La industria necesita una comprensión común de cómo poner mejor la inteligencia de amenazas en la práctica.

"El conocimiento no tiene ningún valor a menos que lo pongas en práctica".

Cuando el autor ruso Anton Chekhov dijo esto hace más de un siglo, muy bien podría haber estado hablando de inteligencia de amenazas.

Más del 80 por ciento de los profesionales de ciber seguridad sondeados por SANS (PDF) dicen que la inteligencia de amenazas les está proporcionando valor agregado. La mayoría de las organizaciones están viendo el valor simplemente agregando volúmenes masivos de datos de amenazas globales en un repositorio central para compartir.

Pero eso es solo la superficie de lo que la inteligencia de amenazas puede hacer por usted. La inteligencia de amenazas puede acelerar las operaciones de seguridad, y es entonces cuando realmente surge el valor agregado. Aquí te damos cinco desafíos comunes que se esta presentando en los SOC (Security Operation Centers.) operaciones de seguridad que puede abordar cuando pone en práctica la inteligencia de amenaza.

1. Sobrecarga de alerta: varios estudios apuntan al hecho de que los profesionales de seguridad están siendo abrumados por las alertas. Más recientemente, el Estudio de Referencia de Capacidades de Seguridad de Cisco 2018 encontró que, en promedio, el 44 por ciento de las alertas no se investigan y de las que se investigan y consideran legítimas, casi la mitad (49%) no se remedia. Típicamente, son los operadores de seguridad dentro del Security Operations Center (SOC) los que se encuentran ahogando en datos mientras emprenden la onerosa tarea de correlacionar manualmente los registros y eventos para investigaciones y otras actividades. Al aumentar y enriquecer datos externos automáticamente con eventos e indicadores asociados desde el interior de su entorno, obtiene un contexto para comprender quién, qué, dónde, cuándo, por qué y cómo de un ataque. Puede usar puntuaciones de amenazas para reducir aún más el conjunto de datos. Sin embargo, confiar en los puntajes "globales" genéricos de los proveedores de feed de inteligencia realmente puede generar ruido así como también falsos positivos ya que los puntajes no están dentro del contexto de su entorno específico. El uso de puntuaciones de amenazas personalizadas basadas en los parámetros que establezca (por ejemplo, en torno a la fuente del indicador, el tipo, los atributos y el contexto, así como los atributos del adversario) le permite priorizar la inteligencia de amenazas para un gran enfoque y toma de decisiones.

2. Falsos Positivos: desperdiciar recursos persiguiendo fantasmas en forma de falsos positivos, es costoso. De hecho, la investigación de Ponemon clasifica los falsos positivos como el costo "oculto" número uno de la protección de endpoints. Los puntajes de amenazas personalizados le permiten enfocarse en lo que es relevante para su organización y priorizar la inteligencia de amenazas para comenzar a reducir los falsos positivos, pero puede ir aún más allá. Compartir automáticamente la inteligencia de amenazas relevante y priorizada con su herramienta de administración de casos existente o SIEM permite que estos sistemas funcionen de manera más eficiente y efectiva y entreguen menos falsos positivos.

3. Brechas en las defensas: a pesar de los múltiples productos puntuales que las organizaciones despliegan como parte de una estrategia de defensa en profundidad, el volumen y la velocidad de los compromisos y las violaciones continúan aumentando. Estas capas de protección están en gran medida no integradas, operan en silos y son difíciles de manejar, creando lagunas en las defensas. La inteligencia de amenazas puede servir como pegamento para integrar estas tecnologías dispares, compartiendo la inteligencia adecuada con las herramientas adecuadas en el momento adecuado. La exportación de la inteligencia de amenazas seleccionada directamente a su red de sensores (firewalls, antivirus, IPS / IDS, seguridad web y de correo electrónico, detección y respuesta de puntos finales, NetFlow, etc.) permite que estas herramientas generen y apliquen políticas actualizadas para mitigar los riesgos. Puede adoptar un enfoque proactivo y anticipatorio de la defensa para prevenir de manera más efectiva los ataques en el futuro.

4. Transferencia de conocimientos: además de las herramientas de seguridad, los equipos de seguridad también suelen operar en silos, lo que les impide compartir conocimientos y trabajar juntos. Sin embargo, cuando los miembros del equipo pueden trabajar en un solo entorno, compartiendo el mismo conjunto de datos y pruebas de amenazas, pueden realizar investigaciones en colaboración. Al ver el trabajo de otros y compartir ideas, pueden detectar amenazas más rápido e incluso usar ese conocimiento para pivotar y acelerar investigaciones paralelas que están separadas pero relacionadas. También pueden almacenar un historial de investigaciones, observaciones y aprendizajes sobre adversarios y sus tácticas, técnicas y procedimientos (TTP) que pueden servir como memoria centralizada para facilitar futuras investigaciones.

5. Entornos caóticos: cuando llega el momento de actuar, la mayoría de las operaciones o investigaciones de seguridad ocurren en medio del caos, ya que los equipos actúan de forma independiente e ineficiente. Un entorno único y compartido donde los gerentes de todos los equipos de seguridad pueden ver el despliegue del análisis, les permite coordinar las tareas entre los equipos y monitorear las líneas de tiempo y los resultados. Los analistas de inteligencia de amenazas, los centros de operaciones de seguridad (SOC) y los que responden a incidentes pueden trabajar juntos para tomar las acciones correctas más rápido, reduciendo el tiempo de respuesta y reparación.

La industria comparte ampliamente la creencia de que la inteligencia de amenaza proporciona valor. Ahora lo que realmente necesitamos compartir es una comprensión común de cómo poner en práctica la inteligencia de amenazas para abordar algunos de los desafíos más espinosos de nuestras operaciones de seguridad. La respuesta radica en la capacidad de utilizar la inteligencia de amenazas para proporcionar un mayor enfoque, una mejor toma de decisiones y colaboración en todo el análisis de amenazas y los procesos de respuesta a incidentes.

Si deseas solicitar mas informacion como optimizar o mejorar su entorno, una auditoria o consulta sin costo de tu entorno puedes comunicarte con:

SynerTech Solutions Group - CyberSecurity