Editor en La Ecuación Digital. Consultor de Innovación y Estrategia…
ThreatQuotient ha analizado la evolución de este tipo de soporte tecnológico con el objetivo de demostrar la importancia que tiene para las empresas reducir el tiempo de actuación ante los ciberataques.
Las plataformas de gestión de inteligencia sobre ciberamenazas fueron inicialmente diseñadas para normalizar los datos procedentes de fuentes de amenazas externas y en la automatización del uso de esos datos en los centros de operaciones de seguridad (SOC), y en particular en los SIEM. Con el tiempo, este uso siguió desarrollándose, pero ahora las plataformas de gestión de inteligencia desempeñan un papel mucho más global y multifuncional.
Uno de los principales motivos por los que se ha ido adaptando ha sido la creciente concienciación de que las mayores fuentes de inteligencia sobre amenazas de una empresa son internas y se corresponden con los datos generados por los distintos servicios utilizados (detección, respuesta, gestión de vulnerabilidades, SecOps, riesgo, fraude, etc.).
La consideración de estas fuentes ha dado a las empresas nuevas perspectivas y una nueva función a las plataformas de gestión de la inteligencia sobre amenazas. En concreto, permitir que todas las partes internas aprovechen todas estas fuentes de inteligencia sobre amenazas para tomar mejores decisiones y mitigar el riesgo.
Aparición del concepto «centro de fusión»
En la mayoría de las organizaciones, los equipos de seguridad trabajan en núcleos con diferentes cometidos: detección (dentro de uno o varios SOC, a veces externos), respuesta a incidentes (dentro de un CSIRT o CERT), gestión de vulnerabilidades, seguridad de puntos finales, protección perimetral (gestión de políticas de reputación), etc.
Cada departamento tiene sus propias herramientas, equipos y procesos, pero la comunicación entre ellos es limitada. Este enfoque fundamental de distribución de funciones por segmentos tiende a generar pérdidas de información.
El concepto de centro de fusión es un medio innovador y muy eficaz para reducir la pérdida de información. Garantiza que cada lección aprendida por personas o máquinas en cada uno de estos departamentos pueda transmitirse a todos los departamentos en tiempo real para la toma de decisiones y la priorización de acciones.
Cada elemento explotado por un departamento se considera ciberinteligencia derivada internamente (SOC, DSIRT, SecOps, etc.). El uso de esta información para filtrar los datos de las amenazas externas ayuda a dar contexto para que las empresas puedan priorizar la inteligencia y centrarse en lo que es más importante en función de su perfil de seguridad. Además, los responsables de seguridad pueden gestionar con mayor eficacia la difusión diaria de la inteligencia relevante y de alta prioridad a todos los canales e informes necesarios.
En un centro de fusión, la plataforma de gestión de la inteligencia desempeña un doble papel, desde el punto de vista operativo como sistema de comunicación entre segmentos y, desde el punto de vista estratégico, como depósito central de las amenazas observadas por la empresa.
Plataforma de gestión de la inteligencia: un trampolín para la caza de amenazas
A medida que los equipos de seguridad siguen madurando y se dedican cada vez más a la caza de amenazas, las plataformas de gestión de inteligencia se están aplicando también para apoyar este caso de uso. Alimentada por fuentes de inteligencia externas e internas de varios departamentos, la plataforma de gestión de inteligencia se convierte en una herramienta importante para llevar a cabo un análisis preciso de la amenaza clave para la empresa.
Gracias a la integración de marcos de trabajo especializados (el más utilizado es MITRE ATT&CK), los analistas tienen acceso a las técnicas y tácticas detalladas utilizadas por los adversarios detectados. La plataforma se convierte así en el trampolín de la caza de amenazas para la empresa, permitiéndole tomar las decisiones necesarias para optimizar sus recursos antes de iniciar cualquier campaña de caza de amenazas.