Más conocimiento sobre inteligencia de amenazasPor Robert C. Freeman, Senior Director for Latin America de FireEye.
Las marcas de seguridad están haciendo un gran ruido sobre inteligencia de amenazas, bombardeando el mercado con un diluvio de fuentes y paquetes que prometen dar sentido al panorama de riesgos. Elegir el correcto requiere de algo de su propia inteligencia.
¿Cómo debería elegir entre las distintas fuentes de inteligencia de amenazas? ¿Cuáles son todas estas fuentes? ¿Cuál puede darme el mayor valor en entender mis amenazas?¿Cómo me aseguro de obtener la mejor cobertura para mis necesidades y maximizar mi retorno de inversión?
Estas son algunas de las interrogantes más comunes que se plantean los usuarios. Pero la primera y más importante es: ¿qué significa exactamente “inteligencia de amenazas”? Es la información que ha sido analizada para descubrir conocimientos informativos. Representa una visión sobre la cual usted puede actuar. Permite la toma de decisiones informada que se traduce en mejores resultados. Vemos este tipo de inteligencia, cuando un líder de negocios encuentra conocimientos en datos de mercado para sintonizar un lanzamiento de producto, o cuando un analista de seguridad comprende el alcance y la intención de un ataque y toma medidas para limitar su impacto.
Las fases
Los expertos en seguridad dividen la inteligencia de amenazas en cinco clases diferentes:
1. Inteligencia interna: Se refiere a los activos y comportamientos propios de su organización, basada en el análisis de las actividades de su organización.
2. Inteligencia de red: Concerniente a la obtenida del análisis de tráfico en los límites de la red de su organización y en las redes que lo conectan con el mundo exterior.
3. Inteligencia de borde: Se trata de la comprensión de lo que diferentes hosts de Internet están haciendo en el borde de la red. Esto es información que proviene de lo que gobiernos, ISPs, telcos y CDN tienen.
4. Inteligencia de código abierto: Proviene de la gran cantidad de información disponible en los sitios web, blogs, feeds de Twitter, canales de chat y canales de noticias. Está disponible para todo el que quiera recogerla y extraerla para inteligencia útil. Numerosas empresas ofrecen inteligencia de código abierto, en su mayoría diferenciada por el número de fuentes, conocimientos de idiomas y soporte de la herramienta analítica.
5. Inteligencia de código cerrado: Es la más difícil de adquirir; un grupo cerrado de usuarios compartiendo (por ejemplo, FS-ISAC) autentica sitios subterráneos y canales de chat, información obtenida por las operaciones de inteligencia y de aplicación de la ley, y la inteligencia humana. Una serie de compañías ofrecen algo de inteligencia de código cerrado, aunque la cobertura es a menudo específica a una amenaza o geografía particular.
Cuando esté construyendo sus capacidades de inteligencia de amenazas, es probable que desee una buena cobertura de todas estas clases.
Desafortunadamente, la mayoría de los servicios comerciales de inteligencia de amenazas pueden ofrecer una o en el mejor de los casos dos de estas fuentes. Y ellos pueden no proveer una cobertura que sea directamente relevante para su organización.
Consejos
Por esa razón, recomiendo lo siguiente:
• Aprovechar la inteligencia interna como su fuente más directamente procesable.
• Aumentar esto con inteligencia de red que se relaciona con sus activos (como las puertas de enlace de la red y las redes externas).
• Utilizar la inteligencia de código abierto que cubre sus activos, marca, geografía y su tipo de negocio.
• Invertir en inteligencia de código cerrado solo si tiene un perfil de riesgo que exige este nivel de conocimiento, o si una fuente es especial para su industria específica (por ejemplo, uno de los centros de intercambio y de análisis de información, o ISACs, en EEUU).
• Buscar proveedores de inteligencia procesable pertinentes que le permitan tomar decisiones informadas sobre la postura y respuesta ante la amenaza.
Haciéndose las preguntas correctas, usted puede lograr un plan de inteligencia de amenaza que brinde los conocimientos correctos y ese es uno de los movimientos más inteligentes que un profesional en seguridad puede realizar.
