La inteligencia de amenazas, cada vez más relevante en las operaciones de seguridad

Recomendados:  Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

ThreatQuotient ha analizado la evolución de este tipo de soporte tecnológico con el objetivo de demostrar la importancia que tiene para las empresas reducir el tiempo de actuación ante los ciberataques.

Las plataformas de gestión de inteligencia sobre ciberamenazas fueron inicialmente diseñadas para normalizar los datos procedentes de fuentes de amenazas externas y en la automatización del uso de esos datos en los centros de operaciones de seguridad (SOC), y en particular en los SIEM. Con el tiempo, este uso siguió desarrollándose, pero ahora las plataformas de gestión de inteligencia desempeñan un papel mucho más global y multifuncional.

Según explica el especialista en ciberinteligencia, uno de los principales motivos por los que se ha ido adaptando ha sido la concienciación cada vez mayor de que las principales fuentes de inteligencia sobre amenazas de una empresa son internas y se corresponden con los datos generados por los distintos servicios utilizados (detección, respuesta, gestión de vulnerabilidades, SecOps, riesgo, fraude, etc.). La consideración de estas fuentes ha dado a las empresas nuevas perspectivas y una nueva función a las plataformas de gestión de la inteligencia sobre amenazas. En concreto, permitir que todas las partes internas aprovechen todas estas fuentes de inteligencia sobre amenazas para tomar mejores decisiones y mitigar el riesgo.

"Centro de fusión": mejorando la comunicación
En la mayoría de las organizaciones, los equipos de seguridad trabajan en núcleos con diferentes cometidos: detección (dentro de uno o varios SOC, a veces externos), respuesta a incidentes (dentro de un CSIRT o CERT), gestión de vulnerabilidades, seguridad de puntos finales, protección perimetral (gestión de políticas de reputación), etc. Cada departamento tiene sus propias herramientas, equipos y procesos, pero la comunicación entre ellos es limitada. Este enfoque fundamental de distribución de funciones por segmentos tiende a generar pérdidas de información.

El concepto de centro de fusión un medio innovador y muy eficaz para reducir la pérdida de información. Esta evolución garantiza que cada lección aprendida por personas o máquinas en cada uno de estos departamentos pueda transmitirse a todos los departamentos en tiempo real para la toma de decisiones y la priorización de acciones. En este sentido, Eutimio Fernández, country manager de ThreatQuotient en España, explica que  “no se trata de romper los núcleos, sino de poner en marcha un proceso estructurado y automático de intercambio de información entre ellos. Cada departamento ya aprovecha su propio trabajo; aquí se trata de compartir esos conocimientos de forma global y transversal para mejorar la eficacia global de la seguridad”.

En un centro de fusión, la plataforma de gestión de la inteligencia desempeña un doble papel, desde el punto de vista operativo como sistema de comunicación entre segmentos y, desde el punto de vista estratégico, como depósito central de las amenazas observadas por la empresa.

Plataforma de gestión de la inteligencia
A medida que los equipos de seguridad siguen madurando y se dedican cada vez más a la caza de amenazas, las plataformas de gestión de inteligencia se están aplicando también para apoyar este caso de uso. Alimentada por fuentes de inteligencia externas e internas de varios departamentos, la plataforma de gestión de inteligencia se convierte en una herramienta importante para llevar a cabo un análisis preciso de la amenaza clave para la empresa. Mediante la integración de marcos de trabajo especializados como, por ejemplo, MITRE ATT&CK, los analistas tienen acceso a las técnicas y tácticas detalladas utilizadas por los adversarios detectados. La plataforma se convierte así en el trampolín de la caza de amenazas para la empresa, permitiéndole tomar las decisiones necesarias para optimizar sus recursos antes de iniciar cualquier campaña de caza de amenazas.

“La inteligencia sobre amenazas se ha convertido en el alma de las operaciones de seguridad. A medida que surgen nuevos casos de uso, se ha convertido en una parte integral para aprovechar los equipos, las herramientas y los procesos de manera más eficiente y eficaz. La propia plataforma de gestión de inteligencia también ha evolucionado para permitir la comunicación y la colaboración entre un equipo pequeño o varios equipos. Con la inteligencia sobre amenazas relevante y priorizada que fluye a través de todos los departamentos de seguridad según sea necesario, las empresas están tomando decisiones más informadas y adoptando las acciones correctas más rápidamente”, concluye el responsable de la firma en España.