Claves para mejorar el análisis de los informes de amenazas y sacarles provecho

  • Actualidad

Expertos de ThreatQuotient y FireEye han compartido en un evento cinco consejos para aprovechar todo el valor de los datos sobre amenazas que las empresas reciben.Ambas firmas recomiendan seleccionar las fuentes de datos adecuadas para cada empresa, determinar quién va a adquirir los datos, estructurarlos, utilizar herramientas que faciliten el análisis y elegir soluciones que ayuden a que los datos sean procesables.

Recomendados: 

Demostración de un ataque dirigido a entornos OT Webinar

Ciberseguridad industrial, protegiendo las redes IT y OT Leer 

Ciberseguridad orientada al futuro Leer 

La mayoría de las empresas disponen de más información sobre amenazas de la que piensan, pero no saben qué hacer con ella. Por eso, Yann Le Borgne, director técnico de ThreatQuotient Europa, y David Grout, CTO de FireEye han considerado oportuno detallar en un evento conjunto los cinco pasos fundamentales para analizar un informe de amenazas y sacar todo el valor posible de estos datos.

Estas han sido sus conclusiones: 

Seleccionar las fuentes de datos sobre amenazas adecuadas para cada empresa
La importancia de identificar las fuentes adecuadas para la organización y recopilar informes ante amenazas de varias fuentes diferentes es esencial, ya que proporcionan diferentes niveles de contenido: estratégico, operativo y táctico. Averiguar el quién, el qué y el cuándo del consumo y utilizarlo para la métrica del éxito cuando se busque la adquisición de los datos.

Como la inteligencia de código abierto (OSINT) es gratuita y de fácil acceso, la mayoría de las organizaciones la utilizan ampliamente. Pero las empresas también deben tener en cuenta la confianza y la fiabilidad de las fuentes. En una jerarquía clásica, el nivel más alto de confianza proviene de la inteligencia que generas y recibes de tu red cercana y de tus compañeros, y la información OSINT se sitúa en el nivel más bajo. Se recomienda utilizar modelos de confianza como el Sistema del Almirantazgo o el Sistema de la OTAN, que clasifica la información de la A a la F en cuanto a fiabilidad y del 1 al 6 en cuanto a credibilidad, sobre todo en el caso de las nuevas fuentes que surgen en momentos de crisis o brotes. Aplicar esta escala a la información sobre amenazas ayuda a determinar qué hacer con los datos y reduce los falsos positivos y el ruido generado por los datos no validados y no confirmados.

Determinar quién va a adquirir los datos
Si bien puede ser bueno proporcionar acceso a todas las fuentes de información sobre amenazas a todos los grupos implicados, probablemente sea todavía mejor tener un equipo responsable de adquirir y analizar los informes y solo entregar la información que sea procesable. No todas las partes interesadas necesitan todos los niveles de información.

Hay que determinar cómo repercutirá el mismo informe y cómo lo utilizarán los distintos equipos de la organización. Diferentes equipos pueden utilizar diferentes aspectos del mismo informe de diferentes maneras para lograr sus resultados deseados, por ejemplo, modificando la política (estratégica), lanzando campañas de caza (operativa) o difundiendo indicadores técnicos (táctica). Un informe sobre amenazas en formato PDF requiere mucho trabajo para traducir la información que contiene en datos procesables para diferentes grupos de usuarios, por lo que es importante que un equipo dedicado adquiera los datos.

Estructurar los datos para el análisis
Los tres pasos para el análisis incluyen: comprender el contexto del informe, su relevancia y relacionarlo con cualquier informe, inteligencia e incidente anterior. Este proceso permite contextualizar y priorizar la inteligencia, pero requiere que los datos estén estructurados de manera uniforme. Los datos sobre amenazas vienen en varios formatos (por ejemplo, STIX, técnicas de MITRE ATT&CK, artículos de noticias, blogs, tweets, informes de la industria de la seguridad, indicadores de compromiso (IoC) de feeds de amenazas, repositorios de GitHub, reglas de Yara y firmas de Snort) y necesitan ser normalizados. La información que recoge, en el informe Ryuk por ejemplo, se expresa con su propio vocabulario y es necesario traducirla a un formato legible por la máquina para enlazarla con otros informes y fuentes de información relacionados.

Además, no se trata solo del formato. El volumen de información ante amenazas es elevado y los distintos grupos utilizan nombres diferentes para referirse a lo mismo. La normalización compensa esto y permite agregar y organizar la información rápidamente. Estructurar los datos para poder priorizarlos es fundamental para el triaje y garantiza que nos centremos en las amenazas más importantes.

Utilizar herramientas de ayuda al análisis
Las herramientas que se utilizan deben apoyar el resultado deseado. Una plataforma de inteligencia ante amenazas (TIP) hace un buen trabajo de extracción de contexto y puede ayudarte a utilizar la información de varias maneras para diferentes casos de uso (por ejemplo, triaje de alertas, caza de amenazas, phishing selectivo, respuesta a incidentes) y para apoyar diferentes resultados.

También es importante que la herramienta que seleccionas funcione bien con marcos como MITRE ATT&CK. MITRE es el marco más utilizado para organizar el proceso de análisis. Los clientes están identificando sus joyas de la corona y mapeando a MITRE para entender qué adversarios podrían atacarlos, las tácticas, técnicas y procedimientos (TTPs) en los que concentrarse, y qué acciones tomar.

Elegir las herramientas adecuadas para ayudar a que los datos sean procesables
El análisis permite establecer prioridades para poder determinar las acciones adecuadas. Existe una variedad de herramientas para ayudar a que los informes sobre amenazas y otros elementos de su programa de threat intelligence sean procesables y logren los resultados deseados a nivel estratégico (informes ejecutivos), a nivel operativo (cambios en la postura de seguridad) y a nivel táctico (actualización de reglas y firmas).