¿Por qué es importante avanzar en el área de Inteligencia de Amenazas?

En su último informe SANS CTI 2022, ThreatQuotient ha analizado cómo han reaccionado las empresas ante el panorama actual de ciberamenazas registradas en los últimos doce meses, aún más peligrosas y de consecuencias más dañinas que las hasta ahora conocidas. Según el análisis de la compañía, en el que han participado más de 200 empresas, el ataque a la cadena de suministro de software de SolarWinds de principios de 2021 y el proceso de respuesta a la vulnerabilidad de Log4j que se produjo al final de 2021, pusieron de manifiesto la necesidad de obtener rápidamente un conocimiento de la situación, de contextualizar las enormes cantidades de información relacionada que se genera y de priorizar la corrección de las amenazas más importantes.

Incidentes con estos hacen que cada vez más organizaciones están empezando a cuestionarse su capacidad de respuesta rápida frente a incidentes. De acuerdo con esta investigación, un elemento vital para combatir los ataques y encontrar vulnerabilidades es la colaboración entre los equipos de Inteligencia ante Ciberamenazas (CTI) y los grupos de operaciones empresariales. Sin embargo, el informe reveló que dicha colaboración ha sufrido un retroceso desde el cambio al trabajo remoto en respuesta a la pandemia. "Se necesita tiempo y esfuerzo para que varios equipos colaboren de forma eficaz y una actividad alineada, que ya no era tan intuitiva ni estaba tan arraigada cuando las organizaciones operaban principalmente cara a cara, y puede ser incluso más difícil de llevar a cabo ahora con una implantación del teletrabajo más arraigada", subraya Eutimio Fernández, Country Manager de ThreatQuotient para España. .

La encuesta aconseja a las organizaciones que evalúen si han perdido canales de comunicación con las principales partes interesadas y, en caso afirmativo, que identifiquen la manera de volver a construir esos canales. Es posible que se necesiten herramientas adicionales para facilitar la colaboración.

Por otro lado, la mitad de los encuestados informaron que utilizan algún tipo de plataforma CTI casera y que la mayor parte del procesamiento se sigue haciendo manualmente, con un porcentaje muy bajo utilizando una automatización total. El uso de la automatización y la integración en plataformas de gestión CTI comerciales y de código abierto ha aumentado, lo que representa una tendencia positiva con el desarrollo de dichas plataformas. En cambio, sigue siendo un área en la que los proveedores de CTI pueden mejorar la experiencia de los analistas si siguen comprendiendo mejor sus casos de uso y sus requisitos y aumentando la automatización.

Para los equipos de seguridad sometidos a una gran presión, la capacidad de automatizar las tareas repetitivas de bajo nivel es esencial. Si una herramienta puede combinar esta automatización con los datos y el contexto en tiempo real necesarios para facultar a los analistas a investigar incidentes de alto impacto y sensibles al tiempo, aún mejor.

Según Eutimio Fernández, "uno de los datos realmente interesante que nos ha proporcionado la encuesta es que todavía hay un alto porcentaje de organizaciones que no son capaces de medir la eficacia de los programas, herramientas y fuentes de Inteligencia frente a Amenazas. Y esta situación debe variar obligatoriamente, porque calibrar el valor de un programa de inteligencia permite que los equipos puedan justificar la necesidad de más recursos, nuevas personas y herramientas, haciendo que las organizaciones y el sector avancen hacia un mayor nivel de madurez en ciberseguridad".