Cómo elegir una Plataforma de Inteligencia ante Amenazas que aumente el rendimiento del SOC

Disponer de un SOC ayuda a defender proactivamente la empresa, pero su creación desencadena una avalancha de datos procedentes de fuentes dispares que, a menudo, saturan a los equipos internos e impiden que el centro funcione con efectividad.

Por eso, es fundamental elegir y gestionar una plataforma de Inteligencia ante Amenazas que sirva como repositorio central para todos los datos e inteligencia de amenazas de fuentes internas y ajenas, capaz de ofrecer un contexto básico en torno a las amenazas que ayude al equipo a entender quién está detrás de un ataque cibernético, cuándo se ha producido, cómo ha ocurrido y cuál es el fin de la amenaza. Así se pueden priorizar las defensas, basándose en los parámetros establecidos por la organización, filtrando el ruido para que las acciones resultantes sean claras y precisa.

El especialista en ciberinteligencia ThreatQuotient ha identificado los cinco criterios que una organización debe tener en cuenta a la hora de eligir la plataforma:

1. Capacidad para consumir datos estructurados y no estructurados
Una plataforma de este tipo tiene que ser capaz de importar datos de todas las fuentes posibles, tanto internas como externas, propietarias y de código abierto, y en todos los formatos, ya sean estructurados o no. Esto incluye datos de todo el sistema de herramientas de seguridad modernas, como la detección y respuesta de puntos finales (EDR), la detección y respuesta de redes (NDR) y la detección y respuesta en la nube (CDR). Para los datos no estructurados, como los blogs y las publicaciones en las redes sociales, la plataforma debe poder analizar y extraer datos "descolocados" o "neutralizados", por ejemplo, neutralizando las URL potencialmente peligrosas y haciéndolas legibles para los analistas.

2. El contexto es lo más importante
El contexto es la pieza fundamental del rompecabezas que permite a los equipos dar sentido a lo que la masa de indicadores les está señalando y reaccionar correctamente. Es importante determinar si el proveedor de TIP importa todos los datos y/o modifica alguno de ellos. Los cambios de mejora pueden ser convenientes, ya que una capa de normalización es crucial para los esfuerzos de eliminación de duplicados. Ahora bien, la normalización y la unificación de los datos deben hacerse preservando el contexto.

3. Puntuación y priorización
El gran volumen de indicadores que se publican en la actualidad impide hacer un seguimiento de todos ellos. Por ello, la puntuación y el establecimiento de prioridades es una característica clave de un TIP eficaz. Los equipos necesitan un método para priorizar los indicadores que deben ser detectados para investigarlos, bloquearlos o descartarlos como no amenazantes. Una TIP progresiva les permite establecer su propio algoritmo de puntuación basado en cualquier dato del sistema, convirtiéndola en una solución de gestión de amenazas más personalizada y precisa.

4. Múltiples opciones de integración
La integración con todo el ecosistema de herramientas de seguridad es fundamental para la propuesta de valor de un TIP. Cuanto más estrecha sea la integración, menos trabajo manual tendrán los analistas que realizar y mayor será la eficiencia de los equipos de operaciones.

5. Automatización e investigaciones basadas en datos
Para los equipos de seguridad bajo presión, la capacidad de automatizar tareas repetitivas, lentas y de bajo nivel es esencial. Si una herramienta puede combinar esta automatización con los datos en tiempo real y el contexto necesario para capacitar a los analistas para investigar incidentes sensibles al tiempo y de alto impacto, ¡aún mejor! Efectivamente, los equipos necesitan un equilibrio entre la automatización y la investigación manual, y la plataforma de inteligencia de amenazas debería brindarlo mediante un enfoque nativo basado en datos.