En artículos anteriores ya hemos mencionado que todo gira en torno a la gestión de riesgos, un proceso en el que se toman decisiones para, entre otras cosas, hacer frente y contrarrestar las amenazas que se hayan identificado. Para que esas respuestas a las amenazas sean las adecuadas, se necesitan decisiones que previamente hayan sido analizadas en base a una información y a una serie de criterios establecidos
La información utilizada para la toma de decisiones, tendrá que ser información que aporte valor y que, una vez procesada, se convierte en inteligencia. Si la información no aporta ningún valor, será eso, simple información. Y es esa inteligencia, inteligencia en amenazas, la que permitirá tomar la decisión adecuada para hacer frente a esas amenazas, ya sea a través de la implantación de controles de seguridad, transfiriendo el riesgo o aceptando dicho riesgo.
La información obtenida de las amenazas, convertida en inteligencia, permitirá a las organizaciones llevar a cabo una evaluación eficaz de éstas, para determinar la probabilidad de que se materialice y su posible impacto para nuestra organización.
Además, a través de esa inteligencia, las organizaciones podrán saber en detalle cómo actúa una amenaza, y, por lo tanto, podrá implantar medidas de seguridad para defenderse de una manera eficiente ante ella.
La inteligencia en (ciber) amenazas, o Cyber Threat Intelligence (CTI), ayudará a las organizaciones a mejorar la protección de su activo intangible más importante; la información, adoptando una postura de prevención en lugar de reacción.
El uso de la inteligencia en amenazas en la ciberseguridad aporta una ventaja competitiva respecto a nuestros adversarios. Una estrategia de defensa basada en la inteligencia en amenazas acerca a las organizaciones a una postura de defensa activa, orientada a la prevención, en lugar de la reacción.
Pero ¿y cómo se obtiene dicha información para convertirla en inteligencia? Existen múltiples fuentes de información que se pueden utilizar para obtener inteligencia en amenazas.
Para empezar, los propios sistemas de información de las organizaciones cuentan con elementos de seguridad que son fuentes de información muy valiosas para la inteligencia en amenazas. Este tipo de fuentes se podrían catalogar como fuentes internas, porque la información proviene de sistemas o dispositivos propios de la organización.
Los logs (registros) de los sistemas cortafuegos, de las consolas antimalware o del propio controlador de dominio, son unas fuentes de información muy valiosas para el proceso de inteligencia en amenazas para cualquier organización.
En el caso de los logs de los sistemas cortafuegos, no solo nos informan de los ataques que han parado, que es su objetivo principal como control de seguridad de tipo preventivo, pero también se puede obtener información valiosa de la actividad de los adversarios, como puede ser por ejemplo, qué puertos o servicios son los más escaneados, los que reciben más ataques, qué tipo de ataques reciben, desde dónde atacan, etc.
Entre otras cosas, a las organizaciones, este tipo de información les permitirá tomar decisiones como blindar los servicios que suelen ser objetivo de los atacantes, o simplemente deshabilitando un servicio que no se está utilizando o cerrando puertos, consiguiendo con ello reducir la superficie de exposición (y de ataque).
Hoy en día se genera multitud de información en forma de logs que es difícil de gestionar, de ahí que existan herramientas como los SIEM (Security Information and Event Management) capaces de recolectar de una manera centralizada los logs de diferentes fuentes y aplicar unas reglas de correlación para detectar cualquier actividad sospechosa que pueda ocurrir en la infraestructura de la organización.
Existen otros tipos de fuentes, que podríamos catalogar como fuentes externas que a su vez podríamos diferenciar entre fuentes abiertas y fuentes privadas o de pago de inteligencia en amenazas. Cualquier sitio web, blog o foro donde su publique y comparta información acerca de amenazas, puede ser considerada una fuente.
Las fuentes privadas de inteligencia en amenazas son creadas y mantenidas por organizaciones privadas especializadas en ciberseguridad, y concretamente en inteligencia en amenazas, que venden servicios de inteligencia de amenazas a través de suscripciones a sus datos (feeds de inteligencia).
Independientemente del tipo de fuente, toda organización debería de disponer de un proceso de inteligencia en amenazas, en el que, a través de la información recogida de las fuentes y el procesamiento de dicha información, puedan obtener la inteligencia suficiente en amenazas para adoptar una postura preventiva ante las amenazas, madurar en el proceso global de gestión de la ciberseguridad y por ende, mejorar la protección de los activos de información de la organización.
Como siempre, espero que el artículo sea de vuestro agrado, interés y os pueda resultar útil.
¡Nos leemos!
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Debe estar conectado para enviar un comentario.