Evaluación de las fuentes de inteligencia de seguridad

20 May 2019

A medida que la superficie de ataque se extiende y ante la creciente sofisticación de las amenazas, reaccionar ante un incidente ya no es suficiente. Los entornos de creciente complejidad proporcionan numerosas oportunidades para los atacantes. Cada industria y cada organización posee información única que debe proteger, y emplea sus propios conjuntos de aplicaciones, tecnologías y demás, lo cual introduce una enorme cantidad de variables en los posibles modos en que se puede llevar a cabo un ataque, los cuales se multiplican cada día.

Durante los últimos años, hemos notado una disolución de las barreras que separan a los tipos de amenazas y a los tipos de autores de las amenazas. Los métodos y herramientas que antes suponían una amenaza a un número reducido de organizaciones se han extendido hacia un mercado más amplio. Un ejemplo de esto es el grupo Shadow Brokers, quienes publicaron un código que puso exploits sofisticados al alcance de grupos cibercriminales que de otro modo no hubieran tenido acceso a un código tan complejo. Otro ejemplo es la aparición de las campañas de las amenazas avanzadas persistentes (APT, por sus siglas en inglés) que no se centran en el ciberespionaje, sino en el hurto: el dinero robado lo utilizan para financiar otras actividades en las que los grupos de APT están involucrados. La lista sigue y sigue.

Es necesaria es una nueva estrategia

A medida que las empresa son víctimas de ataques avanzados y dirigidos, queda claro que una defensa exitosa requiere nuevos métodos. Para protegerse, los negocios necesitan una estrategia preventiva, ajustando constantemente sus controles de seguridad al volátil entorno de amenazas. La única forma de mantenerse al día con estos cambios es diseñar un programa de inteligencia de seguridad efectivo.

La inteligencia de seguridad se ha convertido en una parte crucial de las operaciones de seguridad que han establecido las empresas de diversa magnitud en toda los sectores y latitudes. Mediante formatos legibles para humano y máquina, la inteligencia de seguridad puede respaldar a los equipos de seguridad con información significativa en todo el ciclo de manejo de incidentes y proporcionar información para la toma de decisiones estratégica.

Sin embargo, la demanda creciente de inteligencia de seguridad externa ha generado una plétora de proveedores de este campo, y cada uno ofrece un conjunto de servicios diferentes. El mercado es amplio y competitivo, con opciones complejas e innumerables, lo cual puede tornar sumamente confusa y frustrante la elección de la solución correcta para tu empresa.

Operaciones basadas en la inteligencia de seguridad

 

Una inteligencia de seguridad que no se adapte a tu negocio puede exacerbar el problema. En muchas empresas actuales, los analistas de seguridad invierten más de la mitad de su tiempo descartando los falsos positivos en lugar de dedicarse a la detección preventiva de amenazas, lo cual provoca un aumento significativo en los tiempos de detección. La introducción de datos de inteligencia irrelevantes o imprecisos incrementará las alertas falsas, lo cual repercute de forma grave y negativa en tu capacidad de respuesta, y en la seguridad general de tu empresa.

Donde mora la inteligencia óptima…

Así pues, ¿cómo evalúas las numerosas fuentes de inteligencia de seguridad? ¿Identificas las que son más pertinentes para tu organización y las implementas de modo eficiente? ¿Cómo abrirse paso en medio de las ingentes cantidades de marketing vacío, donde cada proveedor afirma que sus servicios de inteligencia son los mejores?

Si bien estas interrogantes son válidas, definitivamente no es allí donde debes empezar. Muchas organizaciones, atraídas por los mensajes deslumbrantes y las grandes promesas, creen que un proveedor externo puede dotarlos de una especia de superpoder, como visión de rayos X, omitiendo el hecho de que la inteligencia más valiosa se encuentra dentro de los límites de tus propias redes corporativas.

Los datos provenientes de los sistemas prevención y detección de intrusos, firewalls, registros de aplicación y registros de otros controles de seguridad revelan mucho sobre lo que sucede al interior de las redes de la empresa. Con ellos, se puede identificar patrones de actividad maliciosa específica contra la organización; se puede diferenciar entre el comportamiento de usuarios normales y el de redes; ayudan a dar seguimiento a las actividades de acceso a datos e identificar una brecha de datos potencial que necesita remediarse, entre muchas cosas más. Al poder visualizarla, las empresas pueden implementar la inteligencia de seguridad, relacionándola con los que se ha observado al interior. De otro modo, usar fuentes externas puede tonarse difícil. De hecho, algunos proveedores pueden tener una visión más amplia de las ciberamenazas debido a su presencial global y su capacidad de recoger, procesar y correlacionar los datos provenientes de diversas partes del mundo. Pero esto solamente es útil cuando existe un contexto interno suficiente.

 Piensa como un atacante

A fin de diseñar un programa de inteligencia de seguridad efectivo, las empresas —incluyendo aquellas con centros de operaciones de seguridad establecidos— deben pensar como un atacante, y por lo tanto, identificar y proteger los objetivos más comunes. Para obtener el valor real de un programa de inteligencia de seguridad, se requiere entender cabalmente cuáles son los activos cruciales, los conjuntos de datos y los procesos de la empresa que resultan críticos para lograr los objetivos de la organización. Identificar esas “joyas de la corona” le permite a las empresas establecer puntos de recolección de datos en torno a ellos para esquematizar aún más los datos recogidos con base en la información externa sobre amenazas. En vista de los recursos limitados con los que comúnmente cuentan los departamentos de seguridad, la descripción de la organización en su totalidad constituye un esfuerzo formidable. La solución es adoptar una estrategia basada en riesgos, con atención primaria en los objetivos más susceptibles.

