Por Derek Manky, estratega de Seguridad global en Fortinet
El intercambio de información es uno de los elementos más críticos de cualquier estrategia de ciberseguridad. Poder comparar el dispositivo o la red que está tratando de proteger contra un conjunto de amenazas que se sabe están actualmente activas es fundamental para implementar los recursos correctos y las medidas adecuadas.
El objetivo debe ir más allá de simplemente bloquear un ataque antes de que pueda vulnerar una red. También debe interrumpir su capacidad para lograr su objetivo final, lo que significa que su estrategia de seguridad debe tener la habilidad de ver e interrumpir una amenaza en algún lugar de la cadena de ataque, desde el sondeo inicial del sistema hasta la penetración de la red o la última filtración de datos. La inteligencia necesita proporcionar información y contexto sobre metodologías de ataque como las herramientas utilizadas para ocultar una infiltración, cómo un ataque se esconde dentro del tráfico de la red o evade la detección, los tipos de datos robados, el malware implantado, y cómo se comunica un ataque con su controlador. Finalmente, la inteligencia de amenazas necesita ser aprovechada para responder a un ataque, proporcionar un análisis forense para una recuperación completa, o brindar información para atribuir y procesar a los atacantes.
Tipos de inteligencia de amenazas
Para aprovechar esta valiosa información, las organizaciones necesitan acceder a una variedad de fuentes de inteligencia de amenazas. Éstas incluyen:
- Inteligencia procesable compartida por los fabricantes: este es el uso más común de la inteligencia de amenazas. Por lo general, llega como parte de una actualización de seguridad habitual de un fabricante, a menudo en forma de una firma que puede detectar una amenaza conocida. Por ejemplo, FortiGuard de Fortinet provee análisis y detección en inteligencia de amenazas para mantenerse a la vanguardia del panorama de ataques en rápida expansión.
- Inteligencia recolectada de los dispositivos y sistemas locales: establecer una línea de base del comportamiento normal de la red le permite determinar cuándo algo se está comportando de manera anómala. Los spikes de datos, un dispositivo que intenta contactar otros dispositivos con los que normalmente no se comunica, aplicaciones desconocidas o no reconocidas que se ejecutan en la red o datos que se recopilan y almacenan en un lugar poco probable son todas las formas de inteligencia local que se pueden utilizar para identificar un ataque, incluso localizando con precisión los dispositivos que se han visto comprometidos.
- Inteligencia recopilada de dispositivos y sistemas distribuidos: este mismo tipo de inteligencia se puede recopilar desde otras áreas de la red. A medida que las redes se expanden, crean nuevas oportunidades para que las amenazas se infiltren en su red. Sin embargo, dado que los diferentes entornos de red como las redes virtuales o los entornos de nube pública suelen tener herramientas de seguridad y redes aisladas y separadas, es esencial que se configure un proceso para la recopilación centralizada y la correlación de estos diferentes hilos de inteligencia.
- Inteligencia recopilada de fuentes de amenazas: la suscripción a fuentes de amenazas públicas o comerciales permite a las organizaciones mejorar los datos que recopilan de su propio entorno con información en tiempo real recabada a partir de una huella regional o global. Muchas de estas fuentes pueden proporcionar inteligencia específica diseñada para una infraestructura de seguridad particular. El Servicio de Inteligencia de Amenazas (TIS, por sus siglas en inglés), de Fortinet por ejemplo, agrega información de seguridad personalizada al Fortinet Security Fabric que no solo proporciona información sobre el actual panorama global de amenazas, sino que vincula esa inteligencia al entorno de seguridad específico de una organización para determinar mejor cómo priorizar recursos de seguridad para abordar esas amenazas.
- Inteligencia compartida entre pares de la industria: hay una serie de grupos que comparten inteligencia de amenazas, incluidos los ISAC (Centros de Intercambio de Información y Análisis) e ISAO (Organizaciones de Intercambio de Información y Análisis), que comparten inteligencia de amenazas entre organizaciones del mismo sector del mercado, industria vertical o región geográfica. Esta inteligencia es especialmente útil para centrarse en las tendencias y amenazas que están afectando a sus pares, y, por lo tanto, es más probable que también lo afecten.
- Transporte de inteligencia: para que la inteligencia de seguridad sea efectiva, las organizaciones necesitan contar con herramientas que puedan funcionar con los protocolos STIX y TAXII, ya que son la columna vertebral utilizada para entregar estas fuentes. STIX se puede utilizar para fuentes crudas y personalizadas, con TAXII funcionando como la capa de transporte.
- Inteligencia compartida entre proveedores de seguridad: el público nunca ve uno de los intercambios de inteligencia de amenazas más importantes. Como miembro fundador de la Alianza contra Ciberamenazas o CTA, por sus siglas en inglés, Fortinet y otros miembros comparten su inteligencia, experiencia humana y tácticas entre sí con el fin de elevar el nivel de seguridad general. Este esfuerzo cooperativo es un testimonio de la importancia de compartir inteligencia de amenazas. Estas organizaciones entienden que la oportunidad de reducir el número de amenazas que ponen a todos en riesgo es más valiosa que cualquier ventaja que puedan proporcionar estos datos.
La implementación de un proceso efectivo de recopilación e intercambio de inteligencia de amenazas es un componente esencial de cualquier estrategia de ciberseguridad. Es tan importante como el firewall que implementó en la red o la solución de seguridad de punto terminal que ha cargado en las computadoras portátiles de su empresa.
Si bien la inteligencia es importante, el acceso a inteligencia accionable en tiempo real sigue siendo clave. De esta forma, eleva el nivel de inteligencia de amenazas al comprender las amenazas tanto en la red distribuida como en todas las fuentes de inteligencia y puntos de vista globales. Compartir su propia inteligencia de amenazas con otros, hace que todos estemos más seguros.