Llegamos a ustedes gracias a:



Reportajes y análisis

Programa de inteligencia de amenazas

5 cosas a considerar antes de construir uno

Programa de inteligencia de amenazas

[29/04/2016] Rebeca Brown, líder de inteligencia de amenazas en Rapid7, recientemente se sentó con Salter Hash para discutir los conceptos básicos en la construcción de un programa de inteligencia de amenazas. Es una tarea seria, que tomará tiempo y muchos recursos para llevar a cabo. Incluso entonces, una vez que el programa está en funcionamiento, se necesitarán más tiempo y recursos para su cuidado y mantenimiento.

Liderazgo

Quienes toman decisiones deben estar involucrados con el proceso. Incluso con una perfecta ejecución, una organización no puede alcanzar el éxito o impacto real con su programa de inteligencia de amenazas a menos que tenga el apoyo de la dirección.

"Que sea lo más simple y relevante para ellos como sea posible; sin abrumarlos con detalles técnicos y posibilidades peligrosas que no son muy probables para su organización", señala Brown.

Los recursos como el Verizon DBIR y otros reportes estratégicos de alto nivel ayudan a ilustrar el punto de que los diferentes sectores y organizaciones se enfrentan a diferentes amenazas, agrega Brown.

El punto es conseguir que los líderes de negocios entiendan que la inteligencia de amenazas puede ayudar a que la compañía centre sus esfuerzos de seguridad sobre las amenazas que tienen las probabilidades más altas y el mayor impacto.

Cuando se trata del tono, tanto TI como la gestión de InfoSec (suponiendo que los papeles se dividen) debe ser los que hablan. Los programas de inteligencia de amenaza pueden apoyar las operaciones en todos los ámbitos, desde aumentar las funciones de seguridad a mantener los sistemas en funcionamiento.

"La inteligencia de amenazas puede ayudar a que los equipos de seguridad funcionen de manera más eficiente, y ayudar a que los administradores de TI comprendan las amenazas a los sistemas que tienen establecidos, y contribuir a la planificación de qué sistemas nuevos deben introducirse", anota Brown.

Personal

Es necesario que haya una mezcla de experiencia que pueda generar el programa de inteligencia de amenazas, establecer la estrategia, y hacer el análisis de las amenazas que enfrenta el negocio.

La construcción e implementación son generalmente, aunque no siempre, dos conjuntos de habilidades diferentes, comenta Brown.

"La construcción de un programa, especialmente una nueva función como la inteligencia de amenazas, no es una tarea fácil. Incluye cosas como la definición de la estrategia, en colaboración con otros equipos dentro de la organización, y la contratación del personal necesario".

Los constructores no solo tendrán que comprender las necesidades de negocio de la organización, sino también los matices de inteligencia de amenazas para que puedan conformar y dirigir el programa a todos los niveles, desde lo estratégico a lo táctico.

"Además, es importante contar con personal que pueda entender los detalles técnicos de las amenazas, cosas como comprender los TTP de los agentes de amenaza y cómo identificar o crear alertas para ello, y conocer la cadena de destrucción y cómo identificar cuando una amenaza particular está en ese espectro", agrega Brown.

"También es muy importante que quienes ocupan estos cargos, entender cuándo una amenaza no los afecta con el fin de evitar la propagación de una gran cantidad de FUD. Debería ayudar a ahorrar tiempo y energía, centrándose en las amenazas reales, y para hacerlo, una organización necesita gente que sepa que esas amenazas son verdaderas".

Si no existe personal para llenar estos roles, la compañía podría tener que contratarlos en algunos casos. Pero también es posible que las personas se adapten al papel que hayan estado allí todo el tiempo, y solo necesiten ese empujón extra.

"Una vez que una organización tiene algún tipo de función de seguridad establecida, puede empezar a utilizar la inteligencia básica de amenazas. En términos generales, los analistas del SOC, quienes responden a los incidentes, los arquitectos de seguridad, y varios otros, pueden leer los numerosos informes públicos sobre diversos agentes de amenaza y evaluar si esa amenaza es un riesgo potencial para su organización", indica Brown.

"Estos profesionales también pueden tener relaciones en las comunidades de intercambio, formales o informales, en las que están expuestos a la inteligencia de amenazas, solo necesitan desarrollar procesos o capacidades internas para actuar sobre ella. Incluso si la inteligencia de amenazas que reciben es ocasional o accidental, todavía puede beneficiar el trabajo que ya están haciendo. En esencia, estos ejercicios pueden llegar a ser un marco para la construcción de capacidades más avanzadas".

Por otra parte, una empresa podría invertir y poner a un candidato en un programa de entrenamiento de inteligencia de amenazas, lo que puede ayudar a desarrollar habilidades en la investigación de amenazas, análisis y generación de informes.

