La investigación arroja dudas sobre el valor de las amenazas Intel Feeds



Dos servicios de inteligencia de amenazas comerciales y cuatro feeds de código abierto rara vez brindan la misma información, lo que genera dudas sobre cómo los equipos de seguridad deben medir su utilidad.

Recopile datos de amenazas de dos de los proveedores de inteligencia de amenazas más grandes, y el panorama de riesgo que representan será completamente diferente, lo que generará preguntas sobre la utilidad de las fuentes de inteligencia de amenazas para las organizaciones, dijo un grupo de investigadores esta semana.

Los investigadores, de universidades de los Países Bajos y Alemania, compararon indicadores de amenazas de cuatro fuentes de inteligencia de amenazas de código abierto y dos fuentes comerciales, que los investigadores no pudieron nombrar, y encontraron muy pocos datos superpuestos entre los servicios. En el aspecto comercial, el proveedor 2 más grande tenía el 13% de los datos cubiertos por el proveedor 1, mientras que el proveedor 1 solo replicó el 1,3% de los indicadores del proveedor 2, dijo Xander Bouwman, candidato a doctorado en la Universidad Tecnológica de Delft y autor principal. del periódico, en una presentación el miércoles.

«Si dos proveedores de inteligencia de amenazas describen las mismas amenazas, es de esperar que obtengan los mismos datos», dijo. «Encontramos que este no es el caso».

Incluso al rastrear los mismos grupos de amenazas persistentes avanzadas (APT), los proveedores de inteligencia de amenazas no parecían recopilar los mismos datos. Centrándose en 22 grupos de amenazas que ambos proveedores afirmaron estar rastreando, los investigadores encontraron, como máximo, una superposición del 4% en los indicadores de amenazas, dijo Bouwman.

«Esto plantea algunas preguntas sobre la cobertura que brindan estos proveedores», dijo. «Si no hay tanta superposición, ¿qué dice eso sobre la visibilidad que estos proveedores brindan al panorama de amenazas en su conjunto?»

La inteligencia sobre amenazas incluye inteligencia sobre amenazas de código abierto, inteligencia compartida entre organizaciones de la misma industria y servicios comerciales de inteligencia sobre amenazas. La inteligencia de amenazas de código abierto a menudo incluye datos de listas de bloqueo de DNS, feeds de abuso, hashes de malware y señuelos de phishing. La inteligencia compartida generalmente no está disponible a menos que la organización se una a un grupo industrial en specific.

La inteligencia comercial sobre amenazas a menudo se vende como una combinación de informes para informar a los equipos y analistas de seguridad e indicadores de compromiso (IOC) legibles por máquina que se utilizan para detectar amenazas. Un feed comercial típico, por ejemplo, podría tener docenas de informes de amenazas y cientos de IOC cada mes.

Desafortunadamente para los clientes potenciales, la cobertura desigual significa que el conjunto de datos de cada proveedor de inteligencia de amenazas será diferente, y hay poca garantía, o probabilidad, de que las amenazas coincidan con lo que verá el cliente. Sin más información, los servicios son difíciles de evaluar, dijo Bouwman.

«Esto es lo que llamamos un mercado con información asimétrica», dijo. «Los vendedores saben lo que están vendiendo, pero los compradores no saben lo que están comprando».

los investigadores compararon los dos feeds comerciales con cuatro feeds de inteligencia de amenazas abierta (OTI) de Alienvault, Blocklist.de, CINScore y EmergingThreats. Si bien algunas de las fuentes de OTI tenían una superposición significativa con otras fuentes de OTI, los proveedores comerciales tenían una superposición de menos del 1% con cualquier fuente de inteligencia de amenazas abierta.

La falta de superposición plantea preguntas sobre la cobertura y si los servicios brindan una imagen realista del panorama de amenazas, dijo Bouwman.

Los clientes suelen utilizar inteligencia de amenazas para la detección de redes, el conocimiento de la situación y la priorización de las actividades de los centros de operaciones de seguridad (SOC), encontraron los investigadores. Los feeds comerciales son mejores para proporcionar contexto a los usuarios, según una encuesta de 14 usuarios de inteligencia de amenazas. Además, la inteligencia sobre amenazas no parece estar limitada por el costo, y solo uno de cada cinco en la encuesta cita el costo como un component.

Desafortunadamente, los clientes no son muy maduros en términos de su conocimiento y habilidad en el uso de inteligencia de amenazas, dijo Bouwman. Dos encuestados, por ejemplo, cancelaron sus feeds de inteligencia de amenazas porque estaban cubriendo un sector no relacionado con el negocio de la organización.

«A los clientes no parece importarles la cobertura, no están optimizando para la detección y no están hablando de métricas», dijo. «Si mencionan métricas, casi siempre se trata de falsos positivos».

En standard, la inteligencia de amenazas parece tener menos que ver con la obtención de información sobre la mayoría de las amenazas y más con el uso de informes y IOC como una forma de comprender el panorama de amenazas, así como ocasionalmente para la búsqueda de amenazas. El component más importante puede ser si el servicio de inteligencia de amenazas ayuda a ahorrar tiempo a los analistas, afirmaron los investigadores.

Los proveedores comerciales deben ayudar a los clientes a obtener la máxima productividad de sus feeds para justificar su alto costo, mientras que los clientes deben exigir a los proveedores que proporcionen más información sobre la cobertura que brindan los feeds, dijo Bouwman.

«En un mercado con información asimétrica, la disposición de los consumidores a pagar podría eventualmente bajar porque no pueden distinguir lo bueno de lo malo», dijo.

Contenido relacionado:

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading, MIT&#39s Technology Evaluation, Popular Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial