Operacionalización de la inteligencia de amenazas a escala en …



Las plataformas de código abierto, como la Plataforma de intercambio de información sobre malware, están bien posicionadas para impulsar un enfoque comunitario para el intercambio de inteligencia.

Los centros de operaciones de seguridad (SOC) de hoy están luchando. Las amenazas cibernéticas son cada vez mayores y crecen a diario en sofisticación. Grandes volúmenes de datos creados cada segundo conducen a nuevas vulnerabilidades y vectores de ataque. ¿Cómo los SOC mantienen el ritmo de las amenazas que ocurren en el paisaje y los comprenden mejor para aumentar la postura de seguridad de su organización?

Una encuesta del Instituto Ponemon, «Mejora de la efectividad del Centro de operaciones de seguridad, «descubrieron que el 53% de los encuestados cree que su SOC no es efectivo para reunir evidencia, investigar y encontrar la fuente de amenazas. Para ser efectivos, los SOC deben tener acceso a los datos correctos con el contexto adecuado en el momento adecuado para cumplir su misión de identificar y responder a las amenazas.

La inteligencia de amenazas cibernéticas (CTI) se ha convertido en una herramienta clave para los SOC en esta misión. De acuerdo con la Encuesta SANS &#39&#39 Evolution of Cyber ​​Threat Intelligence &#39&#39 de 2019, El 70% de los clientes consideran que CTI es una necesidad para las operaciones de seguridad. Sin embargo, muchas organizaciones aún luchan por poner en funcionamiento las fuentes dispares de inteligencia de amenazas o instituir una cultura efectiva de compartir para combinar fuerzas contra los adversarios.

Aprovechando el Diferentes tipos de datos de amenazas
Los datos de inteligencia de CTI provienen de muchas fuentes, y hay dos categorías principales. El primero son fuentes de fuente abierta / comunidad, como el Marco de Inteligencia Colectiva (CIF) y los Centros de Análisis e Intercambio de Información (ISAC) basados ​​en el sector el segundo son servicios de inteligencia de amenazas específicos del proveedor y de pago (iDefense, Cisco, Team Cymru, Greynoise.io, McAfee, Symantec, ATLAS, Farsight y Reversing Labs, por nombrar algunos). Los equipos de operaciones de seguridad también producen inteligencia patentada que necesita ser compartida internamente.

Sin embargo, existen varios desafíos para aprovechar al máximo estos datos de amenazas:

Ampliar la pirámide del dolor: Cuanto más útiles son los datos de amenazas, más difícil (o doloroso) es obtenerlos e integrarlos en los flujos de trabajo. Consider una pirámide formada por valores de datos de amenazas compared to el nivel de dificultad de integración:

o Tácticas, técnicas y procedimientos (TTP): Tough (Major of pyramid)

o Herramientas: desafiantes

o Artefactos de purple / host: molesto

o Nombres de dominio: simple

o direcciones IP: fácil

o Valores hash: Trivial (foundation de la pirámide)

En la parte exceptional de la pirámide se encuentra la inteligencia sobre herramientas de actores de amenazas y TTP. Estos son los indicadores más dolorosos para detectar y verificar, pero también los más útiles para conocer el contexto sobre los actores de amenazas, sus intenciones y sus métodos para comprender una amenaza lo suficientemente bien como para responder.

Tiempo, complejidad, taxonomía y formato: El período de tiempo durante el cual los datos de amenazas son válidos es limitado. Las organizaciones necesitan información actual sobre las vulnerabilidades y el malware que se utiliza en los ataques antes de ser atacados. Las fuentes de inteligencia tendrán niveles cambiantes de urgencia y simplificar el proceso de priorización es una tarea compleja.

En el pasado, los profesionales de seguridad compartían documentos de Word, PDF o formatos de archivo simples como tablas CSV y hojas de indicadores de compromiso de Excel. Estos eran difíciles de poner en práctica debido a las diferencias de formato y taxonomía, la falta de integración y la naturaleza temporal de la datos. Además, es difícil describir y compartir un indicador de comportamiento más complejo, como una táctica de actor de amenaza en un formato estandarizado.

Compartir y consumo: La comunidad cibernética ha intentado –y fracasado– instituir una cultura efectiva de compartir. Se han creado taxonomías y estándares, pero ninguno se ha extendido a gran escala, dejando la accesibilidad fragmentada a CTI. Como resultado, la mayor parte del intercambio no va más allá de los dominios. Y a pesar de que los analistas de seguridad de todas las industrias comparten objetivos comunes, a menudo la organización no lo ve de esa manera y el intercambio y la colaboración están ocultos para la administración.

El análisis automatizado y el intercambio instantáneo de inteligencia de amenazas es la clave que faltaba para desbloquear a CTI a la altura de su valor potencial.

¿Qué es el PSIM y por qué es importante?
MISP – el Plataforma de intercambio de información sobre malware – ha ganado fuerza como un enfoque pragmático y adaptable para el consumo de inteligencia de amenazas y el problema de compartir. MISP es un estándar de código abierto independiente del proveedor con una comunidad en crecimiento, cofinanciado por la Unión Europea. Es una infraestructura para consumir, recopilar y compartir indicadores de malware, ya sea en un círculo confiable o con el público en standard, según las preferencias del usuario. MISP proporciona una serie de beneficios:

• MISP permite a los usuarios impulsar y consultar indicadores conocidos de compromiso recopilados y compartidos por una comunidad de profesionales de la seguridad de todo el mundo.

• MISP es flexible porque no aplica una metodología única para compartir inteligencia sobre amenazas y genera información en múltiples formatos.

• MISP lessen el doble trabajo dentro de la comunidad de inteligencia al compartir información entre CERT, organizaciones, gobiernos y proveedores de seguridad.

• MISP proporciona un nivel de handle para garantizar que los datos correctos se compartan y consuman de forma confidencial.

Para operacionalizar la inteligencia de amenazas a escala sin sobrecargar los equipos de seguridad, los profesionales deben considerar integrar MISP con su solución existente de información de seguridad y gestión de eventos (SIEM). MISP está diseñado para una ingesta y extracción flexible, análisis rápido, automatización y uso compartido. La integración de un SIEM con MISP incorpora el consumo de datos de amenazas y el intercambio de amenazas directamente en el flujo de trabajo del analista. Esto permite a los analistas encontrar y compartir amenazas mucho más rápido que antes al correlacionar la inteligencia de la comunidad con varias otras fuentes de datos a través de su SIEM.

La encuesta de SANS encontró que el 33.7% de las organizaciones producen y consumen inteligencia de amenazas, mientras que el 60.5% solo la consumen. Esto significa que la mayoría de las organizaciones reconocen el valor de la CTI, pero por diferentes razones actualmente se niegan a participar en compartir sus hallazgos.

Las plataformas de código abierto como MISP, combinadas con la integración automatizada en SIEM, están bien posicionadas para impulsar un enfoque basado en la comunidad para el intercambio de inteligencia. Esto permitirá que los SOC se mantengan unidos a través del análisis colaborativo, lo que podría llevar a la industria a un punto de inflexión para ir más allá del intercambio de fuente a suscriptor a socio a socio.

Contenido relacionado:

Sebastien Tricaud es el Director de Ingeniería de Seguridad en Devo. Ha trabajado en numerosos proyectos de código abierto, como Linux PAM, Prelude IDS, and so on. Es el desarrollador principal de Faup, un analizador de URL que es muy popular. Sebastien también es miembro de la junta directiva de Honeynet … Ver biografía completa

Más strategies





Enlace a la noticia authentic