Experto: compartir inteligencia sobre amenazas ayuda a todos a combatir los ciberataques


Cuando una organización se da cuenta de un nuevo ataque, hacer correr la voz ayuda a la comunidad a adelantarse a las amenazas antes de que empeoren.

Karen Roby de TechRepublic habló con Neal Dennis, un especialista en inteligencia de amenazas en Cyware y ex maritime de los EE. UU., Sobre ciberseguridad. La siguiente es una transcripción editada de su conversación.

Karen Roby: Neal, ¿por qué es importante compartir la inteligencia?

VER: Política de respuesta a incidentes de seguridad (TechRepublic High quality)

Neal Dennis: Hay muchas cosas buenas por ahí que son una especie de una sola vez, o una puesta en escena de una sola vez, cuando comienzan las campañas en la guerra cibernética. Entonces, si pensamos en cosas de bajo perfil como amenazas basadas en correo electrónico, eventos de spam malicioso, hay muchos eventos populares de malware basados ​​en productos básicos que tendrán una campaña de prueba cuando utilicen herramientas y técnicas. Como punto de partida, si eres parte de esa campaña de prueba, probablemente no lo sepas. Solo está viendo el mismo tráfico una y otra vez, pero si captura esos hallazgos y automatiza el intercambio de esos hallazgos, cuando se convierte en una campaña más legítima, el resto de su purple dentro de su comunidad ya está reforzada contra eso. Entonces, estás frente a las amenazas como comunidad.

Luego, a medida que estas cosas comienzan a crecer y a crecer, cambian cosas menores dentro de los TTP. Entonces, si todos están al menos haciendo algún nivel de automatización y prestando atención y compartiendo esos pequeños cambios de estado, en lugar de impactar a 50, 60 personas en su industria vertical en el transcurso de una semana, ahora es realmente una persona a la vez y está compartiendo la carga y obligando a los actores de amenazas a cambiar más rápidamente, lo que puede ser algo bueno o malo, pero aumenta su costo, lessen la carga sobre usted desde una perspectiva de intercambio de información para obtener los datos y tipo de ayuda a levantar todos los barcos si lo desea.

Karen Roby: Habla un poco sobre, Neal, ser más proactivo en lugar de ser tan reaccionario, que es donde estamos ahora, o la mayoría de las empresas parece que están reaccionando cuando algo sucede, desafortunadamente, a veces cosas catastróficas.

Neal Dennis: Sí, mucho. Es una carrera difícil porque todo el mundo tiene que empezar por algún lado. Cuando pensamos en introducir las cosas por etapas, es obvio que todo el mundo empieza en esa fase reactiva. Va de un par de maneras. O llegan allí y toman una tonelada de datos y están inundados de fatiga de alerta y todas estas otras cosas. Por lo standard, comienzan con el equipo más pequeño o se contratan para contratar a un equipo como un (proveedor de servicios de seguridad administrado), o algo así, para complementar. Pero todavía están pasando por muchas alertas.

Para pasar de eso a ser proactivo, deben aprender un par de lecciones sobre cómo personalizar los datos, cómo organizar esos datos para su propia singularidad y cómo obtener datos de calidad relevantes para su entorno, razón por la cual los ISAC ( intercambio de información y centro de análisis) y las ISAO (organización de intercambio y análisis de información) se vuelven muy importantes para ese asunto.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Pero pasar de reactivo a proactivo, captar la comprensión de esos datos y ser capaz de reducir el contenido que está disponible y enfocarlo más en su compromiso. Luego, si puede llegar allí, hay muchas pequeñas cosas que puede automatizar para ese proceso. Luego, una vez que llegue a esa naturaleza proactiva, ya no estará jugando Whack-a-Mole en los sims o los sistemas de gestión de casos, es de esperar que esté mirando las comunidades en las que está involucrado y realmente se convierta en parte de esas comunidades para difundir aún más su comprensión hacia el exterior.

Es una aventura difícil llegar allí, para ser justos. Se necesita una buena comprensión de sus sistemas. Se necesita alguien que comprenda los datos, la información que está disponible y cómo se aplica a su red. Pero una vez que hace eso, una persona puede sentirse como una tienda de 20 una vez que comienza a hacer la aplicación correcta. Es una especie de aventura divertida.

Karen Roby: Sí, acabas de mencionar que te sientes como una tienda de 20, has estado en ciberseguridad durante mucho tiempo, casi dos décadas. Creo que sería bueno incluso antes de hacer mi pregunta sobre esto, para compartir cómo se metió en esto. Como mencioné en la parte excellent, eres un ex infante de marina y luego pasaste a esto. Solo danos un vistazo rápido de cómo sucedió eso.

