4 pasos simples para un enfoque de inteligencia de amenazas modernizado

La inteligencia de amenazas es una parte fundamental de la estrategia de ciberseguridad de una organización, pero dada la rapidez con la que evoluciona el estado de la ciberseguridad, ¿sigue siendo relevante el modelo tradicional?

Ya sea que sea un experto en seguridad cibernética o alguien que busca crear un programa de inteligencia de amenazas desde cero, este marco simple transforma el modelo tradicional para que pueda aplicarse al panorama actual. Se basa en las tecnologías disponibles en la actualidad y se puede implementar en cuatro sencillos pasos.

Una mirada rápida al marco de inteligencia de amenazas
El marco al que nos referiremos aquí se llama Ciclo de inteligencia, que se divide en cuatro fases:

Este es el marco tradicional, pero echemos un vistazo más profundo a cada paso, actualicémoslos para la actualidad y describamos cómo seguirlos en 2022.

Para hacer esto, aprovecharemos un caso de uso de fuga de credenciales como ejemplo. La fuga de credenciales es un área con la que las organizaciones de cualquier tamaño deben estar familiarizadas, por lo que es una opción óptima para ilustrar cómo crear un programa eficaz de inteligencia de amenazas.

1. Establecer una dirección.
El primer paso en este proceso es establecer la dirección de su programa describiendo lo que está buscando y qué preguntas quiere hacer y responder. Para ayudar con esto, puede crear requisitos de inteligencia priorizados, o PIR, y un resultado deseado.

Debe intentar ser lo más explícito posible. En el caso de una fuga de credenciales, configuremos nuestro PIR para identificar las credenciales de inicio de sesión que han sido expuestas a una entidad no autorizada.

Con este PIR muy específico descrito, ahora podemos determinar el resultado deseado, que en este caso sería forzar un restablecimiento de contraseña. Esto es crucial, y más adelante veremos cómo el resultado deseado afecta la forma en que construimos este programa de inteligencia de amenazas.

2. Planifique qué datos recopilar.
Una vez que haya establecido sus PIR y el resultado deseado, debe trazar un mapa de las fuentes de inteligencia que servirán en la dirección.

Para este caso de uso, identifiquemos cómo los actores de amenazas obtienen credenciales. Algunas de las fuentes más comunes incluyen las siguientes: puntos finales (generalmente recolectados por botnets), infracciones de terceros, repositorios de códigos, publicaciones en un foro/pastebin y mercados negros de la Dark Web donde se compran y venden credenciales.

Mapear estas fuentes le permite delinear las áreas en las que necesita enfocarse para el análisis.

3. Seleccione su enfoque de análisis.
Puede adoptar un enfoque automatizado o manual para el análisis. El análisis automatizado implica aprovechar la inteligencia artificial o algoritmos sofisticados que clasificarán los datos relevantes en alertas de fuga de credenciales, donde los correos electrónicos y las contraseñas se pueden extraer y extraer. El enfoque alternativo es analizar manualmente la información recopilando todos los datos y haciendo que los analistas de su equipo revisen los datos y decidan qué es relevante para su organización.

La mayor ventaja del análisis manual es la flexibilidad. Puede poner más recursos humanos, inteligencia y conocimiento en el proceso para sacar a la luz solo lo que es relevante. Pero también hay desventajas: este proceso es mucho más lento que el análisis automatizado.

Dado que la velocidad es crítica, el análisis automatizado es el mejor enfoque. No requiere que los analistas clasifiquen los datos, y si las amenazas se clasifican automáticamente, es probable que se puedan remediar automáticamente.

Echemos un vistazo a esto en la práctica: supongamos que su algoritmo encuentra un correo electrónico y una contraseña mencionados en un foro. La IA puede clasificar el incidente y extraer la información relevante (p. ej., el correo electrónico/nombre de usuario y la contraseña) en un formato legible por máquina. Luego, se puede aplicar una respuesta automáticamente, como forzar el restablecimiento de la contraseña para el usuario identificado.

El análisis automatizado puede no ser la mejor opción en todos los escenarios, pero en este caso nos acerca más al resultado deseado.

4. Difundir análisis para tomar acción.
Tradicionalmente, cuando se trata del ciclo de inteligencia y la difusión de inteligencia de amenazas, hablamos de enviar alertas e informes a las partes interesadas relevantes para revisar y tomar las medidas adecuadas.

Pero como muestra nuestro ejemplo en la sección anterior, el futuro (y el estado actual) de este proceso es la remediación totalmente automatizada. Con esto en mente, no solo debemos discutir cómo distribuimos alertas e información en la organización, también debemos pensar en cómo podemos tomar la inteligencia y distribuirla a los dispositivos de seguridad para prevenir automáticamente el próximo ataque.

Para las credenciales filtradas, esto podría significar enviar la inteligencia al directorio activo para forzar automáticamente el restablecimiento de la contraseña sin intervención humana. Este es un gran ejemplo de cómo cambiar a una solución automatizada puede reducir drásticamente el tiempo de remediación.

Una vez más, volvamos a nuestro PIR y resultado deseado; queremos forzar el restablecimiento de la contraseña antes de que el actor de amenazas use la contraseña. La velocidad es clave, por lo que definitivamente deberíamos automatizar la remediación. Necesitamos una solución que tome la inteligencia de las fuentes que hemos mapeado, produzca automáticamente una alerta con la información extraída y repare automáticamente la amenaza para reducir el riesgo lo más rápido posible.

Así es como deberían verse la detección y la respuesta en 2022.

Sobre la autora

alon-arvatz_(1).png

Alon Arvatz se unió a Rapid7 en julio de 2021 luego de la adquisición de IntSights Cyber Intelligence, que cofundó y dirigió como director de producto. Alon es ahora un colaborador clave en la hoja de ruta de productos de inteligencia de amenazas de Rapid7, que incluye el desarrollo de productos, la investigación de amenazas y las operaciones de recopilación de inteligencia.

Antes de fundar IntSights, Alon fue cofundador y director ejecutivo de Cyber-School, un programa educativo que ofrece cursos relacionados con la ciberseguridad para adolescentes. Alon es un veterano de una unidad de inteligencia de seguridad cibernética de élite dentro de las Fuerzas de Defensa de Israel (FDI), donde dirigió y coordinó campañas globales de inteligencia cibernética.

Inteligencia de datos generativa

4 pasos simples para un enfoque de inteligencia de amenazas modernizado

OpenAI lanza especificaciones de modelo: dar forma al comportamiento deseado en IA

China vs Estados Unidos: ¿Quién está perdiendo la carrera de la IA?

Información más reciente

Carta del Congreso busca un gran aumento en el presupuesto científico de la NASA

La memecoin 'Boden' surge después de que Trump bromeara al respecto

Revolut presenta una plataforma de comercio de criptomonedas para consumidores en el Reino Unido – CryptoInfoNet

La cotización de acciones estadounidenses en la Bolsa de Nueva York del proveedor de Crypto Wallet Exodus se pospone para revisión de la SEC

5 cosas clave que debes comprobar en la etiqueta de CBD

PBC publica el directorio bancario de cannabis 2024 para conectar la industria