Por Olajumoke Elizabeth Oloyede, Senior Specialist Threat Intelligence and Hunting de MTN.
Después de mi publicación sobre la integración de la inteligencia de amenazas cibernéticas en la ciberseguridad (Preguntas frecuentes), decidí escribir sobre cómo implementar la inteligencia sobre amenazas cibernéticas en las operaciones de seguridad de una empresa.
La inteligencia de amenazas convierte la información recopilada en puntos procesables necesarios para la toma de decisiones. La información no es igual a la inteligencia si no se convierte en puntos procesables que a su vez estimulen la inteligencia.
Existen diferentes tipos de conceptos erróneos sobre la inteligencia de amenazas, algunos piensan que consiste en sentarse frente a registros, leer, copiar y pegar artículos de seguridad, buscar amenazas y trabajar solo, lo cual son mitos. La inteligencia de amenazas consiste en recopilar información completa sobre un objetivo específico, analizar artículos de seguridad, recopilar IOC de registros y SIEM, trabajar con otros equipos (equipos rojo y azul), realizar búsquedas internas y externas, estar atento a las vulnerabilidades que se deben mencionar, pero algunos.
Factores
Cada sector industrial es diferente y único a su manera, tiene sus amenazas y ataques peculiares. Por tanto, es necesario desarrollar un caso de uso para diferentes sectores. Se deben considerar los siguientes factores al desarrollar un caso de uso para una organización.
- Tipo de industria, por ejemplo, construcción, financiera, comercio electrónico, etc.
- Los requisitos comerciales: lograr esto contribuirá en gran medida a afinar los requisitos de CTI. Una organización de comercio electrónico estará más preocupada por la disponibilidad e integridad de los datos que por la confidencialidad, mientras que una organización de salud estará más preocupada por la confidencialidad y la integridad. Para construir un sistema CTI que funcione, defina qué es lo que más preocupa a su organización y esté atento a esas debilidades.
- Madurez de una organización: cuanto más pequeña es una organización, mejor cobertura de CTI y viceversa. una organización madura requerirá que más de un analista de CTI trabaje en conjunto y cuanto más grande sea una organización, mayor será su dominio y mayor su dominio de amenazas.
- Valor: tenga esto en mente para indicar claramente el valor que dicha organización obtendrá en alineación con sus objetivos comerciales. ¿De qué sirve la CTI para la organización? Si esto se establece claramente, se asegurará el apoyo de las partes interesadas y la continuidad del programa CTI.
Existen diferentes tipos de inteligencia que van desde la Inteligencia de Código Abierto (OSINT), la Inteligencia de Fuente Humana (HUMINT), la Inteligencia de Señales (SIGINT), la Inteligencia Tecnológica (TECINT), la Inteligencia Financiera (FININT), etc.
Ciclo de vida de CTI
- Planificación y Dirección.
- Recopilación.
- Análisis.
- Producción
Caso de uso de CTI
- Organización: Gobierno
- Objetivo: ¿A qué actores de amenazas se dirigen?
Clientes: ciudadanos
Sistemas de transacciones y back-end.
Información sensible - Ataques: qué tipos de amenazas/ataques están asociados con el número 2 anterior, incluidos los TTP.
- Infraestructura: vulnerabilidades de las aplicaciones, servicios y dispositivos utilizados.
Un inventario bien documentado de la infraestructura ayudará a un seguimiento eficaz. - Punto de contacto: dónde recopilar la información anterior.
Superficie y web oscura.
Grupos cerrados de redes sociales.
Foros de la web oscura.
Blogs de investigadores y proveedores de seguridad, por ejemplo, AlienVault, VirusTotal, etc.
OSINT Y HUMINT.
Recopilación de información interna, como colegas.
Productos de inteligencia sobre amenazas
Al final de cada ciclo de inteligencia, puede producir uno o todos los siguientes:
- Inteligencia operativa: a menudo detalla posibles operaciones inminentes contra una organización. No es fácil de obtener y se basa en el sector industrial. Abarca inteligencia de todas las fuentes. como filtraciones de datos vendidas en la web oscura. Suele ser urgente, necesita acción inmediata.
- Inteligencia táctica: consta de TTP y IOC de los actores de amenazas, es particularmente útil para los centros de operaciones de seguridad; dependiendo de la gravedad, puede ser urgente, pero generalmente es una actualización para la firma, actualización del sistema de defensa basada en malware emergente, técnicas utilizadas por la amenaza. actor.
- Inteligencia estratégica: existe para informar a los tomadores de decisiones sobre cambios más amplios en el panorama de amenazas. Se centra en el riesgo empresarial en lugar de en términos técnicos.
Conclusión
CTI es la herramienta más importante en todo programa de ciberseguridad.
Fuente: https://cyberliza.medium.com
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
