This post is also available in: Português Español
Para poner la seguridad digital en primer lugar, muchas empresas confían en Threat Intelligence (Inteligencia de amenazas) para comprender específicamente dónde y cómo enfocar sus esfuerzos para proteger mejor a sus organizaciones y sus resultados.
Sin embargo, ahora uno de los mayores desafíos para los analistas es comprender todas las fuentes de inteligencia de amenazas con las que se enfrentan sus organizaciones: comerciales, gubernamentales, grupos de intercambio de la industria y proveedores de seguridad.
Dado que las empresas están en contacto con docenas de amenazas todos los días, puede parecer imposible filtrar esa cantidad para comprender y priorizar lo que es importante para el negocio, a fin de fortalecer las defensas de manera proactiva y acelerar la detección y la respuesta. Seleccionamos 5 mejores prácticas para ayudar con esta tarea:
1) Seleccione las fuentes correctas
No todo threat intelligence es igual. La inteligencia de amenazas que es valiosa para una empresa puede no serlo para otra. El valor se reduce a la relevancia y la accesibilidad, lo que requiere la curaduría en una fuente de enriquecimiento personalizada, agregando datos filtrados por múltiples factores. Esto incluye: sector, medio ambiente, infraestructura, los terceros con los que tiene contrato y el perfil de riesgo de la empresa en su conjunto.
Una fuente de inteligencia de amenazas que a menudo se pasa por alto son los datos almacenados en varios sistemas y herramientas dentro de la empresa. De hecho, comenzar con datos internos, eventos y telemetría, y complementar con datos externos para contextualizar la información de los sistemas internos, le permite comprender la relevancia y centrarse en lo que es de alta prioridad para el negocio.
2) Determinar quién tendrá acceso a los datos
Si bien puede ser bueno brindar acceso a los datos de amenazas a una audiencia amplia, probablemente sea aún mejor tener un equipo responsable de adquirir y analizar la inteligencia de amenazas, y publicar solo información procesable.
No todas las partes interesadas necesitan todos los niveles de inteligencia. Por lo tanto, es mejor pensar en cómo el mismo informe afectará y será utilizado por varios equipos de la organización. Diferentes equipos pueden usar diferentes aspectos del mismo informe de diferentes maneras para lograr los resultados deseados.
3) Estructuración de los datos
Los datos sobre amenazas vienen en muchos formatos. Los ejemplos incluyen técnicas STIX, MITRE ATT&CK, artículos de noticias, blogs, publicaciones, informes de la industria de seguridad, indicadores de compromiso (IoC) de fuentes de amenazas y contenido de GitHub. Todo esto necesita ser organizado, y no solo de un formato.
El volumen de información en el panorama de inteligencia de amenazas es alto y diferentes grupos usan diferentes nombres para referirse al mismo tema. La organización y la normalización compensan esto y le permiten agregar y ajustar la información rápidamente. Una plataforma de inteligencia de amenazas (TIP) que ingiere y normaliza automáticamente los datos, estructurándolos de manera uniforme para que puedan contextualizarse y priorizarse, es fundamental para la clasificación y garantiza que la empresa realmente se centre en las amenazas más importantes.
4) Usar herramientas para el análisis
El análisis siempre es un desafío, especialmente durante un gran evento. Un TIP hace un buen trabajo al extraer contextos y puede ayudarlo a usar la información de varias maneras para diferentes casos de uso. Por ejemplo, clasificación de alertas, búsqueda de amenazas, spear phishing y respuesta a incidentes.
También es importante que la plataforma seleccionada funcione bien con marcos como MITRE ATT&CK para que pueda comprender qué adversarios pueden estar apuntando a sus datos de alto valor, las tácticas, técnicas y procedimientos (TTP) en los que enfocarse y qué acciones tomar.
5) Herramientas para ayudar a que los datos sean procesables
El análisis permite la priorización, para que pueda determinar las mejores acciones a tomar. Con una plataforma abierta que admite la integración bidireccional con su infraestructura de seguridad, los elementos del programa de inteligencia de amenazas se vuelven accionables.
De esta manera, la inteligencia se puede compartir de la manera correcta con los equipos ideales para lograr los resultados deseados a nivel estratégico, operativo (con cambios en la postura de seguridad) y táctico (reglas y actualizaciones de firmas) para maximizar el valor.
This post is also available in: Português Español