Según Benjamin Franklin, “nada en la vida es definitivo, excepto la muerte y los impuestos”. Pero ahora, en la era de la tecnología avanzada, podemos añadir una nueva inevitabilidad: las amenazas cibernéticas. Antes del primer sorbo de café en un lunes por la mañana, una nueva amenaza ya puede haber empezado a causar un gran impacto en tus datos. Apenas no la has descubierto, todavía.
Entonces, en un mundo donde las amenazas están por todos lados, ¿cuáles son tus mejores opciones? Si la continuidad de tu negocio y la protección de los datos son una prioridad para su empresa, probablemente ya invertiste o estás pensando en invertir en un Centro de Operaciones de Seguridad (SOC). ¿Pero de qué sirve un SOC? Un SOC monitorea amenazas 24 horas por día para que tu equipo de seguridad cibernética pueda estar concentrado en mantener lejos a las amenazas más peligrosas.
Se supone que con eso puedes estar más tranquilo y saborear tranquilamente tu café. Pero infelizmente la cosa no funciona así.
Si los datos son el nuevo petróleo, estamos hoy pasando por las secuelas de un gran derrame. La sobrecarga de datos es tanto un problema para el equipo de InfoSec como para las operaciones de marketing y de ventas. Con el crecimiento constante de los dispositivos interconectados y el Internet de las Cosas, tener información sobre las amenazas que te pueden afectar es siempre algo bueno. Pero saber la diferencia entre las amenazas falsas y las que realmente necesitan de atención inmediata es como encontrar una aguja envenenada, pero no en un pajar, sino dentro de una pila de datos. Y la inteligencia de amenazas se hace necesaria para localizar e inmunizarse contra miles de amenazas posibles.
¿Por qué necesitas de la inteligencia de amenazas?
La inteligencia de amenazas es la comprensión de cuales son las diferencias entra las amenazas, para saber cuándo y cómo debes proceder para evitar problemas más graves. La consultoría Gartner define la inteligencia de amenazas como:
Conocimiento basado en evidencias, incluyendo contextos, mecanismos, implicaciones de indicadores y asesoramiento procesable, sobre una amenaza o peligro existente y que puede ser utilizado para definir cómo responder de la mejor manera”
Rob McMillan
Analista de la empresa
Pero eso nos lo que se está discutiendo. El problema es que no hay dos batallas iguales contra las amenazas cibernética. Cada una tienes sus particularidades. Con la inteligencia de amenazas podemos tratar de relacionar los ataques para primero identificar quien es tu oponente y después adaptar la mejor estrategia de defensa para pararlo.
Todos los días enfrentamos nuevas amenazas. Desde que Kaspersky fue creada, en 1997, sumamos más de 700 millones de nuevos archivos maliciosos, un crecimiento de 8.400 veces en comparación al volumen inicial. Estos van desde las amenazas cotidianas fácilmente detectables, como los malware conocidos, hasta amenazas avanzadas y ataques direccionados que usan TTPs (tácticas, técnicas y procedimientos), además de amenazas persistentes e inusuales, pero que son extremadamente avanzadas, como las APTs.
Los datos nos muestran un escenario interesante, frecuentemente nombrado como “pirámide de amenazas”. Las amenazas más conocidas, como los malware, corresponden al 90% de todas las amenazas que vemos. En comparación, las más avanzadas y los ataques direccionados corresponden a 9,9% del total. Estas tienen un efecto peor en las pequeñas y medianas empresas (PyMEs), con ataques como el Trojan Emotet, que es bastante activo hoy en día. Y solamente el 0,1% de todas las amenazas son APTs, afectando a pocas organizaciones, pero con consecuencias devastadoras. Estas son las agujas más venenosas de nuestra pila de datos.
Necesitas una estrategia, no de una plataforma
Una buena inteligencia de amenazas es más que solamente comprar una plataforma y esperar los resultados. Como toda prevención eficiente, ella combina tecnología, estrategia y esfuerzo. Ese tipo de sistema provee las informaciones necesarias para que sepas cómo responder, desde alertas en tiempo real sobre una potencial invasión hasta una ayuda para educar a tus principales colaboradores sobre los riesgos de una invasión.
En el nivel básico, las informaciones sobre amenazas proporcionan alertas y bloqueos para indicadores de compromiso (IOC). Las alertas contextuales y la gestión de firmas electrónicas ayudan a determinar la gravedad de los ataques para planear las respuestas a esos incidentes. Otro ejemplo de utilización es el análisis de fusión: una herramienta que ayuda y evalúa alimentaciones de datos desconectadas, para con eso ayudar a identificar cuáles amenazas son las más peligrosas.
Además de eso, la inteligencia de amenazas también puede mejorar tu estrategia de seguridad cibernética. Al utilizar informaciones relevantes para definir tu postura de riesgo, el planeamiento de seguridad informa las mejores decisiones de arquitectura y ayuda a perfeccionar sus procesos de seguridad para defenderse mejor de las amenazas ya conocidas.
Si estás trabajando con un proveedor de servicios gestionados (MSP) para ejecutar tus operaciones de seguridad, una cuestión pertinente sería cómo instalar y ejecutar el servicio de inteligencia de amenazas y cuanto tiempo y esfuerzo vas a necesitar para eso. Considerando que el sistema tiene que funcionar 24 horas al día, 7 días a la semana, este puede no ser un servicio fácil ni barato a la hora de contratarlo.
Las tres grandes partes de la inteligencia de amenazas
Para planear y comprar una solución para tu empresa, debes considerar tres componentes:
IOC (indicador de compromiso)
El IOC es la base de la inteligencia de amenazas. Es la prueba de que podemos medir y reconocer fácilmente los síntomas de un problema, como una fiebre que funciona como señal de que hay una enfermedad en el cuerpo. Existen muchos servicios de IOC, pero para elegir el más adecuado es ideal saber cuales son las amenazas más probables para tu empresa.
Indíces de datos de amenazas (“threat data feeds”)
Estas herramientas proporcionan inteligencia integrada, analizando los oponentes y el paisaje de amenazas más extenso. Hay muchas opciones en el mercado, tanto gratis como pagas. Para elegir lo mejor para tu negocio, pregunte: ¿Necesitamos de una alimentación de datos APT si no somos un objetivo probable para los grupos APT? ¿Dónde es el mejor lugar en tu infraestructura para añadir estos datos? ¿Debemos bloquear las amenazas o apenas avisar a los equipos? Las respuestas dependerán de la postura de seguridad y de la estrategia de TI que decidas adoptar para tu organización.
Plataforma de inteligencia de amenazas
Una plataforma de inteligencia de amenazas te permite gestionar una gran cantidad de softwares especializados que soportan diferentes componentes. Qué escoger y cómo integrar los servicios depende de tu presupuesto y de tus necesidades comerciales. Aunque hay por ahí datos de código abierto, puedes comprar una inteligencia sectorial más específica. Es esencial estudiar y averiguar en el mercado cuando se compran servicios de inteligencia de amenazas, para garantizar que el proveedor ofrezca un servicio reactivo, tanto en calidad de los datos que te provee, como en velocidad para responder a un incidente.
Con un planteamiento cuidadoso, un buen proveedor y una estrategia bien pensada, tu SOC puede obtener muchos beneficios de la protección total y del poder de la inteligencia de amenazas. Sí, infelizmente las agujas todavía estarán escondidas en el medio de tu pila de datos, pero ahora tendrás las herramientas correctas para encontrarlas y romperlas.