{"id":14572,"date":"2019-05-20T16:05:11","date_gmt":"2019-05-20T22:05:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14572"},"modified":"2019-11-22T02:48:39","modified_gmt":"2019-11-22T08:48:39","slug":"evaluating-threat-intelligence","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/evaluating-threat-intelligence\/14572\/","title":{"rendered":"Evaluaci\u00f3n de las fuentes de inteligencia de seguridad"},"content":{"rendered":"

A medida que la superficie de ataque se extiende y ante la creciente sofisticaci\u00f3n de las amenazas, reaccionar ante un incidente ya no es suficiente. Los entornos de creciente complejidad proporcionan numerosas oportunidades para los atacantes. Cada industria y cada organizaci\u00f3n posee informaci\u00f3n \u00fanica que debe proteger, y emplea sus propios conjuntos de aplicaciones, tecnolog\u00edas y dem\u00e1s, lo cual introduce una enorme cantidad de variables en los posibles modos en que se puede llevar a cabo un ataque, los cuales se multiplican cada d\u00eda.<\/p>\n

Durante los \u00faltimos a\u00f1os, hemos notado una disoluci\u00f3n de las barreras que separan a los tipos de amenazas y a los tipos de autores de las amenazas. Los m\u00e9todos y herramientas que antes supon\u00edan una amenaza a un n\u00famero reducido de organizaciones se han extendido hacia un mercado m\u00e1s amplio. Un ejemplo de esto es el grupo Shadow Brokers, quienes publicaron un c\u00f3digo que puso exploits<\/em> sofisticados al alcance de grupos cibercriminales que de otro modo no hubieran tenido acceso a un c\u00f3digo tan complejo. Otro ejemplo es la aparici\u00f3n de las campa\u00f1as de las amenazas avanzadas persistentes (APT, por sus siglas en ingl\u00e9s) que no se centran en el ciberespionaje, sino en el hurto: el dinero robado lo utilizan para financiar otras actividades en las que los grupos de APT est\u00e1n involucrados. La lista sigue y sigue.<\/p>\n

Es necesaria es una nueva estrategia<\/strong><\/h3>\n

A medida que las empresa son v\u00edctimas de ataques avanzados y dirigidos, queda claro que una defensa exitosa requiere nuevos m\u00e9todos. Para protegerse, los negocios necesitan una estrategia preventiva, ajustando constantemente sus controles de seguridad al vol\u00e1til entorno de amenazas. La \u00fanica forma de mantenerse al d\u00eda con estos cambios es dise\u00f1ar un programa de inteligencia de seguridad efectivo.<\/p>\n

La inteligencia de seguridad se ha convertido en una parte crucial de las operaciones de seguridad que han establecido las empresas de diversa magnitud en toda los sectores y latitudes. Mediante formatos legibles para humano y m\u00e1quina, la inteligencia de seguridad puede respaldar a los equipos de seguridad con informaci\u00f3n significativa en todo el ciclo de manejo de incidentes y proporcionar informaci\u00f3n para la toma de decisiones estrat\u00e9gica.<\/p>\n

Sin embargo, la demanda creciente de inteligencia de seguridad externa ha generado una pl\u00e9tora de proveedores de este campo, y cada uno ofrece un conjunto de servicios diferentes. El mercado es amplio y competitivo, con opciones complejas e innumerables, lo cual puede tornar sumamente confusa y frustrante la elecci\u00f3n de la soluci\u00f3n correcta para tu empresa.<\/p>\n

\"\"

Operaciones basadas en la inteligencia de seguridad<\/p><\/div>\n

\u00a0<\/p>\n

Una inteligencia de seguridad que no se adapte a tu negocio puede exacerbar el problema. En muchas empresas actuales, los analistas de seguridad invierten m\u00e1s de la mitad de su tiempo descartando los falsos positivos en lugar de dedicarse a la detecci\u00f3n preventiva de amenazas, lo cual provoca un aumento significativo en los tiempos de detecci\u00f3n. La introducci\u00f3n de datos de inteligencia irrelevantes o imprecisos incrementar\u00e1 las alertas falsas, lo cual repercute de forma grave y negativa en tu capacidad de respuesta, y en la seguridad general de tu empresa.<\/p>\n

