Inicialmente, los sistemas SIEM fueron creados como una herramienta para recopilar informaci\u00f3n sobre los incidentes de seguridad dentro de una infraestructura y su posterior an\u00e1lisis mediante datos externos sobre las ciberamenazas conocidas. Y esto funcion\u00f3 durante bastante tiempo. No obstante, a medida que evolucionan tanto las amenazas como la industria de la seguridad de la informaci\u00f3n, aparecen cada vez m\u00e1s fuentes de informaci\u00f3n sobre dichas amenazas en el mercado. Y, adem\u00e1s, sus estructuras cambian significativamente. Para muchos expertos es clara la necesidad de una nueva herramienta que permita navegar entre los flujos de inteligencia de amenazas para que los SIEM funcionen efectivamente.<\/p>\n
A primera vista, puede parecer que cuantas m\u00e1s fuentes de datos sobre ciberamenazas externas conectes a tu sistema SIEM, mejor, ya que funcionar\u00e1 m\u00e1s eficazmente, pero en realidad no es as\u00ed.<\/p>\n
En primer lugar, cuantos m\u00e1s indicadores gestione un sistema, m\u00e1s alertas generar\u00e1. Incluso aunque asumamos una cantidad m\u00ednima de falsos positivos (porque nadie es inmune a ellos), un analista no podr\u00e1 esquivar r\u00e1pidamente las millones de notificaciones duplicadas para dar prioridad a las importantes.<\/p>\n
En segundo, los sistemas SIEM que existen simplemente no est\u00e1n dise\u00f1ados para gestionar una cantidad infinita de indicadores. Cuando conectas varias fuentes, la carga de trabajo en el sistema aumenta significativamente, lo que puede impactar negativamente en la tasa de detecci\u00f3n de incidentes. Lo mismo puede pasar si intentas implementar un entorno de actualizaciones frecuentes de fuentes de TI. No es que esto sea completamente imposible, pero el rendimiento y la tasa de detecci\u00f3n pueden resultar afectados.<\/p>\n
Adem\u00e1s, un sistema SIEM no es adecuado para realizar un trabajo m\u00e1s detallado con fuentes de inteligencia de amenazas de forma directa. Por ejemplo, este no puede comparar la tasa de detecci\u00f3n y la calidad de fuentes de diferentes proveedores o gestionar diferentes tipos de m\u00e1scaras de fuentes con indicadores de compromiso representados como URL, hosts<\/em> o dominios. Si un analista necesita un contexto m\u00e1s profundo para cualquier indicador, necesitar\u00e1 de una herramienta adicional (y realmente no importa que el contexto necesario pueda existir en las fuentes de datos, es probable que el SIEM simplemente no sepa c\u00f3mo acceder a \u00e9l).<\/p>\n Finalmente, hay que tomar en cuenta el factor econ\u00f3mico. La mayor\u00eda de los SIEM ofrecen licencias basadas en la carga: mientras m\u00e1s indicadores procese, mayor ser\u00e1 el precio.<\/p>\n En general, una plataforma de inteligencia de amenazas puede resolver todos los inconvenientes de los sistemas SIEM que nombramos antes. Para empezar, se trata de una herramienta indispensable que te permite navegar a trav\u00e9s de una multitud de fuentes de distintos proveedores. Te permite conectar varias fuentes de datos (que no necesariamente tienen que estar en el mismo formato) y compararlas seg\u00fan distintos par\u00e1metros. Por ejemplo, te permite detectar indicadores cruzados en varias fuentes, lo que deber\u00eda ayudar a identificar flujos de datos duplicados y descartar algunos de ellos. Tambi\u00e9n te permite comparar fuentes de datos con base en los \u00edndices de detecci\u00f3n estad\u00edsticos. Si tomamos en cuenta que algunos proveedores ofrecen un per\u00edodo de prueba para usar sus fuentes de datos, esta podr\u00eda ser una buena forma de evaluar su eficacia antes de realizar la compra.<\/p>\n Una plataforma de inteligencia de amenazas tambi\u00e9n proporciona al analista de SOC muchos otros recursos que simplemente no pueden ser implementados en SIEM. Por ejemplo, se encuentra disponible una funci\u00f3n de retroescaneo, que permite volver a verificar registros y datos hist\u00f3ricos guardados previamente con referencia a nuevas fuentes. Otra caracter\u00edstica disponible es el enriquecimiento de indicadores mediante varias fuentes de terceros (como VirusTotal). Y finalmente, una plataforma de inteligencia de amenazas decente, a partir de una alerta espec\u00edfica, permite encontrar y descargar un informe APT que explica a detalle las t\u00e1cticas, t\u00e9cnicas y procedimientos de los atacantes asociados, adem\u00e1s de que proporciona consejos pr\u00e1cticos sobre c\u00f3mo aplicar medidas frente a estos ataques.