Una vez que las fuentes de inteligencia de seguridad queden definidas e implementadas, la empresa puede entonces pensar en añadir información externa a sus flujos de trabajo existentes.

Es un asunto de confianza

Las fuentes de inteligencia de seguridad varían según sus niveles de confianza:

  • Las fuentes de código abierto son gratuitas, pero a menudo carecen de contexto y arrojan un número considerable de falsos positivos.
  • Para empezar, está el acceso a las comunidades que comparten inteligencia específica para la industria; por ejemplo, Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC). Estas comunidades proporcionan información extremadamente valiosa, aunque son de acceso restringido, por lo que requieren adquirir una membresía para tener acceso.
  • Las fuentes de inteligencia de seguridad comercial son mucho más confiables, aunque las cuotas de acceso a ellas pueden ser elevadas.

El principio rector para elegir las fuentes de inteligencia de seguridad suelen ser la calidad sobre la cantidad. Algunas organizaciones piensan que, mientras más fuentes de inteligencia de seguridad puedan integrar, mayor será la visibilidad ganada. Esto bien puede ser cierto en algunos casos; por ejemplo, las fuentes muy confiables, incluyendo las opciones comerciales, que proporcionan inteligencia de seguridad ajustada al perfil de amenazas específicas de la organización, pues de lo contrario, existe un riesgo considerable de que sobrecargue tus operaciones de seguridad con información irrelevante.

La información que proporcionan los proveedores de inteligencia de amenazas puede que no coincida. Dado que sus fuentes de inteligencia y sus métodos de recolección varían, la comprensión que facilitan es única en varios aspectos. Por ejemplo, un proveedor de gran presencia en una región específica proporcionará más detalles acerca de las amenazas que emerjan en esa región, mientras que otro facilitará más detalles acerca del tipo de amenaza. Tener acceso a ambas fuentes puede resultar beneficioso, y al usarlas de modo conjunto, pueden proporcionar una perspectiva más amplia y guiar la detección efectiva de amenazas y las misiones de respuesta a incidentes. Sin embargo, toma en cuenta que este tipo de fuentes de confianza también requieren una cuidadosa evaluación previa para garantizar que la información de inteligencia que proporcionan es adecuada para las necesidades particulares de tu organización y los casos de aplicación, como las operaciones de seguridad, la repuesta a incidentes, el manejo de riesgos y vulnerabilidades, el red teaming (simulacros de ataque) y demás.

Cuestiones a considerar cuando se evalúen las opciones comerciales de inteligencia de seguridad

No existen criterios comunes para evaluar las diversas opciones comerciales de inteligencia de seguridad; sin embargo, existe un par de cosas que debes tener en cuenta:

  • Busca la inteligencia de alcance global. Los ataques no conocen fronteras: una agresión contra una empresa latinoamericana puede originarse en Europa y viceversa. ¿Recaba el proveedor la información de todo el mundo y compara actividades en apariencia no relacionada en campañas unificadas?
  • Si estás en busca de contenido más estratégico para la planeación de tu estrategia de seguridad, te sugerimos centrarte en:
    • Un panorama superior de las tendencias de ataque;
    • Técnicas y métodos empleados por los atacantes;
    • Motivos;
    • Atribuciones, etc.

Seguidamente, busca el proveedor de inteligencia de seguridad que tenga una trayectoria probada de investigación y develación de amenazas complejas en tu región o industria. Asimismo, resulta crucial la habilidad del proveedor para ajustar sus habilidades de investigación a las características de tu empresa.

  • El contexto permite extraer información de inteligencia a partir de los datos. Los indicadores de amenazas carecen de valor si no tienen contexto. Así que debes buscar a los proveedores que te ayuden a responder la pregunta “¿Por qué es importante esto?”. El contexto de las relaciones (por ejemplo, los dominios asociados con las direcciones IP detectadas o las URL desde las cuales se descargó el archivo específico) proporciona el valor adicional, impulsa la investigación de incidentes y respalda una mejor examinación del incidente mediante el develamiento de los indicadores de compromiso relacionados y recientemente adquiridos en la red.
  • Se asume que tu empresa ha implementado ya algunos controles de seguridad, con los proceso asociados definidos, y que consideras importante emplear la inteligencia de seguridad con las herramientas que ya conoces y empleas. Así que busca los métodos de entrega, los mecanismos de integración y los formatos que respalden la integración uniforme de la inteligencia de seguridad en tus acciones de seguridad existentes.

En Kaspersky Lab, por más de dos décadas hemos centrado nuestro interés en la investigación de amenazas. Con petabytes de datos valiosos sobre amenazas por explotar, tecnologías de aprendizaje automático avanzado y una selección global única de expertos, trabajamos para proporcionarte la inteligencia de seguridad más reciente del mundo, ayudándote a permanecer inmune incluso frente a ciberataques inéditos. Para mayor información, por favor visita la página web de Kaspersky for Security Operations Center.