Al igual que el mundo real, el virtual puede ser extremadamente ruidoso, con miles de anuncios que compiten por nuestra atención en el transcurso de un solo día. Por supuesto, lo que para una persona puede ser ruido publicitario para otra puede ser la respuesta a una pregunta que ha estado buscando desesperadamente. Dave Winer, desarrollador de software y pionero de los blogs, se pronunció sobre este punto hace más de quince años: «La publicidad perfectamente orientada es solo información». Así, reduce o destila el ruido hasta convertirlo en información, que es bien recibida por el receptor.
Pero, ¿qué tiene que ver esto con un programa de inteligencia sobre amenazas? Todo. Hoy día no hay ninguna organización que esté satisfecha con la cantidad de ruido procedente de sus tecnologías de visibilidad, especialmente las que conforman el espacio de gestión de eventos e información de seguridad (SIEM). El «ruido» en este contexto, que con frecuencia se presenta como falsos positivos, se ve exacerbado por reglas de correlación que o bien se construyeron de forma errónea o ya no existen en absoluto. También entran en juego otros parámetros ejecutados en el entorno de producción, que si bien tuvieron sentido hace años, hoy ya no son relevantes en el seguimiento y en la lucha contra los adversarios actuales; una infraestructura de monitorización que se ajustó una sola vez en el inicio, pero nunca se actualizó; y una mala comprensión interna de la criticidad relativa de los sistemas que están siendo monitorizados.
Por ello, cuanto más ruido exista en un entorno, más difícil será para el centro de operaciones de seguridad (SOC) y para las personas de gran talento que trabajan ahí el encontrar esa aguja en el pajar. En un espacio ruidoso, todo ese conjunto de datos puede parecer exclusivamente un pajar o, lo que es más peligroso, un montón de agujas, en el que cada punto de datos recogido podría representar una amenaza que hay que investigar y trabajar. Esta no es una receta para el éxito.
Fuentes de inteligencia
Las fuentes de inteligencia sobre amenazas, especialmente las de origen externo, tienden a multiplicar ese problema de ruido. Sin embargo, las organizaciones invierten en estas fuentes de datos con la esperanza de, a través de ellas (o el socio que gestiona sus capacidades de detección y respuesta a las amenazas), unir esos datos externos con los internos que ya están recogiendo.
Entonces, ¿cuáles son algunos de los indicadores de éxito de las organizaciones que han descubierto cómo separar la inteligencia de amenazas del ruido, y han convertido esos datos brutos en la información, el conocimiento y la sabiduría que el SOC necesita para tomar las decisiones correctas en el menor tiempo posible? La inteligencia de amenazas:
- Debe ser accesible. El cruce de los datos en bruto (inteligencia de amenazas) con otra información del entorno es lo que genera el contexto para ayudar al equipo humano a eliminar el ruido. Al pensar en la mejor manera de incorporar esos datos a los flujos de trabajo existentes, no hay que pasar por alto cómo será (o debería ser) la experiencia al final de ese proceso, cuando llegue el momento de que una persona haga algo con esa información.
- Debe adaptarse a un entorno operativo en concreto. Ningún ambiente es idéntico a otro. Descubrir ese contexto adicional, enriqueciendo los datos recogidos sobre el propio entorno, es el camino más corto para demostrar el valor operativo de la inteligencia sobre amenazas. Adaptar una fuente de inteligencia sobre amenazas a partir de datos internos suele considerarse más sencillo que hacerlo a partir de una fuente externa, pero a veces es exactamente lo contrario. La adaptación no es un ejercicio de ajuste puntual: a medida que el entorno operativo cambie, la superficie de ataque crezca y los adversarios desplieguen nuevos exploits, debe producirse una adaptación continua.
- Debe ser procesable. Si una alerta no requiere una actuación inmediata, ¿es necesario que exista esa alerta? Lo mismo ocurre con la inteligencia sobre amenazas. ¿Se está midiendo realmente el impacto positivo de la inteligencia sobre amenazas en las capacidades de detección y respuesta a las mismas? Solo hay que pensar en métricas como el porcentaje de hallazgos atribuibles a la inteligencia sobre amenazas, o el número de tácticas, técnicas y procedimientos (TTP) originados por la inteligencia sobre amenazas que se añadieron al flujo de trabajo SOC existente, o el número de incidentes en los que la inteligencia sobre amenazas influyó directamente en la gravedad del incidente.
Combinar eficazmente la inteligencia sobre amenazas con la infraestructura de monitorización es el camino para obtener todo el valor en una inversión en inteligencia sobre amenazas. Para ello hay que comenzar con la tecnología que es fundamental para el éxito de cualquier capacidad de detección y respuesta ampliada (XDR): la detección y respuesta de red (NDR). Las funcionalidades de NDR son superiores en comparación con otros métodos de captura: mejora la detección de amenazas y la respuesta a incidentes, apoya la caza de amenazas y puede ampliar su modelo de visibilidad desde el tráfico de dentro hacia fuera («norte-sur») para incluir también el tráfico interno de centro de datos a centro de datos («este-oeste»).
Una vez construidos los cimientos de NDR, se avanzará hacia otros componentes clave de la infraestructura de XDR: la gestión de incidentes y eventos de seguridad (SIEM) centrada en los registros de log, y la detección y respuesta de puntos finales (EDR) suelen ser los siguientes niveles que se integran con una capacidad de inteligencia de amenazas. También, es posible ampliar la visibilidad de los comportamientos potencialmente peligrosos con el análisis del comportamiento de usuarios y entidades (UEBA). Y quizás lo más importante al pensar en cómo integrar la inteligencia sobre amenazas en los flujos de trabajo, es saber que las implementaciones exitosas de seguridad, orquestación y respuesta (SOAR) tienen en su núcleo una capacidad de plataforma de inteligencia sobre amenazas (TIP).
La caja de herramientas de tecnologías de visibilidad existentes puede y debe aprovechar la inteligencia sobre amenazas como un multiplicador de fuerza para el equipo de operaciones de seguridad: permite que la información recopilada sobre un entorno sea más inteligente y valiosa.
Volvamos a Dave Winer con una última reflexión: «Si está perfectamente dirigida, no es publicidad, es información. La información es bienvenida, la publicidad es ofensiva. ¿Quién quiere pagar por crear una información que se va a descartar?” En el caso de un consumidor de inteligencia sobre amenazas: ¿quién querría pagar por una información sobre amenazas si la mayor parte de ella va a ser ignorada?
Ben Smith
CTO en NetWitness