Rastreo de contactos y amenazas Intel: herramientas rotas y …


Cómo la epidemiología puede resolver el problema de las personas en seguridad.

Como muchos otros, he alternado entre una leve obsesión por aprender todo sobre COVID-19 y no querer volver a escucharlo. Hace poco vi al gobernador de Massachusetts en CBS News &#39 Enfrentar a la nación. Habló de Socios en saludEl uso del rastreo de contactos en países afectados por el Ébola y el Zika, y luego dijo algo que me llamó la atención: «No es teórico. Lo han hecho antes. Saben cómo hacerlo». Su mensaje fue: Funciona.

Comencé a leer sobre cómo funcionaba el rastreo de contactos para brotes como Ébola e investigó lo que otros países están haciendo. En Israel, el Ministerio de Salud lanzó una aplicación que utiliza datos GPS móviles para proporcionar alertas cuando las personas cercanas son portadores documentados de COVID-19. En el sector privado, Google y Apple desarrollaron una aplicación de seguimiento de contactos para miles de millones de personas en todo el mundo que usan iOS y Android.

La Organización Mundial de la Salud (OMS) describe un proceso de tres pasos para el rastreo de contactos: ID de contacto, luego Listado (investigando con quién tuvieron contacto los individuos con casos confirmados) y, finalmente, Seguimiento. Se me ocurrió que esto es inquietantemente comparable a lo que he pasado en mi carrera como analista de inteligencia.

Identificación
Los analistas de inteligencia de amenazas utilizan cualquier cantidad de herramientas para la identificación de amenazas, además de herramientas adicionales para almacenar estos indicadores. Tradicionalmente, los analistas usan sus propias hojas de cálculo y documentos de Word como espacios de trabajo vivos o bloc de notas para comenzar las investigaciones. A medida que colaboran con otros dentro de la organización, hay una enorme cantidad de información cortada y pegada de una herramienta a otra. Los analistas pasan de Suggestion a SIEM a mensajes instantáneos a correo electrónico para recopilar y unir análisis. Parece una locura, pero así es como las empresas modernas, «transformadas digitalmente», siguen identificando y rastreando amenazas hoy en día.

Listado
Aquí es donde realmente comienza la investigación: rastrear la actividad de un actor malicioso. Pasando de la agregación de indicadores al análisis, los analistas se preguntan «¿qué nos dicen los datos?» Desafortunadamente, la colaboración dentro y fuera de la organización está fragmentada. El intercambio de información está ocurriendo en partes, a través de múltiples herramientas, sin un solo hilo para cada investigación. La verdadera colaboración, con un solo conjunto de datos unificados, simplemente no está sucediendo. Los analistas deben encontrar su propia manera de reconstruir el «panorama general» y visualizar exactamente lo que sucedió.

Seguimiento
Aquí es donde el proceso está completamente roto para los analistas de inteligencia. Una amenaza maliciosa encontrada hace un mes, que fue investigada internamente y descartada como de bajo nivel, puede resurgir como parte de una campaña más grande. Sin embargo, capturar esa investigación de amenazas anterior es casi imposible porque los analistas tendrían que buscar a través de herramientas y métodos de comunicación dispares. La «cadena de custodia» para quién sabía qué y cuándo, así como lo que se analizó suficientemente y lo que se perdió, es inexistente. Aparte de la anotación del evento remaining y un puñado de indicadores con contexto parcial, no hay una historia colectiva de conocimiento sobre la cual construir. Los equipos deben comenzar esencialmente su análisis nuevamente.

Qué rastreo de contactos para amenazas revela Intel
Si bien me impresionó lo que aprendí sobre el éxito del rastreo de contactos como herramienta de salud pública, tengo la sensación de que en el negocio de la seguridad, nuestro propio «rastreo de contactos» revela que nuestras herramientas y procesos están rotos ya no es aceptable desde el punto de vista de la investigación, para la gestión de riesgos, y especialmente desde una perspectiva de recursos humanos. Los empleados altamente capaces, hábiles y, francamente, caros todavía operan en silos, atrapados en la tierra de mil herramientas, con un intercambio de información limitado y sin medios para una verdadera colaboración. Esto solo aumenta el riesgo para el negocio al extender las investigaciones y frustrar a todos los involucrados.

¿Cómo podemos resolver el problema de las personas en seguridad cuando este es el entorno que hemos creado para nuestros recursos más costosos y con más experiencia? Al igual que con la evidencia forense, comience evaluando la capacidad de su negocio para mantener una «cadena de custodia» de análisis. Pregúntate a ti mismo las siguientes preguntas:

● ¿Dónde vive el análisis pasado?
● ¿Puede nuestra organización responder razonablemente «quién sabía qué y cuándo» para el apoyo de inteligencia a las investigaciones?
● ¿Dónde se make la colaboración entre equipos? ¿Soporta una fácil continuidad del conocimiento cuando las personas entran y salen de investigaciones y equipos?

Si encuentra que no puede responder estas preguntas con confianza, comience con poco. Discuta y documente un proceso sobre cómo debe ocurrir el análisis de múltiples personas. Identifique y use una única ubicación para que el análisis se almacene centralmente, idealmente, una que sea fácil de buscar. Asegúrese de que esto incluya las notas e indicadores contemporáneos de los analistas, ya que pueden ser útiles en futuras investigaciones. Finalmente practica. Haga que un analista intente recrear el trabajo de otro analista y evalúe dónde pueden encontrarse las lagunas en la documentación, el proceso o el acceso a las fuentes de inteligencia. Con el tiempo, mejore esto enfocándose en la eficiencia y la integridad del análisis.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Doug Helton es director de estrategia y vicepresidente de inteligencia de King & Union, una compañía de seguridad cibernética con sede en Alexandria, VA, que ha construido y diseñado Avalon, la primera plataforma de análisis cibernético de la industria. Su pasión por las operaciones de inteligencia comenzó como una señal … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia authentic