Mandiant, consultora de seguridad del fabricante de software FireEye, informó el pasado 29 de marzo de 2017 que considera fundamental la integración de la Ciberinteligencia contra amenazas (CTI por sus siglas en inglés) en los programas de ciberseguridad y en las grandes prácticas de riesgos operacionales de una organización.
Cabe señalar que la CTI contiene más que solo datos aislados e información recolectada de varias fuentes internas y externas. “En realidad, la inteligencia de amenazas consiste en el conocimiento basado en evidencia e incluye contexto, mecanismos, indicadores, implicaciones y recomendaciones accionables, acerca de una amenaza o riesgo existente, o que surge hacia los activos. Se trata de elementos que pueden usarse para tomar decisiones informadas y responder adecuadamente a esas amenazas o riesgos”, comentó Robert Freeman, Vicepresidente para Latinoamérica de FireEye.
Un punto clave de esta definición es que la CTI provee la habilidad de tomar “decisiones informadas” a lo largo de la organización completa, ya que ofrece un mecanismo para reducir proactivamente el riesgo por comprender completamente a un adversario y sus capacidades.
Freeman explicó que un programa de ciberseguridad liderado por inteligencia contribuye a diseñar una estrategia que permite a las organizaciones ejecutar acciones como las siguientes:
• Anticipar, identificar y priorizar amenazas activas y nacientes para reducir la exposición y adaptar las defensas.
• Informar a los encargados de valorar los riesgos organizacionales para determinar la motivación del adversario, capacidades, cantidades y tipo de intentos.
• Contextualizar y comunicar las ciberamenazas a lo largo de las operaciones del negocio, para proporcionar una ventaja en la toma de decisiones a los líderes de la organización, así como a los accionistas operacionales “convencionales” de la ciberseguridad.
• Alinear apropiadamente las capacidades y recursos de seguridad, basados en las amenazas más relevantes e impactantes que pudieran afectar a la organización.
Estos puntos son colocados en perspectiva al hacer las siguientes preguntas:
A) ¿Qué tan seguido ha respondido la organización a un incidente con comprensión limitada de las motivaciones del actor de la amenaza y sus tácticas, técnicas y procedimientos (TTP)?
B) ¿Puede la organización conectar un incidente con actores de amenazas y campañas específicas?
C) ¿Pueden validar amenazas reales y percibidas, y prorizar basándose en el nivel de riesgo que se plantea?
D) ¿Los asuntos de seguridad pueden traducirse a un lenguaje de negocios que los ejecutivos puedan entender, y actuar en consecuencia?
E) ¿Los productos del CTI son usados para ayudar a lograr niveles aceptables de “higiene” en ciberseguridad?
F) ¿Los cambios rápidos en arquitectura están basados en una correlación de datos de amenazas operacionales?
G) ¿Existe una base de conocimiento de inteligencia, con análisis personalizados, para ayudar a quienes responden a un incidente, contestar rápidamente quién/qué/por qué/cuándo/cómo acerca de las amenazas?
H) ¿Cuántos reportes se han escrito que soporten una decisión de negocios?
“Sabemos que si una organización tiene dificultad para responder estas preguntas de manera consistente y repetible, puede indicar que está teniendo una falla de inteligencia o una función infrautilizada. Una inteligencia de amenazas confiable, accionable y contextualizada puede informar mejor a los tomadores de decisiones clave en la organización, incluyendo a los analistas del centro de operaciones de seguridad, quienes responden a un incidente, y los ejecutivos líderes”, explicó Robert Freeman.
Para que una organización construya o se dé cuenta de esta capacidad guiada por inteligencia, hay algunos elementos claves del programa que se deben considerar:
1.- Perfil organizacional de amenazas: Un perfil de amenazas, periódicamente actualizado, es una manera efectiva de mantener una consciencia situacional de las amenazas, vulnerabilidades y riesgos que enfrenta la organización, al mismo tiempo que se captura información esencial del ambiente, negocio y de las operaciones. Entender el perfil de las amenazas de la organización ayudará a asegurar operaciones de seguridad enfocadas, las capacidades de inteligencia contra ciberamenazas y funciones de gestión de otros riesgos.
2.- Análisis de accionistas: Es esencial entender de qué forma los productos y servicios de CTI pueden ser consumidos para proveer inteligencia relevante y ejecutable. Para satisfacer demandas cambiantes de los negocios, este proceso debe ser revisado regularmente e incluir un mecanismo de retroalimentación para asegurar que las necesidades de los accionistas son satisfechas. Se puede considerar el proceso mostrado en el siguiente cuadro, que incluye el subproceso cíclico de Análisis de Accionistas:
-Identificar los papeles de los accionistas
-Socializar la función y valor del equipo de Inteligencia
-Definir casos de uso de aplicaciones
-Determinar frecuencia, formato y contenido
-Establecer acciones esperadas y retroalimentación
3.- Requerimientos de inteligencia: Los requerimientos de inteligencia deben conducir a necesidades específicas de operación o del negocio, y deben ser explícitos para asegurar que los analistas y accionistas entiendan qué amenaza, impacto o asunto están tratando de atender. Comprender el perfil de amenazas de la organización, y las amenazas o adversarios que pueden estar apuntando directa o indirectamente al negocio, es clave para desarrollar requerimientos efectivos de inteligencia.
“Las capacidades efectivas de inteligencia de amenazas pueden transformar las tecnologías de seguridad existentes, el conocimiento y los procesos para reducir la exposición y riesgo de funciones críticas del negocio y servicios. Al implementar a la gente, procesos y tecnologías requeridas para un programa de ciberseguridad guiado por inteligencia, las organizaciones podrán consumir, interpretar y aplicar el CTI para proteger información, sistemas y el negocio completo de las amenazas más importantes”, finalizó Freeman.