CyberThreat Intelligence: el área que toda empresa de seguridad necesita

Área de Innovación y Laboratorio de ElevenPaths  2 mayo, 2019
CyberThreat Intelligence: el área que toda empresa de seguridad necesita

Hoy en día, los ciberataques son realizados por personas que usan técnicas avanzadas. Es muy difícil predecir tanto las intenciones, como los medios empleados a la hora de realizar el ataque. En este escenario, el enfoque de la ciberseguridad clásica no es suficiente. Las empresas necesitan reclutar ciber profesionales para extraer la Threat Intelligence, y descubrir asínuevas amenazas desconocidas y crear mecanismos avanzados de defensa para proteger los activos IT de las empresas.

Definición de Cyber Threat IntelligenceThreat Intelligencetambién conocido como CTI, se define como el análisis de la información acerca de la amenaza, adversarios y de los patrones empleados en el ataque para tomar decisiones en base a todo lo anterior para su preparación, prevención y tomar acciones de respuesta contra Ciberataques. En este proceso de descubrimiento de cualquier “Unknow Threat” que una empresa está formada por las siguientes etapas: recogida de información, investigación de los datos recogidos, y análisis de las tendencias a la hora de perpetrar los ataques. El principal objetivo de CTI es que la empresa sea capaz de identificar las amenazas actuales y emergentes y sea capaz de desarrollar una postura proactiva de ciber seguridad, antes de que estas amenazas puedan ser explotadas. Este proceso de transformar una “amenaza desconocida” en “amenaza conocida” se comparte entre todas las áreas de negocio de la empresa para que la empresa pueda anticiparse a los posibles ataques.

El proceso de CTI puede ser usado para identificar los factores de riesgo que son responsables de ataquesde malware, SQL injections, ataques de aplicaciones web, debilidad de datos, phishing, ataque de DoS, etc. Tales riesgos, después de ser filtrados, pueden ser puestos en un checklist y ser gestionados de manera correcta. CTI es beneficioso para una empresa ya que permite gestionar ciber amenazas con efectiva planificación y ejecución a través del análisis de la amenaza; también da fortaleza a los sistemas de defensa de las empresas, crea awareness acerca de los impedimentos de riesgos, y ayuda a la respuesta contra tales riesgos.

Etapas de Threat IntelligenceExisten tres etapas para lograr Threat Intelligence: “Unknown Unknowns”, “Known Unknowns y Known Knowns.
El proceso de CTI comienza enla etapa “Unknown Unknowns”, en la que no se tiene idea acerca de las amenazas y se intenta localizarlas. Después de obtener información acerca de las amenazas, pasamos a la etapa 2 llamada “Known Unknowns”. En esta etapa, se analiza la información y se entiende la naturaleza de las amenazas, y con estos datos se llega a la etapa 3 donde se mitigan las amenazas, a esta etapa se la conoce como “Known Knowns”.Como resumen, nos referimos a CTI como “el proceso de recoger información acerca de los presuntos ataques para entender el motivo que hay detrás de dichos ataques”, luego se analiza esta información recogida para intentar securizar por adelantado las infraestructuras IT de la empresa. De forma gráfica:

Características de Threat Intelligence

  • Recoger datos de varias fuentes tanto de código abierto como comerciales, así como de fuentes internas o externas.
  • Crear alertas customizadas y priorizadas sobre la infraestructura IT de la empresa.
  • Ayudar a identificar los Indicadores de compromiso (IoC) para prevenir a los activos de un posible ataque.
  • Dar habilidad para implementar nuevas estrategias de protección.
  • Da un entendimiento de las campañas activas que incluyen who, what, when, where, why y how acerca de las amenazas emergentes.
  • Dar la probabilidad de riesgo y el impacto que tiene el mismo sobre el negocio.
  • Recomendar varias soluciones de mitigación del riesgo.

¿Cómo puede Threat Intelligence ayudar a las empresas?Para disminuir el efecto que tienen las amenazas sobre las empresas, es importante que éstas incorporen CTIA para fortalecer la postura de seguridad. CTIA permite abarcar las siguientes áreas:

  • Identify and Protect. La monitorización de amenazas internas y externas permite revelar amenazas desconocidas y vulnerabilidades que pueden conllevar riesgos para el negocio. CTIA ayuda a adaptar la actual estrategia de seguridad para que los TTPs de los atacantes a disminuir el efecto de las amenazas envolventes. Un assessment preparado ayuda a las empresas a evaluar sus capacidades para etiquetar la operabilidad de CTIA.
  • DetectLa monitorización de amenazas e inteligencia en tiempo real ayuda a las empresas a detectar ataques más con rapidez y de manera más efectiva. CTIA ayuda a los analistas a descubrir los ataques en su etapa más temprana y así reducir las alertas irrelevantes y falsos positivos.
  • RespondCTIA da información contextual acerca de los ataques que incluyen IoCs, TTPs, etc. Las cuales ayudan a las empresas a prevenir la propagación de los ataques, a reducir el impacto causado, a reducir la duración de ataque y a proporcionar las medidas correspondientes para mitigar estos ataques. CTIA soporta el proceso de toma de decisiones para ayudar a crear las actividades de respuesta a incidentes correspondientes.
  • RecoverCTIA detecta y elimina los mecanismos permanentes usados por los atacantes, como por ejemplo ficheros maliciosos instalados en los sistemas, y proporciona una rápida recuperación ante los ataques. CTIA prioriza la seguridad de los activos y ayuda a mejorar los mecanismos existentes de seguridad de estos.

Fernando Palacios Escribano
Arquitecto de seguridad del área de oficinas técnicas de ElevenPaths
www.elevenpaths.com

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *