Cuando el Centro de respuesta a incidentes informáticos en Luxemburgo (CIRCL) analiza los incidentes en busca de información sobre amenazas, el grupo se ocupa principalmente de información confidencial, confidencial y, en algunos casos, clasificada de empresas y comunidades con las que el equipo de respuesta a incidentes trabaja habitualmente.
Sin embargo, el grupo también depende en gran medida de la inteligencia de código abierto como una forma de eliminar el ruido de las amenazas conocidas y reducir la carga de trabajo de los operadores del grupo, dice Andras Iklody, operador de CIRCL y desarrollador principal de la plataforma de intercambio de inteligencia de amenazas MISP. La inteligencia de amenazas de código abierto permite al grupo iniciar sus análisis y ayuda a reducir su carga de trabajo rápidamente para, en cambio, enfocarse en amenazas novedosas, dice.
«Nos hace la vida más fácil al sacar del camino la fruta madura», dice Iklody. «A pesar de que no lo estamos usando directamente para fines de detección, lo que podríamos, dependiendo de la fuente, ya es una gran ayuda, por ejemplo, para descubrir rápidamente con qué estamos lidiando. ¿Es algo que ya se sabe? ¿O es algo con lo que deberíamos pasar más tiempo? «
Los feeds de inteligencia de código abierto están mejorando de muchas maneras. Por ejemplo, la información suele estar más enfocada y mejor examinada que en el pasado. Pero existen peligros potenciales, dicen los expertos. Debido a que filtrar los datos incorrectos de una fuente de amenazas requiere mucho tiempo y es difícil, la inteligencia de amenazas de código abierto a menudo va por detrás de la inteligencia proporcionada por otras fuentes. Por otro lado, algunos sistemas automatizados o de colaboración colectiva, como AbuseIPDB, una foundation de datos de reputación de direcciones de Net, pueden encontrar indicadores tempranos de malicia.
Lo bueno y lo malo representan la relación que tiene la inteligencia de amenazas de código abierto con los voluntarios de la comunidad que dan su tiempo para crear las herramientas y analizar las amenazas potenciales, dice Karl Sigler, gerente senior de investigación de seguridad en Trustwave. Si bien los esfuerzos masivos pueden resultar en fuentes poderosas de datos sobre amenazas, a menudo estas comunidades pueden desaparecer si el interés disminuye.
«Mientras la comunidad se mantenga fuerte, las fuentes de código abierto permanecerán», dice. «Pero las comunidades tienden a colapsar, por lo que no siempre se puede confiar en que los feeds estén ahí».
Sin embargo, las fuentes de inteligencia de amenazas de código abierto y las fuentes comerciales generalmente no cubren el mismo terreno, lo que dificulta cualquier decisión. En la investigación de agosto, investigadores de universidades de los Países Bajos y Alemania compararon los indicadores de amenazas de cuatro fuentes de inteligencia de amenazas de código abierto y dos fuentes comerciales, y encontraron muy poca superposición en las fuentes de datos. Una comparación de indicadores en 22 grupos de amenazas encontró que los feeds tenían, como máximo, solo el 4% de los indicadores de amenazas en común.
Empezando
Para la mayoría de las empresas, la inteligencia de amenazas más valiosa son los datos de sus propios flujos de red y registros de seguridad. Las empresas que se inician en la inteligencia de amenazas deben centrarse en unirse a un grupo de intercambio de información sobre amenazas específico de un sector o industria, aconseja Iklody de MISP. Dichos grupos no solo alertarán a las empresas miembro sobre posibles amenazas, sino que también contarán con las mejores prácticas específicas de la industria que pueden ayudar a apuntalar las defensas de una organización.
«Reúnase con una organización similar con la que pueda intercambiar información», dice. «Si está trabajando en un sector específico y puede unirse a un ISAC, hágalo y obtenga la información que pueden compartir con usted».
Cualquier empresa que utilice inteligencia de amenazas debe asegurarse de que está consumiendo los datos de los feeds de manera adecuada y con escepticismo. Los indicadores técnicos de una amenaza específica dirigida a una organización pueden ser significativamente diferentes de los indicadores de la misma amenaza que ataca a otra organización, dice Andrew Morris, fundador de la startup de enriquecimiento de datos de amenazas GreyNoise Intelligence.
«Para descubrir dónde está la maldad que es más relevante para usted, pasa por algún proceso en su pink», dice.
Las empresas pueden combinar datos de sus propias redes y entornos, y consultar esos datos, para obtener información sobre las amenazas específicas que afectan a sus usuarios.
«Uno de los problemas es (debido a que) hay tantas fuentes de amenazas que son tan grandes y tienen tan poco contexto y cambian tan rápidamente, que es muy costoso intentar implementar todas las diferentes fuentes de información y eliminar los falsos positivos y obtener valor «, Dice Morris.
La naturaleza pública de las fuentes de inteligencia de amenazas de código abierto también puede ser una debilidad. Las empresas no solo tienen que considerar la cantidad de detalles que deben publicar abiertamente, sino que, a menudo, dicha divulgación pública será una advertencia para que los atacantes cambien su comportamiento, por lo que será más difícil de detectar, dice Maurits Lucas, director de inteligencia de Intel471, una inteligencia comercial de amenazas. proveedor.
«Algunos de los bits no se pueden publicar en código abierto porque el código abierto está disponible para las mismas personas que está observando», dice. «Entonces, lo que sea que publique será el primer y último (indicador) que publicará en esa fuente en individual».
Verificación de la realidad
¿Se pueden corregir las debilidades en la inteligencia de código abierto? La economía del intercambio de información y el valor agregado por las empresas al examinar sus fuentes comerciales de inteligencia de amenazas lo hacen poco possible.
Iklody de MISP señala el impacto del intercambio forzoso como ejemplo. Cuando una organización de intercambio de información en la región de Asia-Pacífico requirió que los miembros compartieran una cierta cantidad de datos cada mes para retener su membresía, muchas empresas más pequeñas no tenían información regular sobre incidentes. En cambio, las empresas reclasificaron preocupaciones menores como amenazas y terminaron inundando las fuentes de los grupos con ruido, dice.
Ese tipo de enfoques, destinados a resolver los problemas de contribución del código abierto, subrayan la asimetría entre las empresas más grandes con programas de seguridad maduros y los actores de la industria más pequeños que principalmente terminan al acecho en tales fuentes de información.
«Siempre que tienes el requisito de que las personas compartan información, resulta contraproducente», dice Iklody. «Hay algunas excepciones, pero en muchos casos las organizaciones no pueden producir datos lo suficientemente rápido o comienzan a inundar la comunidad con basura».
Aún así, para las empresas que recién comienzan en la inteligencia de amenazas, puede ser una forma de trabajar con formas estandarizadas de informes y análisis que se enseñan ampliamente, dice Sigler de Trustwave.
«Siempre recomiendo comenzar con el código abierto, no solo con fuentes de inteligencia, sino con toda la seguridad», dice. «Te permite sumergir el dedo del pie en el agua sin compromiso. Veo tantas veces que la gente se compromete con un producto que simplemente se queda en su estante».
Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Examining, MIT's Technology Evaluation, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa
Lectura recomendada:
Más información