Neal Dennis: Todo fue casualidad. Estaba sentado en formación. Estaba aburrido de estar sentado en una silla todo el día y aparecí, el comandante del pelotón dijo: «Tengo una oportunidad para algo». Antes de que pudiera terminar, levanté la mano y dije: «Escógeme. No sé qué es, pero lo haré». Pasé de ser lingüista a especialista en ciberseguridad casi de la noche a la mañana. Entonces, fue pura casualidad, cayó en mi regazo, y ahora los últimos 15 a 20 años han sido una especie de progresión debido a que me aburrí de sentarme en una silla.

VER: Experto: Intel compartir es clave para prevenir más ciberataques a la infraestructura (TechRepublic)

Karen Roby: Menos mal que fue una tarea que disfrutaste y obviamente la recogiste muy rápido, Neal. Habiendo estado en esto durante tantos años en diferentes facetas y con el trabajo de gobierno y otros, ¿cómo han cambiado los equipos de TI con las empresas, cómo han evolucionado? ¿Están incorporando especialistas en ciberseguridad o no lo suficiente? ¿Tienen siquiera la capacidad de hacer eso? Una vez más, una gran pregunta, lo sé, pero ¿cómo crees que lo estamos haciendo en general con eso?

Neal Dennis: Sí, ha sido divertido porque hace 20 años, a finales de los 90, principios de los 2000, la inteligencia como concepto era solo un concepto basado en el gobierno. Si quisiera un analista de inteligencia y quisiera comprender lo que un analista podría hacer por su entorno desde una perspectiva de ciberseguridad, no existe. La ciberseguridad period casi inexistente hace más de 20 años. Tenías tipos de TI que estaban acostumbrados a ejecutar cables, administrar firewalls y simuladores por lo poco que había. Definitivamente hemos avanzado a pasos agigantados, solo en 20 años.

Luego tuvimos los grandes problemas de brechas a mediados de la década de 2000, 2008, 2009, 2010, 2012, con todas las grandes empresas. Creo que eso le enseñó a mucha gente algunas lecciones iniciales sobre lo que realmente significa invertir en ciberseguridad. Ya no eres una caja grande o eres un objetivo, es el trabajo de todos mantener la ciberseguridad ahora. Vimos que eso pasó de grandes empresas a pequeñas empresas en ese período de tiempo.

Desde la perspectiva de un analista de inteligencia, quizás hubo unos siete u ocho años atrás en una fase en la que comenzó a ponerse de moda, en la que creo que las personas de mi grupo de edad estaban saliendo del ejército y dándose a conocer como un conjunto de habilidades un poco más verbalmente. . Hay un par de herramientas que comenzaron a surgir, plataformas de inteligencia de amenazas y cosas así. Entonces, creo que el año pasado, este año, con el trabajo remoto y la comprensión de que el panorama de amenazas pasó de algo como esto a ser una pieza masiva ahora, solo por COVID, análisis de inteligencia y la necesidad de reducir más los datos. en foco es una gran prioridad. Veo muchas más vacantes de trabajo en empresas más pequeñas para algún tipo de persona especializada en inteligencia y analista de tipo que no es solo un respondedor SOC.

Creo que estamos alcanzando ese crecimiento de curva en S para este campo profesional aquí. Es emocionante. Creo que los próximos pasos, los introduce allí, ayudan a establecer los requisitos, ayudan a que su negocio crezca y comprenda que debe ser proactivo. Luego, la siguiente etapa es la automatización y la orquestación, que vimos ese tipo de comienzo hace tres o cuatro años realmente pesado, y ahora está creciendo a favor de las empresas más pequeñas una vez más. Y ahora podemos combinar el analista de Intel con la automatización y la orquestación. Creo que esa es una especie de la próxima gran tendencia, es tomar su comprensión y comenzar a automatizar esos conocimientos conocidos, y hacer la vida un poco menos complicada, con suerte.

Ver también

20210512-marineintel-karen.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/05/19/7f5e9199-8578-4140-aac1-eaa3a78f6f4d/resize/770x/6ef12dffec90d181b6f076aff72839 /20210512-marineintel-karen.jpg

Karen Roby de TechRepublic habló con Neal Dennis, un especialista en inteligencia de amenazas en Cyware y ex maritime de los EE. UU., Sobre ciberseguridad.

Imagen: Mackenzie Burke



Enlace a la noticia unique