MÁS CONOCIMIENTO SOBRE INTELIGENCIA DE AMENAZAS
.jpg) |
| Robert C. Freeman |
Los vendors de seguridad están haciendo un gran ruido sobre inteligencia
de amenazas, bombardeando el mercado con un diluvio de fuentes y paquetes que
prometen dar sentido al panorama de las amenazas. Elegir el correcto requiere
de algo de su propia inteligencia.
Cuando evalúe sus opciones, debería hacerse estas preguntas
·
¿Cuáles son todas estas fuentes?
·
¿Cuál puede darme el mayor valor en entender mis amenazas?
·
¿Cómo debería elegir entre las distintas fuentes de inteligencia de
amenazas?
·
¿Cómo me aseguro de obtener la mejor cobertura para mis necesidades y
maximizar mi retorno de inversión?
Pero la primera y más importante pregunta es ¿qué significa exactamente
"inteligencia de amenazas"?
Inteligencia de amenazas es la información que ha sido analizada para
descubrir conocimientos informativos. Inteligencia de amenazas procesable es
una visión sobre la cual usted puede actuar - permite la toma de decisiones
informada que se traduce en mejores resultados. Vemos este tipo de
inteligencia, cuando un líder de negocios encuentra conocimientos en datos de
mercado para sintonizar un lanzamiento de producto, o cuando un analista de
seguridad comprende el alcance y la intención de un ataque y toma medidas para
limitar su impacto.
Los expertos en seguridad dividen la inteligencia de amenazas en cinco
clases diferentes:
1.
Inteligencia interna: es la inteligencia sobre los activos y
comportamientos propios de su organización, basado en el análisis de las
actividades de su organización.
2.
Inteligencia de Red. Esta es la inteligencia obtenida del análisis de tráfico de red en los
límites de la red de su organización y en las redes que lo conectan con el
mundo exterior.
3. Inteligencia de borde. Es
la comprensión de lo que diferentes hosts de Internet están haciendo en el
borde de la red. Esto en información proviene de lo que gobiernos, ISPs,
Telcoms y CDN tienen.
4.
Inteligencia de código abierto. Proviene de la gran cantidad de información disponible
en los sitios web, blogs, feeds de Twitter, canales de chat y canales de
noticias. Está disponible para todo el que quiera recoger y extraerlo para
inteligencia útil. Numerosas empresas ofrecen inteligencia de código abierto,
en su mayoría diferenciada por el número de fuentes, conocimientos de idiomas y
soporte de la herramienta analítica.
5.
Inteligencia de código cerrado. Es la más difícil de adquirir – un grupo cerrado
de usuarios compartiendo (por ejemplo, FS-ISAC), autentica sitios subterráneos
y canales de chat, información obtenida por las operaciones de inteligencia y
de aplicación de la ley, y la inteligencia humana. Una serie de compañías
ofrecen algo de inteligencia de código cerrado, aunque la cobertura es a menudo
específica a una amenaza o la geografía particular.
Cuando esté construyendo sus capacidades de inteligencia de amenazas, es
probable que desee una buena cobertura de todas estas clases.
Desafortunadamente, la mayoría de los servicios comerciales de inteligencia de
amenazas pueden ofrecer una, o en el mejor de los casos dos, de estas fuentes.
Y ellos pueden no proveer una cobertura que sea directamente relevante para su
organización.
Por esa razón, recomiendo lo siguiente:
·
Aprovechar la inteligencia interna como su fuente más directamente
procesable.
·
Aumentar esto con inteligencia de red que se relaciona con sus activos
(como las puertas de enlace de la red y las redes externas).
·
Utilice la inteligencia de código abierto que cubre sus activos, la
marca, la geografía y el tipo de su negocio.
·
Invierta en inteligencia de código cerrado sólo si tiene un perfil de
riesgo que exige este nivel de conocimiento, o si una fuente es especial para
su industria específica (por ejemplo, uno de los Centros de intercambio y de
análisis de información, o ISACs, en los EE.UU.)
·
Busque proveedores de inteligencia procesable pertinentes que le
permitan tomar decisiones informadas sobre la postura y respuesta ante la
amenaza.
Haciéndose las preguntas correctas, usted puede lograr un plan de
inteligencia de amenaza que brinde los conocimientos correctos – y ese es uno
de los movimientos más inteligentes que un profesional en seguridad puede
realizar.
* Robert C. Freeman
Director Senior para
América Latina de FireEye Inc. Profesional en Ciencias Políticas e Historia de
la Universidad de Massachusetts, Amherst. Posee más de 18 años de experiencia
laboral en ventas, de los cuales, cumple un año en la implementación de
estrategias y negocios de la empresa. A través de su gestión en FireEye, ha
posicionado la plataforma como líder en seguridad Informática en Latino
América, además, lidera un equipo especializado en alianzas estratégicas para
beneficiar al sector tecnológico nacional e internacional.
No hay comentarios:
Publicar un comentario