Threat Intelligence: ¿tienes lo que necesitas?, ¿necesitas lo que tienes?

  • Opinión
Mikel Gastesi, CounterCraft

Mikel Gastesi, Senior Threat Analyst en CounterCraft, analiza en esta tribuna de opinión la utilidad práctica del threat Hunting, definido como el conocimiento basado en evidencias sobre las amenazas existentes o emergentes.

Vivimos tiempos complicados en los que un gran mal está golpeando duramente el mundo, y, aunque en estos momentos no sea la mayor prioridad, debemos considerar que las consecuencias económicas también afectan al sector de la seguridad informática, donde es probable que los presupuestos se ajusten. Las áreas en las que el retorno de inversión no es tan sencillo de medir, ni la sensación de necesidad de los servicios está todavía totalmente instaurada, a pesar de que esta percepción está cambiando, pueden atravesar un periodo complicado.

El Threat Intelligence se puede definir como el conocimiento basado en evidencias sobre las amenazas existentes o emergentes, y ayuda al negocio mediante información útil y práctica que permite tomar decisiones y ejecutar acciones adecuadas para protegerlo ante dichas y futuras amenazas. Ahora bien, el mercado está lleno de proveedores de seguridad que ofrecen soluciones de Threat Intelligence que parecen interesantes, pero no está clara su utilidad práctica en muchos entornos.

Existen multitud de servicios de “información de actualidad”, encargados de filtrar la información irrelevante, agrupar y relacionar la interesante, y proveer un conocimiento de las amenazas actuales para quien no está versado en la materia. Esto ayuda a obtener una visión global y más certera del entorno que nos engloba, pero el valor de esta información no es fácil de cuantificar.

A pesar de conocer todas sus limitaciones, el mercado está lleno de listas de indicadores de compromiso. Esto es debido a que es una manera directa y sencilla de tener algo medible y, sobre todo, sobre lo que se puede actuar y aplicar de forma práctica en tu organización.

Estas aproximaciones tradicionales se mantienen, pero por supuesto han necesitado evolucionar, y la aproximación que se sigue desde hace ya un tiempo trata de modelar la forma de operar de los atacantes, asumiendo la brecha de seguridad, y olvidándonos de blindar simplemente el perímetro. Esta información permite establecer nuevas comprobaciones de anomalías en toda la infraestructura IT, sin olvidarnos de la todavía menos madura a nivel de seguridad infrastructura OT, y ampliar de manera efectiva la cobertura de seguridad.

Al igual que en otros ámbitos del Threat Intelligence, este estudio y modelado de ataques y atacantes se puede separar en varios niveles. El nivel más abstracto trata el conocimiento sobre atacantes activos a nivel global, que permitirá establecer medidas de defensa genéricas. Los ataques sobre un sector concreto de actividad como el financiero, el comercio electrónico o el energético pueden proveer un punto de vista diferente sobre las mismas amenazas, haciendo hincapié en aspectos específicos de las empresas pertenecientes al sector que pueden quedar enmascarados en un análisis global de las amenazas por ser algo que no aplica al resto de sectores, o incluso permitiendo descubrir puntos débiles o más atacados para empresas de un perfil concreto. Por último, y más interesante, la información relativa a los ataques contra una entidad en particular, con información específica sobre la obtención de información y los ataques sobre una infraestructura.

Ninguno de los tres niveles es despreciable, pero parece claro que cuanto más concreta sea la información que se maneja, cuanto más dirigidos sean los ataques analizados, mejor será la defensa que se podrá realizar. También parece claro que obtener esta información es más complicado, y es por eso por lo que las empresas deben tomar medidas proactivas para la obtención de dicha información, ya que son las propias empresas las que sufren los ataques y tienen acceso a información que nadie más le puede facilitar.

Actuar no es sencillo, pero se debe aprovechar cada recurso a nuestro alcance y no dejar de extraer valor de todas las actividades divisadas. Si somos capaces de observar cómo un potencial adversario busca información sobre nosotros, podremos saber en qué está interesado. Si somos capaces de analizar su comportamiento cuando intenta explotar el perímetro, podremos defenderlo mejor. Si somos capaces de saber qué técnicas utiliza para desplazarse por nuestra red, podremos detectarlo cuando haya conseguido sobrepasar el perímetro.

Por tanto, seamos proactivos, no dejemos de aprovechar la información de un posible ataque simplemente porque no haya sido satisfactorio, pongamos trampas en el camino, y analicemos a nuestro adversario para saber a qué nos enfrentamos y podamos defendernos de la mejor manera posible, porque él seguirá persistiendo.

Mikel Gastesi, Senior Threat Analyst, CounterCraft