en ingl\u00e9s) que no se centran en el ciberespionaje, sino en el robo de dinero que utilizan para financiar otras actividades en las que los grupos de APT est\u00e1n involucrados. Por desgracia, la lista contin\u00faa.<\/p>\n

Necesitamos una nueva estrategia<\/h3>\n

Cada vez m\u00e1s empresas se convierten en v\u00edctimas de los ataques avanzados y dirigidos, por lo que es evidente la necesidad de nuevos m\u00e9todos de defensa. Para protegerse, necesitan una estrategia proactiva que adapte constantemente sus controles de seguridad al entorno de amenazas en continuo cambio. Para poder afrontar estos cambios, es necesario dise\u00f1ar un programa de inteligencia de amenazas efectivo.<\/p>\n

La inteligencia de amenazas se ha convertido en una parte crucial de las operaciones de seguridad que han establecido las empresas de diversa magnitud en todos los sectores y regiones. Mediante formatos legibles para humano y m\u00e1quina, la inteligencia de amenazas puede respaldar a los equipos de seguridad con informaci\u00f3n significativa durante la gesti\u00f3n de los incidentes y proporcionar informaci\u00f3n para la elaboraci\u00f3n de la estrategia.<\/p>\n

Sin embargo, la creciente demanda de un servicio externo de inteligencia de amenazas ha generado el aumento de los proveedores y cada uno ofrece un conjunto de servicios diferentes. El mercado es amplio y competitivo con un sinf\u00edn de opciones complejas, por lo que puede resultar muy confuso y frustrante la elecci\u00f3n de la soluci\u00f3n indicada para tu empresa.<\/p>\n

\"\"

Operaciones de seguridad basadas en la inteligencia de amenazas<\/p><\/div>\n

\u00a0<\/p>\n

Una inteligencia de amenazas que no se adapte a tu negocio puede agravar el problema. En muchas empresas actuales, los analistas de seguridad invierten m\u00e1s de la mitad de su tiempo descartando los falsos positivos en lugar de dedicarse a la detecci\u00f3n y respuesta preventiva de amenazas, lo que aumenta significativamente los tiempos de detecci\u00f3n. Introducir datos de inteligencia irrelevantes o imprecisos incrementar\u00e1 las alertas falsas, lo que repercute de forma grave y negativa en tu capacidad de respuesta y en la seguridad general de tu empresa.<\/p>\n

\u00bfCu\u00e1l es la mejor opci\u00f3n?<\/h3>\n

Entonces, \u00bfc\u00f3mo eval\u00faas las numerosas fuentes de inteligencia de amenazas? \u00bfC\u00f3mo puedes saber cu\u00e1l es la indicada para tu organizaci\u00f3n y c\u00f3mo implementarla de modo eficiente? \u00bfC\u00f3mo afrontas las campa\u00f1as de publicidad en las que cada proveedor afirma que sus servicios de inteligencia son los mejores?<\/p>\n

Pero debes preguntarte otra cosa antes. Muchas organizaciones, atra\u00eddas por los mensajes deslumbrantes y las grandes promesas, creen que un proveedor externo puede dotarlos de una especie de superpoder, como visi\u00f3n de rayos X, omitiendo el hecho de que la inteligencia m\u00e1s valiosa se encuentra dentro de los l\u00edmites de tus propias redes corporativas.<\/p>\n

Los datos provenientes de los sistemas prevenci\u00f3n y detecci\u00f3n de intrusos, cortafuegos, registros de aplicaci\u00f3n y registros de otros controles de seguridad revelan mucho sobre lo que sucede en las redes de la empresa. Por ejemplo, pueden identificar patrones de actividad maliciosa espec\u00edfica contra la organizaci\u00f3n, diferenciar entre el comportamiento de usuarios normales y el de redes, ayudar a dar seguimiento a las actividades que dan acceso a datos e identificar una brecha de datos potencial que necesita remediarse, entre otras muchas cosas. Todo esto permite a las empresas implementar la inteligencia de amenazas, relacion\u00e1ndola con lo que se ha observado en el interior. De otro modo, usar fuentes externas puede tornarse dif\u00edcil. De hecho, algunos proveedores pueden tener una visi\u00f3n m\u00e1s amplia de las ciberamenazas debido a su presencia global y a su capacidad de recopilar, procesar y correlacionar los datos provenientes de diversas partes del mundo. Pero esto solamente es \u00fatil cuando el contexto interno es suficiente.<\/p>\n

<\/div>\n
\"\"

Puesta en pr\u00e1ctica de la inteligencia de amenazas externa<\/p><\/div>\n

Piensa como un atacante<\/h3>\n

Para dise\u00f1ar un programa de inteligencia de amenazas efectivo, las empresas (incluidas aquellas con centros de operaciones de seguridad establecidos) deben pensar como un atacante, y por lo tanto, identificar y proteger los objetivos m\u00e1s comunes. Para obtener el valor real de un programa de inteligencia de amenazas, hace falta entender cu\u00e1les son los activos cruciales, los conjuntos de datos y los procesos de la empresa necesarios para lograr los objetivos de la organizaci\u00f3n. La identificaci\u00f3n de estas \u201cjoyas de la corona\u201d permite a las empresas establecer puntos de recopilaci\u00f3n de datos en torno a ellos para esquematizar a\u00fan m\u00e1s los datos recogidos con la ayuda de la informaci\u00f3n externa sobre amenazas. En vista de los recursos limitados con los que com\u00fanmente cuentan los departamentos de seguridad, describir una organizaci\u00f3n en su totalidad constituye un esfuerzo formidable. La soluci\u00f3n es adoptar una estrategia basada en riesgos, centrando la atenci\u00f3n en los objetivos m\u00e1s susceptibles.<\/p>\n

Una vez que las fuentes de inteligencia de amenazas queden definidas e implementadas, la empresa puede comenzar a pensar en a\u00f1adir informaci\u00f3n externa a sus flujos de trabajo existentes.<\/p>\n

Es un asunto de confianza<\/h3>\n

Las fuentes de inteligencia de amenazas var\u00edan seg\u00fan sus niveles de confianza:<\/p>\n