Donde mora la inteligencia \u00f3ptima\u2026<\/strong><\/h3>\n

As\u00ed pues, \u00bfc\u00f3mo eval\u00faas las numerosas fuentes de inteligencia de seguridad? \u00bfIdentificas las que son m\u00e1s pertinentes para tu organizaci\u00f3n y las implementas de modo eficiente? \u00bfC\u00f3mo abrirse paso en medio de las ingentes cantidades de marketing vac\u00edo, donde cada proveedor afirma que sus servicios de inteligencia son los mejores?<\/p>\n

Si bien estas interrogantes son v\u00e1lidas, definitivamente no es all\u00ed donde debes empezar. Muchas organizaciones, atra\u00eddas por los mensajes deslumbrantes y las grandes promesas, creen que un proveedor externo puede dotarlos de una especia de superpoder, como visi\u00f3n de rayos X, omitiendo el hecho de que la inteligencia m\u00e1s valiosa se encuentra dentro de los l\u00edmites de tus propias redes corporativas.<\/p>\n

Los datos provenientes de los sistemas prevenci\u00f3n y detecci\u00f3n de intrusos, firewalls<\/em>, registros de aplicaci\u00f3n y registros de otros controles de seguridad revelan mucho sobre lo que sucede al interior de las redes de la empresa. Con ellos, se puede identificar patrones de actividad maliciosa espec\u00edfica contra la organizaci\u00f3n; se puede diferenciar entre el comportamiento de usuarios normales y el de redes; ayudan a dar seguimiento a las actividades de acceso a datos e identificar una brecha de datos potencial que necesita remediarse, entre muchas cosas m\u00e1s. Al poder visualizarla, las empresas pueden implementar la inteligencia de seguridad, relacion\u00e1ndola con los que se ha observado al interior. De otro modo, usar fuentes externas puede tonarse dif\u00edcil. De hecho, algunos proveedores pueden tener una visi\u00f3n m\u00e1s amplia de las ciberamenazas debido a su presencial global y su capacidad de recoger, procesar y correlacionar los datos provenientes de diversas partes del mundo. Pero esto solamente es \u00fatil cuando existe un contexto interno suficiente.<\/p>\n

\u00a0<\/strong>Piensa como un atacante<\/strong><\/h3>\n

A fin de dise\u00f1ar un programa de inteligencia de seguridad efectivo, las empresas \u2014incluyendo aquellas con centros de operaciones de seguridad establecidos\u2014 deben pensar como un atacante, y por lo tanto, identificar y proteger los objetivos m\u00e1s comunes. Para obtener el valor real de un programa de inteligencia de seguridad, se requiere entender cabalmente cu\u00e1les son los activos cruciales, los conjuntos de datos y los procesos de la empresa que resultan cr\u00edticos para lograr los objetivos de la organizaci\u00f3n. Identificar esas \u201cjoyas de la corona\u201d le permite a las empresas establecer puntos de recolecci\u00f3n de datos en torno a ellos para esquematizar a\u00fan m\u00e1s los datos recogidos con base en la informaci\u00f3n externa sobre amenazas. En vista de los recursos limitados con los que com\u00fanmente cuentan los departamentos de seguridad, la descripci\u00f3n de la organizaci\u00f3n en su totalidad constituye un esfuerzo formidable. La soluci\u00f3n es adoptar una estrategia basada en riesgos, con atenci\u00f3n primaria en los objetivos m\u00e1s susceptibles.<\/p>\n

Una vez que las fuentes de inteligencia de seguridad queden definidas e implementadas, la empresa puede entonces pensar en a\u00f1adir informaci\u00f3n externa a sus flujos de trabajo existentes.<\/p>\n

Es un asunto de confianza<\/strong><\/h3>\n

Las fuentes de inteligencia de seguridad var\u00edan seg\u00fan sus niveles de confianza:<\/p>\n