La inteligencia cibernética sufre de &#39snob&#39 …



Los grupos de inteligencia sobre amenazas cibernéticas necesitan investigar con más frecuencia las amenazas específicas de su organización e integrarse mejor con otros grupos empresariales, dicen los expertos.

Los equipos de inteligencia de amenazas cibernéticas (CTI) enfrentan una serie de desafíos, por ejemplo, la escasez de trabajadores calificados y la falta de recursos, pero dos de los obstáculos más serios son, en muchos sentidos, autoinfligidos: una cultura «snob» que aísla a los grupos y, a menudo, se centra en las últimas amenazas interesantes en lugar de los peligros reales que enfrenta la empresa, dijeron los expertos en ciberseguridad a los asistentes en dos conferencias de la industria la semana pasada.

Centrarse en los ataques de día cero y en los adversarios de los estados nacionales es naturalmente atractivo para los equipos de CTI, pero las amenazas más comunes que enfrentan sus organizaciones son los ataques de phishing cibernéticos y la reutilización de contraseñas por parte de los trabajadores, dijo Xena Olsen, analista de amenazas cibernéticas de la Universidad de Marymount. durante una presentación sobre la creación de canales de detección de adversarios en la conferencia digital Black Hat Asia. Para proporcionar inteligencia procesable para los equipos azul y rojo, los analistas de CTI deben centrarse primero en las amenazas más comunes, dijo.

«En lugar de mirar lo que realmente está sucediendo en su purple y panorama de amenazas, algunos analistas de CTI se enfocan únicamente en los informes de los actores de amenazas públicas y en buscar APT atractivas, amenazas avanzadas persistentes», dijo Olsen, y agregó: «Uno de los principales objetivos de canalizaciones de detección de adversarios es llegar a ser realmente bueno en la comprensión de los ataques simples específicos de la infraestructura, los controles y la detección de su organización «.

Además, debido a que los equipos de CTI a menudo reúnen a algunos de los analistas de seguridad con más conocimientos en un grupo, a menudo se aíslan de otros departamentos en una organización. En cambio, necesitan ser más accesibles para la organización de lo contrario, la percepción es que están siendo «snob», dijo Jamie Collier, consultor de CTI en FireEye Mandiant, en una presentación en la conferencia anual Virus Bulletin.

«Es realmente importante que vayamos más allá de esa cultura», dijo. «Cuando se trata de alguien que ignora la ciberseguridad y lee un artículo que aviva los miedos, no hay nada gracioso en esa situación, por lo que debemos asegurarnos de que estamos ayudando a estas personas».

Casi la mitad de todas las empresas con capacidad de respuesta de seguridad tienen un equipo de CTI dedicado, pero las formas más populares de información consumida por los grupos eran feeds CTI de código abierto, feeds comerciales e información de grupos de intercambio de la industria, según el «Encuesta de inteligencia sobre amenazas cibernéticas de SANS 2020. «La información sobre amenazas basada en datos de registro internos de firewalls y sistemas de terminales ocupa el puesto número 5. Otras fuentes internas de información sobre amenazas se clasifican aún más abajo.

Los dos expertos en ciberseguridad presentaron sus propias críticas a CTI en la conferencia. Olsen, de Marymount College, recomendó un enfoque de la inteligencia de amenazas que se centra en lo que está sucediendo dentro de una empresa (recopilar datos sobre las amenazas que se ven en el correo electrónico y enriquecerlos con otra información de eventos internos) antes de intentar utilizar información de amenazas externas.

Collier de FireEye se centró en un escenario de «retroceso», donde asumió que la industria CTI fracasó en una década y trató de explicar por qué. Las principales razones: centrarse en amenazas novedosas en lugar de las que tienen mayor impacto, el aislacionismo de los grupos de inteligencia de amenazas y la escasez basic de habilidades en la industria.

«Por lo basic, operan como una función casi independiente», dijo, hablando en tiempo pasado, mientras su escenario deconstruía lo que le sucedió a CTI en una fecha futura. «Tendríamos estos informes de inteligencia de amenazas muy bien escritos que se producirían sobre una variedad de temas, pero la audiencia de estos informes nunca se formuló claramente. Era casi inteligencia por el bien de la inteligencia».

El atractivo de las amenazas novedosas, tanto porque despertaron el interés de los investigadores como porque hicieron un buen advertising, plantea otro problema para las empresas de CTI, dijo. Una razón es que la inteligencia sobre amenazas a menudo se ha convertido más en un ejercicio de internet marketing que en una capacidad para proporcionar información procesable a la empresa. Los equipos de inteligencia de amenazas tienden a centrarse en las amenazas novedosas e interesantes, a menudo buscando obtener cobertura de los medios, en lugar de las amenazas comunes reales para las que las empresas deben estar preparadas, dijo Collier.

«Entre el phishing, por un lado, y el delito habilitado por IA, por el otro, existen todos estos vectores de ataque diferentes, pero representan amenazas realmente diferentes», dijo. «Las amenazas habilitadas por IA pueden ser interesantes, pero es el phishing lo que presenta la preocupación actual para la mayoría de las organizaciones».

Las canalizaciones de detección de adversarios son un enfoque para que los equipos de CTI analicen los datos operativos que provienen de su propia empresa para limitar su enfoque a las amenazas reales. Los archivos de correo electrónico y de registro pueden brindar información sobre amenazas reales que luego se pueden enriquecer con información de otros sistemas, y luego se puede usar la inteligencia de amenazas de código abierto para recopilar más datos sobre los adversarios. Olsen de la Universidad de Marymount dijo.

Todo apunta a «proporcionar un flujo de trabajo priorizado basado en los ataques dirigidos a la organización, a través del análisis realizado por el analista de CTI», dijo Olsen. «Es la creación enfocada de inteligencia basada en requisitos específicos con el único propósito de enriquecer a otros equipos y mejorar la postura de seguridad de la organización».

Collier aconsejó a los equipos de inteligencia de amenazas que examinen detenidamente cómo abordan sus análisis.

«CTI es una industria bastante joven, por lo que debemos protegernos de la complacencia», dijo. «Necesitamos ser realmente reflexivos como industria».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Examining, MIT&#39s Technological know-how Review, Well-known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique