This post is also available in: Português Español
En su desempeño, el software de Inteligencia de Amenazas (Threat Intelligence), tiene un ciclo de vida, el cual se organiza como una estructura en la acción contra actividades maliciosas. Este marco describe los pasos clave para aplicar y mantener altos estándares de seguridad de datos, lo que le permite sacar conclusiones con un alto grado de confianza y actuar sobre hechos comprobados. Esta metodología contiene cinco fases, todas las cuales convierten datos sin procesar en inteligencia estructurada.
Fase 1: Planificación y Dirección
Existe consenso en que la primera fase del ciclo de vida de la inteligencia de amenazas es la más importante. La razón es que ella define el propósito y alcance de todas las actividades posteriores; por que determina los principales objetivos y tareas del programa de inteligencia de amenazas, que a menudo se denominan requisitos de inteligencia (IR).
Los RI deben reflejar los objetivos principales del equipo y lo que exactamente entregará la inteligencia (por ejemplo, ganancias de eficiencia operativa, riesgo reducido y detección o respuestas más rápidas).
Cuantos más objetivos de inteligencia se definan y cuantifiquen, más fácil será establecer y realizar un seguimiento de los indicadores clave de rendimiento (KPI) y demostrar su evolución.
En muchos casos, el responsable de ciberseguridad de la empresa guiará la planificación y dirección en esta etapa. También puede establecer los principales objetivos y desafíos del programa, junto con cualquier posible amenaza externa.
Es en esta etapa que define qué tipos de activos, procesos y personas pueden estar en riesgo, y determina cómo la inteligencia de amenazas mejorará la eficiencia operativa del equipo.
Fase 2: Recolección y Procesamiento
La cantidad y la calidad de los datos son aspectos cruciales del paso número dos. Cualquiera que pierda el enfoque en la cantidad o la calidad podría encontrar la empresa plagada de falsos positivos, con la posibilidad de que las amenazas graves pasen desapercibidas.
Así, la recopilación de inteligencia establece el alcance de las fuentes utilizadas, tanto en términos de volumen como de tipo de datos. Esto incluye una amplia gama de ejemplos de amenazas, como phishing, credenciales comprometidas, registros de red, vulnerabilidades y explotaciones comunes (CVEs), variantes de malware filtradas y más.
El componente de procesamiento de la fase dos busca normalizar y estructurar todos los datos acumulados. Los procedimientos a menudo incluyen la reducción del volumen de datos sin procesar y la extracción de metadados de muestras de malware, además de poder buscar en la dark web y hacer preguntas sobre puntos ciegos internos y externos.
Fase 3: Análisis
Aquí hay un proceso en gran parte cualitativo y, a menudo, orientado al ser humano. Su objetivo es contextualizar la inteligencia de amenazas procesada mediante el enriquecimiento y la aplicación de datos estructurales conocidos o correlación avanzada y modelado de datos.
A medida que la inteligencia artificial y el aprendizaje automático continúen madurando, algunas tareas orientadas al ser humano, como las decisiones mundanas y de bajo riesgo, se automatizarán cada vez más. Esto liberará recursos operativos y personal para priorizar tareas e investigaciones más estratégicas.
Por tanto, se evaluará qué tipos de activos, procesos y personal están en riesgo, enfocándose en aspectos que hagan que la inteligencia de amenazas mejore la eficiencia operativa del equipo.
Fase 4: Producción
Una vez que se completa el análisis de inteligencia de amenazas, la fase cuatro comienza a desarrollar, o sea, organizar la inteligencia en gráficos, paneles e informes fáciles de digerir. En la etapa cuatro, es esencial identificar la información más significativa y sacar conclusiones lógicas de los datos y análisis completados en la etapa tres.
Con base en la inteligencia finalizada, las partes interesadas finalizan los informes y preparan las comunicaciones para los miembros finales del equipo y los tomadores de decisiones clave. En última instancia, esta audiencia final de inteligencia de amenazas evaluará el análisis y decidirá si actuar o no.
Luego obtienen información sobre cuáles son los hallazgos más importantes del análisis y cuál es la mejor manera de ilustrarlos. También debe abordar puntos relacionados con el grado de confianza en el análisis, si es confiable, relevante y preciso, incluidas recomendaciones claras y concretas con los próximos pasos en relación con el análisis.
Fase 5: Promoción y Feedback
Para generar resultados y abordar los riesgos, los equipos de seguridad deben distribuir sus informes de inteligencia a las partes interesadas correspondientes. Estos equipos pueden ejecutar la gama completa de opciones: fraude dedicado, inteligencia de amenazas cibernéticas (CTI) y equipos de operaciones de seguridad (SecOps). La lista continúa con equipos de gestión de vulnerabilidades, equipos de gestión de riesgos de terceros y equipos de liderazgo sénior responsables de la asignación de recursos y la planificación estratégica.
Al recibir la inteligencia finalizada, las partes interesadas evalúan los hallazgos, toman decisiones clave y brindan comentarios para refinar las operaciones de inteligencia. Las mejoras en esta esfera operativa tienden a centrarse en la velocidad y eficiencia de las actividades de inteligencia y el tiempo de entrega final.
Entonces es necesario tener definiciones claras sobre qué partes interesadas se benefician de los informes de inteligencia de amenazas, enfatizando la mejor manera de presentar los hallazgos y con qué frecuencia entregarlos.
Otra pregunta es: ¿Qué tan valiosa es la inteligencia finalizada? ¿Hasta qué punto es procesable y permite a la empresa tomar decisiones de seguridad basadas en datos específicos? Sea como sea, es importante determinar cómo puede mejorar el negocio en términos de inteligencia final, así como en términos de evolución en el ciclo de inteligencia comercial.
This post is also available in: Português Español