<\/p>\n Una plataforma de inteligencia de amenazas te permite filtrar y descargar indicadores, clasificar incidentes, mostrar todo lo anterior en una interfaz gr\u00e1fica \u00fatil para el analista y mucho m\u00e1s. Esto depende de las funciones en espec\u00edfico de cada plataforma.<\/p>\n Generalmente, una plataforma de inteligencia de amenazas instalada en la red interna de una empresa realiza el proceso de an\u00e1lisis y correlaci\u00f3n de los datos entrantes, lo que reduce de forma significativa la carga en el sistema SIEM. Esta te permite generar tus propias alertas cuando se detectan amenazas y, adem\u00e1s, se integra con tus procesos de monitorizaci\u00f3n y respuesta existentes a trav\u00e9s de una API.<\/p>\n B\u00e1sicamente, este tipo de plataformas genera su propia fuente de datos con detecciones personalizadas de acuerdo con las necesidades de la empresa. Esto es especialmente \u00fatil si en tu infraestructura cuentas con varios sistemas SIEM ejecut\u00e1ndose paralelamente. Sin una plataforma de inteligencia de amenazas, tendr\u00edas que cargar fuentes de datos sin procesar en cada uno de ellos.<\/p>\n Veamos un incidente bastante simple para analizar c\u00f3mo es que una plataforma de inteligencia de amenazas es de ayuda para los analistas. Imagina que un usuario corporativo accedi\u00f3 a un sitio web desde la computadora del trabajo. En la fuente de inteligencia de amenazas, la URL de ese sitio est\u00e1 catalogada como maliciosa, por lo que la plataforma identifica el incidente, lo enriquece con el contexto de las fuentes y env\u00eda esa detecci\u00f3n al sistema SIEM para su registro. A continuaci\u00f3n, este incidente llama la atenci\u00f3n del analista de SOC. El analista ve la detecci\u00f3n de la fuente de URL maliciosa y decide examinarla a profundidad utilizando una plataforma de inteligencia de amenazas.<\/p>\n Directamente desde la lista de detecciones, puede abrir la informaci\u00f3n contextual disponible desde el flujo de TI: direcci\u00f3n IP, hashes <\/em>de archivos maliciosos asociados con esta direcci\u00f3n, dict\u00e1menes de las soluciones de seguridad, datos del servicio de WHOIS, etc. Para una mayor precisi\u00f3n, abre una interfaz gr\u00e1fica, la forma m\u00e1s adecuada de analizar la cadena de ataque.<\/p>\n No hay mucha informaci\u00f3n hasta este momento: se ve la detecci\u00f3n en s\u00ed, la URL maliciosa detectada y la direcci\u00f3n IP interna del dispositivo que se us\u00f3 para acceder a esa URL. Al dar clic en el icono de la URL maliciosa, se solicitan los indicadores conocidos relacionados con esa direcci\u00f3n: direcciones IP, URL adicionales y hash<\/em>es de archivos maliciosos que se hayan descargado en alg\u00fan momento de ese sitio.<\/p>\n El siguiente paso es comprobar si se han registrado otras detecciones en la infraestructura corporativa utilizando los mismos indicadores. El analista cliquea en cualquier opci\u00f3n (por ejemplo, una direcci\u00f3n IP maliciosa) y muestra en el gr\u00e1fico detecciones adicionales. En otras palabras, puede indagar con un simple clic qu\u00e9 usuario fue a qu\u00e9 direcci\u00f3n IP (o en qu\u00e9 dispositivo una solicitud de URL del servidor DNS devolvi\u00f3 la direcci\u00f3n IP). De igual forma, se comprueba qu\u00e9 usuarios han descargado el archivo cuyo hash <\/em>se muestra en los indicadores asociados.<\/p>\n Puede haber miles de detecciones en un solo incidente y ser\u00eda muy complicado clasificarlas a mano sin la sencilla interfaz gr\u00e1fica de la plataforma de TI. Todo el contexto disponible de las fuentes de datos de las ciberamenazas se extrae a cada punto del gr\u00e1fico. El analista puede agrupar u ocultar opciones y aplicar la agrupaci\u00f3n autom\u00e1tica de nodos. Si el analista posee una fuente adicional de informaci\u00f3n, puede agregar un indicador de manera manual y marcar sus correlaciones de manera independiente.<\/p>\nC\u00f3mo puede ayudar una plataforma de inteligencia de amenazas<\/h2>\n
C\u00f3mo encaja una plataforma de inteligencia de amenazas en el trabajo de un analista y en SIEM<\/h2>\n
Un ejemplo pr\u00e1ctico<\/h2>\n