Consejos para mejorar el análisis y la actuación de los informes ante amenazas
Actualmente, la mayoría de las empresas disponen de más información ante amenazas de la que creen, pero no saben qué hacer con ella.
Esta ingente cantidad de datos puede proceder de diversas fuentes: comerciales, de código abierto, gubernamentales, grupos de intercambio de la industria y proveedores de seguridad. Así pues, bombardeados por millones de datos sobre amenazas cada día, puede parecer imposible apreciar o aprovechar todo el valor de los datos disponibles.
Yann Le Borgne, Director Técnico de ThreatQuotient Europa, líder en plataformas de operaciones de Ciberinteligencia, junto a David Grout, CTO EMEA de FireEye ofrecieron durante un encuentro organizado entre ambas compañías cinco consejos sobre cómo analizar un informe ante amenazas y hacerlo provechoso. He aquí las conclusiones que compartieron:
Seleccionar las fuentes de datos ante amenazas adecuadas para tu empresa
La importancia de identificar las fuentes adecuadas para la organización y recopilar informes ante amenazas de varias fuentes diferentes es esencial, ya que proporcionan diferentes niveles de contenido: estratégico, operativo y táctico. Averiguar el quién, el qué y el cuándo del consumo y utilizarlo para la métrica del éxito cuando se busque la adquisición de los datos.
Como la inteligencia de código abierto (OSINT) es gratuita y de fácil acceso, la mayoría de las organizaciones la utilizan ampliamente. Pero las empresas también deben tener en cuenta la confianza y la fiabilidad de las fuentes. En una jerarquía clásica, el nivel más alto de confianza proviene de la inteligencia que generas y recibes de tu red cercana y de tus compañeros, y la información OSINT se sitúa en el nivel más bajo. Se recomienda utilizar modelos de confianza como el Sistema del Almirantazgo o el Sistema de la OTAN, que clasifica la información de la A a la F en cuanto a fiabilidad y del 1 al 6 en cuanto a credibilidad, sobre todo en el caso de las nuevas fuentes que surgen en momentos de crisis o brotes. Aplicar esta escala a la información sobre amenazas ayuda a determinar qué hacer con los datos y reduce los falsos positivos y el ruido generado por los datos no validados y no confirmados.
Determinar quién va a adquirir los datos
Si bien puede ser bueno proporcionar acceso a todas las fuentes de información ante amenazas a todos los grupos implicados, probablemente sea todavía mejor tener un equipo responsable de adquirir y analizar los informes y solo entregar la información que sea procesable. No todas las partes interesadas necesitan todos los niveles de información.
Utilizando como ejemplo el informe sobre el ransomware Ryuk de la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI), hay que determinar cómo repercutirá el mismo informe y cómo lo utilizarán los distintos equipos de la organización. Diferentes equipos pueden utilizar diferentes aspectos del mismo informe de diferentes maneras para lograr sus resultados deseados, por ejemplo, modificando la política (estratégica), lanzando campañas de caza (operativa) o difundiendo indicadores técnicos (táctica). Un informe sobre amenazas en formato PDF requiere mucho trabajo para traducir la información que contiene en datos procesables para diferentes grupos de usuarios, por lo que es importante que un equipo dedicado adquiera los datos.
Estructurar los datos para el análisis
Los tres pasos para el análisis incluyen: comprender el contexto del informe, su relevancia y relacionarlo con cualquier informe, inteligencia e incidente anterior. Este proceso permite contextualizar y priorizar la inteligencia, pero requiere que los datos estén estructurados de manera uniforme. Los datos sobre amenazas vienen en varios formatos (por ejemplo, STIX, técnicas de MITRE ATT&CK, artículos de noticias, blogs, tweets, informes de la industria de la seguridad, indicadores de compromiso (IoC) de feeds de amenazas, repositorios de GitHub, reglas de Yara y firmas de Snort) y necesitan ser normalizados. La información que recoge, en el informe Ryuk por ejemplo, se expresa con su propio vocabulario y es necesario traducirla a un formato legible por la máquina para enlazarla con otros informes y fuentes de información relacionados.
Además, no se trata solo del formato. El volumen de información ante amenazas es elevado y los distintos grupos utilizan nombres diferentes para referirse a lo mismo. La normalización compensa esto y permite agregar y organizar la información rápidamente. Estructurar los datos para poder priorizarlos es fundamental para el triaje y garantiza que nos centremos en las amenazas más importantes.
Utilizar herramientas de ayuda al análisis
Las herramientas que se utilizan deben apoyar el resultado deseado. Una plataforma de inteligencia ante amenazas (TIP) hace un buen trabajo de extracción de contexto y puede ayudarte a utilizar la información de varias maneras para diferentes casos de uso (por ejemplo, triaje de alertas, caza de amenazas, phishing selectivo, respuesta a incidentes) y para apoyar diferentes resultados.
También es importante que la herramienta que seleccionas funcione bien con marcos como MITRE ATT&CK. MITRE es el marco más utilizado para organizar el proceso de análisis. Los clientes están identificando sus joyas de la corona y mapeando a MITRE para entender qué adversarios podrían atacarlos, las tácticas, técnicas y procedimientos (TTPs) en los que concentrarse, y qué acciones tomar.
Seleccionar las herramientas adecuadas para ayudar a que los datos sean procesables
El análisis permite establecer prioridades para poder determinar las acciones adecuadas. Existe una variedad de herramientas para ayudar a que los informes ante amenazas y otros elementos de su programa de threat intelligence sean procesables y logren los resultados deseados a nivel estratégico (informes ejecutivos), a nivel operativo (cambios en la postura de seguridad) y a nivel táctico (actualización de reglas y firmas).
Ante estos cinco consejos, Yann Le Borgne, Director Técnico de ThreatQuotient Europa, indica que "antes de empezar a pensar en las fuentes de Threat Intelligence, en el análisis y en las acciones, hay que entender los resultados y los productos deseados para cada uno de sus componentes". Y añade el directivo: "Se trata de un viaje que suele comenzar en el nivel táctico y que, con la madurez, evoluciona hasta incluir la inteligencia operativa y estratégica para ofrecer un valor adicional. Cuando se comparte de la manera correcta con cada parte de la organización, las partes interesadas clave verán la inteligencia sobre amenazas como el habilitador de negocios que es, y el programa de inteligencia sobre amenazas ganará apoyo y el presupuesto crecerá".