Pero, si la empresa sinceramente busca construir una nueva función, va a necesitar a alguien con experiencia, y eso no es tarea fácil, porque algunas de las personas más experimentadas ya tienen un empleo remunerado. Una vez más, no es fácil de encontrar, pero los que tienen experiencia están ahí fuera.

"Hay empresas de seguridad que pueden ayudar con el desarrollo del programa y guiar una organización a través del proceso, pero tener a alguien que entienda las prioridades del negocio es crítico -nadie más puede decirle a una organización que información es más importante para ellos", añade Brown.

Comprender el comportamiento de usuarios típicos en el entorno

La comprensión de los comportamientos y uso típico de un usuario es esencial, pero si una base limpia no puede establecerse; se verá comprometido cualquier monitoreo realizado. Por lo tanto, es fundamental evaluar si la organización tiene un control positivo del entorno antes de establecer líneas de base.

"La realización de una evaluación de compromiso antes de comenzar cualquier tipo de actividad de línea de base es una buena idea. Obtener una buena comprensión de lo que es el comportamiento típico del usuario puede tomar varios meses, y no es algo que pueda ser determinado de la noche a la mañana", anota Brown.

Las líneas de base típicas incluyen cuándo y dónde un usuario inicia una sesión normalmente; ya sea que descargue una gran cantidad de nuevos programas informáticos; o qué otros dispositivos acceden normalmente. Todos estos son comportamientos que podrían ser normales, y por lo tanto los atacantes tratarán de emularlos.

"Tiene que conocer a sus propios usuarios mejor que los atacantes, de tal modo que sepa cuando algo está fuera de lugar -incluso ligeramente. Esto también ayuda a reducir los falsos positivos y evita que las organizaciones limiten a sus usuarios innecesariamente. Todo se reduce a conocerse a sí mismo y a su negocio".

Visibilidad

Esto no solo incluye saber lo que está pasando en la red, sino también la capacidad de revisar los registros anteriores.

"Gran parte de la inteligencia de amenazas técnica es inútil si no tiene la capacidad de identificar si lo ha visto en su entorno o toma algún tipo de acción para bloquear o alertar. Es importante capturar registros de red y de punto final ya que en muchos casos el punto final es crítico en la determinación de la medida de una amenaza, así como reducir los falsos positivos de indicadores basados en la red, que son mucho más perecederos que los indicadores de punto final", comenta Brown.

La determinación del tipo y el alcance de los registros más valiosos es algo que cada negocio tiene que hacer por sí mismo, no existe una regla universal o un único conjunto de conceptos básicos aquí.

Los registros más importantes probablemente se centren en los sistemas críticos, como los de alojamiento de tarjetas de débito y crédito, los datos de los registros de salud, datos financieros, IP corporativa, registros de clientes, etc.

"Los registros de los servidores críticos u otros recursos sensibles son también muy importantes. Básicamente, si quiere ser capaz de responder a cualquier pregunta acerca de si se accedió o no a un sistema, o si está potencialmente comprometido, necesita asegurarse de que ha iniciado sesión adecuadamente para responder a estas preguntas".

Si no existe una política de retención de registro, haga una. Por lo general, el mínimo es de 90 días, pero como han demostrado las últimas infracciones, se encontraron redes comprometidas desde hace mucho tiempo. Si el espacio no es un problema, entonces el almacenamiento de registros por más de 200 días no es una mala idea.

Capture la información de la red, analícela y conviértala en inteligencia

"Responder y capturar la información de sus propios incidentes es la mejor inteligencia de amenazas que nunca podrá reunir", comenta Brown.

"El análisis predictivo es sin duda más atractivo para la mayoría de la gente, pero el análisis realizado sobre un hecho real en su red le ayudará no solo a responder a la amenaza, sino también a mejorar los modelos que está utilizando para su análisis".

Algunas formas de recopilar esta información:

* Respuesta a incidentes a la antigua

* IDS / IPS y filtros de correo electrónico que muestran los ataques que fueron bloqueados.

Las alertas IDS / IPS a menudo son ignoradas, ya que indican que un ataque fue detenido, pero si hubo un atacante motivado detrás de esos ataques posiblemente esté utilizando sus fracasos como lecciones aprendidas para que ataque mejor la próxima vez.

"Si tenemos las opciones para aprender también de los fracasos de nuestros atacantes, debemos tomar esas oportunidades, de lo contrario vamos a estar aprendiendo de sus éxitos", anota Brown.

* Reportes de los empleados sobre correos electrónicos sospechosos, pop ups, intentos de ingeniería social, y otra información que pueda haber sido pasada por alto en los medios técnicos

Además, los Honeypots o Honeynets pueden ser usados para obtener más información acerca de los comportamientos del atacante, incluyendo nuevas herramientas o tácticas que están utilizando o probando para evitar las medidas de seguridad actuales.

Steve Ragan, CSO (EE.UU.)