El objetivo de cualquier producto o servicio de inteligencia de amenazas (Threat Intelligence) es proporcionar conocimiento y recomendar soluciones acerca de las amenazas a la seguridad de la información. En términos generales, esto significa identificar a los atacantes y comprender sus motivaciones, métodos y características.
La inteligencia relacionada con las amenazas cibernéticas, se identifica generalmente a partir de dos categorías de fuentes: fuentes técnicas, como el tráfico de red, los archivos recuperados de archivos de malware y las bases de datos tanto públicas como privadas; y fuentes humanas, a través de la infiltración de grupos de piratas informáticos y fraudes, charlas en las redes sociales y mediante el intercambio de información entre otros grupos de la industria o agencias de aplicación de la ley.
Los servicios de sistemas automatizados, ofrecidos por algunos productos y servicios de inteligencia de amenazas, son eficientes para recopilar datos de fuentes técnicas, pero evaluar esos datos, o la información obtenida de fuentes humanas, siempre requerirá de un toque humano para ser efectivo. A medida que el volumen de datos técnicos crece día a día, se vuelve cada vez más difícil separar el trigo de la paja sin algún tipo de análisis.
El ciclo de vida de inteligencia de amenazas que Cloud Security Alliance (CSA), define para la ciberseguridad, se asemeja mucho a su matriz de la CID (Confidencialidad, Integridad y Disponibilidad)
Las fases pueden enumerarse entonces, de acuerdo a lo planteado, de esta manera:
- Dirección: al igual que en la comunidad de inteligencia más amplia, la dirección viene de arriba: el CISO de una organización, por ejemplo, o el líder del centro de operaciones de seguridad (SOC) de una organización. Los elementos esenciales de la información necesarios para dar una dirección adecuada a la transferencia desde el ámbito físico al digital: mientras una agencia de inteligencia del gobierno puede centrarse en una determinada área geográfica, un SOC podría optar por centrarse en las amenazas directas a su red e identificar indicadores de compromiso.
- Recolección: Los datos se recogen de fuentes técnicas y humanas. En estos días, cuando podría llevar millones o incluso miles de millones de puntos de datos individuales construir un tamaño de muestra suficientemente grande para identificar patrones confiables, la automatización ofrecida por los productos de inteligencia de amenazas ayuda en la etapa de recopilación. Los datos de fuentes solo públicas, a menudo no son suficientes: cooperar con otras organizaciones para compartir datos privados de la web profunda e incluso tener una presencia activa en la web oscura, conduce a conjuntos de datos más completos.
- Procesamiento: al igual que los grandes conjuntos de datos hacen que la automatización sea necesaria en la fase de recopilación, ésta también es necesaria para procesar esos datos y convertirlos en algo comprensible. Muchos productos de inteligencia de amenazas ofrecen herramientas automatizadas efectivas para producir informes y otros recursos. Pero el fuerte trabajo en equipo, entre los humanos y las máquinas, también hace mucho aquí: un ojo experto puede proporcionar el contexto y la intuición necesarios para eliminar la ambigüedad. En una industria en la que los segundos pueden hacer toda la diferencia para responder a una amenaza, la dirección correcta proporcionada por un experto humano puede ayudar, incluso a los procesos automatizados más rápidos, a realizar una búsqueda inteligente y eficiente en lugar de confiar sólo en la fuerza bruta.
- Análisis y producción: Como antes, los datos procesados deben ser coherentes y ordenados de manera efectiva y, una vez más, ninguna automatización puede realmente compensar un toque experto. Como se definió anteriormente, la inteligencia incluye un análisis de las motivaciones y predicciones sobre el comportamiento futuro y ese tipo de análisis sólo puede ser realizado bien por personal armado con la tecnología adecuada.
- Difusión: el producto terminado vuelve a la cima, iniciando el ciclo nuevamente.
- Retroalimentación: la efectividad de un ciclo de inteligencia de amenazas determinará los elementos esenciales de la información necesaria para el próximo ciclo, incluidos los espacios en los que se enfocará al recopilar datos y la rapidez con la que se deben tomar medidas.
En resumen: Responder de manera rápida, flexible e inteligente.
“La realidad no es una función del evento como evento, sino de la relación de ese evento con el pasado y los eventos futuros”. Visualizar la inteligencia como un ciclo de vida, pone énfasis en el proceso por sobre el producto y el contexto, por sobre la información en bruto. Las amenazas, en general, son excepcionalmente diversas, y van y vienen a velocidades vertiginosas. Para tener resiliencia operativa, el equipo de ciberseguridad en cualquier organización debe trabajar para refinar sus procesos y aprender a responder de manera rápida, flexible e inteligente ante cualquier amenaza.
