Desde hace varios años se habla del concepto de inteligencia de amenazas (Cyber Threat Intelligence), sin embargo, en el último año ha tomado mayor importancia, en parte debido a la diversidad de amenazas cibernéticas que hoy enfrentan las organizaciones, que sigue en aumento y de acuerdo con los datos de SCILabs, en algunos casos es hasta dos veces mayor en comparación con años anteriores.  Cuando las organizaciones quieren tomar ventaja del uso de la inteligencia de amenazas, es importante decidir primero si lo que quieren es producirla, consumirla o bien una combinación de ambas.

Recordemos que la inteligencia de amenazas tiene el objetivo de reducir el ruido y permitirle a la organización enfocarse en las amenazas relevantes para cumplir sus requerimientos prioritarios de inteligencia, no obstante, producir inteligencia de amenazas puede resultar demasiado costoso ya que se requiere una fuerte inversión en tecnología, procesos y  especialistas que sean capaces de seguir el ciclo para la producción de inteligencia, al mismo tiempo que hacen a un lado sus sesgos cognitivos y aplican métodos de análisis para la identificación de patrones que sean relevantes para el negocio.

Debido a lo anterior, muchas organizaciones optan por solo consumir la inteligencia de amenazas, sin embargo, el consumo está rodeado de diversos mitos que, de no ser entendidos a tiempo, pueden dejar a la organización con una inversión que no dará los resultados esperados.

Es relevante no olvidar los pasos necesarios para producir inteligencia, los cuales se muestran de manera simplificada en la figura 1:

  • Identificación de requerimientos: fase en la que la organización prioriza sus requerimientos de inteligencia con base en su modelo de amenazas.
  • Colección: se colecta información para posteriormente ser analizada y responder a los requerimientos de inteligencia específicos de la organización.
  • Procesamiento: consiste en la selección de información que será utilizada para posteriormente realizar el análisis y producir la inteligencia con base en los requerimientos de la organización.
  • Análisis: es la parte esencial en la producción de inteligencia, esta es la parte en la que los analistas “conectan los puntos” para identificar patrones, mediante modelos mentales que les permitan abstraer la información para convertirla en inteligencia.
  • Diseminación: es la fase en la que se generan los productos de inteligencia tanto estratégica, como táctica y operacional, a partir de lo identificado durante la fase de análisis.

 

Figura 1

A continuación, les muestro una lista de mitos comunes sobre el tema de inteligencia de amenazas:

Mito 1: los Hash, las direcciones IP y las URL son inteligencia por sí solos.

Realidad: la información sin contexto no es inteligencia. Sin un contexto que muestre su relevancia para la organización son solo información que, por sí misma, no puede ayudar a proteger la organización.

 

Mito 2: un portal con “inteligencia global” es todo lo que necesitas.

Realidad: los portales ofrecen únicamente el resultado de la colección, que es una de las primeras fases en el ciclo de la producción de inteligencia, por lo que, si la organización no cuenta con recursos especializados para hacer análisis de la información que arrojan los portales, estos no servirán de mucho.

 

Mito 3: la protección de la marca es inteligencia.

Realidad: la protección de marca es solo uno de los componentes de la fase de colección, ya que lo relevante es el análisis sobre quién está intentando suplantar la marca, las motivaciones del adversario, así como entender si lo está haciendo de manera dirigida o solamente de manera oportunista debido a la falta de procesos de la organización para hacerle frente a la suplantación.

 

Mito 4: la inteligencia es automatizable.

Realidad: lo que se puede automatizar es la colección y la diseminación. El análisis debe ser realizado por personas, que son las que pueden “conectar los puntos” y abstraer aquello que realmente es relevante para la organización.

 

Mito 5: en la Darkweb está todo lo que necesitas saber de tu organización.

Realidad: la Darkweb está sobrevalorada. Existe mucho ruido y no es posible determinar la veracidad de lo que se dice sin contexto de otras fuentes, así como tampoco el perfilamiento del sector ni el entendimiento de los ciberactores detrás de una amenaza.

 

Mito 6: la misma inteligencia les sirve a todas las organizaciones.

Realidad: cuando la inteligencia no fue creada con base en tus requerimientos, no puedes obtener inteligencia estratégica, táctica y operativa adecuada a tus necesidades. Los proveedores globales presentan la inteligencia de amenazas mediante un portal que trata de cumplir con los requerimientos de múltiples organizaciones, por ello se convierte únicamente en información, que tiene que ser analizada para volverla accionable dentro de cada una.

 

Mito 7: solo las organizaciones “grandes” necesitan inteligencia de amenazas.

Realidad: todas las organizaciones se benefician de la inteligencia producida con base en sus requerimientos, sin importar su tamaño o giro. Las empresas más pequeñas suelen creer que no deben invertir en seguridad, por lo tanto, son una presa más sencilla para el cibercrimen.

 

Mito 8: la inteligencia de amenazas solo está relacionada con vulnerabilidades.

Realidad: el contexto sobre vulnerabilidades que pueden representar un riesgo para la organización es solo uno de los múltiples productos de la inteligencia de amenazas. Cuando se cumple con los requerimientos de inteligencia de la organización, esta puede estar orientada a rubros como fraude, riesgo de terceros, comportamiento de la cadena de valor o abuso de marca, por mencionar algunos.

 

Mito 9: los proveedores globales de inteligencia tienen toda la visibilidad que una organización necesita.

Realidad: lo más valioso es contar con inteligencia local y con una interpretación de cómo los eventos globales pueden impactar al sector y a la organización, más allá de la cantidad de indicadores que un feed de inteligencia de amenazas puede dar y que no necesariamente es aplicable a una organización en particular.

 

Mito 10: entre más feeds de inteligencia se tienen, mayor es la inteligencia que posee la organización.

Realidad: muchos feeds gratuitos tienen alto grado de falsos positivos, además de que frecuentemente se repite la información entre los feeds gratuitos, y los pagados. Por ello, más que tratar de contar con múltiples feeds de inteligencia, es importante entender cuáles dan valor al análisis y a los requerimientos de inteligencia de la organización.

 

Así pues, para finalizar, a continuación brindo algunas recomendaciones para adquirir inteligencia de amenazas:

  • Definir los requerimientos de inteligencia prioritarios para el negocio.
  • Contar con la capacidad operativa para accionar con respecto a la inteligencia que se espera recibir.
  • Determinar la capacidad para analizar la información de portales de inteligencia, en caso de querer adquirir uno; en caso de no contar con el personal especializado para procesar la información entregada por el portal, contar con un servicio de inteligencia que entregue productos asociados a los requerimientos de la organización.
  • No dejarse sorprender por la entrega de inteligencia proveniente de un solo tipo de fuente, ya que probablemente estará sesgada y no necesariamente aportará el valor esperado.
  • Priorizar la inteligencia local respecto de la global.
  • Dar preferencia a la inteligencia que resulte más accionable para la organización.

 

[email protected]