Los 3 elementos de un programa de inteligencia de amenazas sólido


Debido a que cada organización tiene diferentes necesidades y requisitos de seguridad, no existe un enfoque único para todos.

gettyimages-1279251103.jpg

Imagen: Yuichiro Chino / Minute / Getty Photos

Para la mayoría de las organizaciones, proteger las operaciones, las redes, la infraestructura, las aplicaciones y los datos sigue siendo un desafío importante. Como demuestran regularmente los titulares, un atacante decidido puede romper incluso las mejores defensas.

Para darse una ventaja, muchas organizaciones establecen programas de inteligencia de amenazas. Estos programas ayudan a los equipos de seguridad cibernética y a los líderes empresariales a evaluar su postura general de riesgo, descubrir dónde son más vulnerables y determinar qué pasos pueden tomar para protegerse mejor de un panorama de amenazas cada vez más sofisticado y en constante evolución, dijo Fleming Shi, CTO de Barracuda Networks, proveedor de productos y servicios de seguridad cibernética para correo electrónico, redes, datos y aplicaciones.

«He visto muchos programas de inteligencia de amenazas que son casi … informes bonitos o alguna métrica (como) cuántos ataques hemos visto en nuestro sitio website», dijo Shi. «Por lo general, ese es el comienzo. Un programa de inteligencia de amenazas exitoso es no solo ver las señales, sino también tener un prepare para ejecutar para solucionar cualquier problema o remediar una situación. Si tiene un ataque de ransomware, cómo sacar un libro de jugadas y ejecutarlo «.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Debido a que cada organización tiene diferentes necesidades y requisitos de seguridad, no existe un programa de inteligencia de amenazas único para todos. En cambio, los buenos programas están impulsados ​​por resultados, no por insumos. Se centran en la seguridad no como una serie de eventos discretos, como la implementación de un computer software o la suscripción a una fuente de inteligencia de amenazas para actualizar las listas de permitir / denegar en un firewall de aplicaciones web, sino en cómo mejorar la postura y las respuestas de riesgo common de una organización.

Hacer esto de manera efectiva incluye tener las herramientas adecuadas en su lugar, como software antivirus instalado en los puntos finales o implementar un sistema de gestión de información y eventos de seguridad (SEIM) para recopilar y correlacionar alertas, pero también la inteligencia humana para dar sentido a todo esto. los sistemas están diciendo sobre una amenaza determinada o una actividad desconocida en la purple. Los seres humanos deben establecer las reglas para asegurarse de que las aplicaciones y plataformas de seguridad cibernética que tienen implementadas estén haciendo lo correcto.

«Los seres humanos tienen que ser el orquestador, construyendo los flujos de trabajo, entendiendo los pasos porque, si piensas en la automatización, no puedes darles todas las decisiones», dijo Shi. «La decisión de realizar esa llamada es algo que un humano tiene que diseñar para un flujo de trabajo. Luego, también asegúrese de que haya capacidad reversible. Si hay un problema, cómo apagar la automatización rápidamente para que pueda asumir el regulate».

Shi dijo que un programa de inteligencia de amenazas exitoso tiene tres elementos críticos:

Visibilidad de datos

Es imperativo actualizar continuamente y hacer un inventario de los datos que alimentan los sistemas de respuesta y detección de amenazas. Los datos deben provenir de todos los sistemas que representan posibles vectores de ataque, como:

  • Infraestructura de nube pública

  • Equipos de pink en sucursales

  • Nubes privadas

  • Dispositivos emitidos por la empresa y propiedad de los empleados

  • Feeds de monitoreo de la Darkish Web

  • Otras fuentes de datos que representan amenazas externas, listas de permitir / denegar y otras señales de incidencia de compromiso.

Incluya datos de archivos de empleados y clientes, datos de operaciones financieras, regulatorias, legales y de seguridad cibernética. Código fuente de application, tanto para aplicaciones internas como, dada la gravedad del reciente ataque a SolarWinds, también para el código de la cadena de suministro de software.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Modelado de amenazas

El siguiente paso es crear un modelo unificado que utilice datos de todas estas fuentes. Esto requiere agregación, normalización y correlación de datos, así como las herramientas necesarias para adquirir todos los datos de manera eficiente.

Utilice informes de amenazas y feeds de inteligencia de fuentes externas como listas compradas, ISAC, compañeros CISO, informes publicados y similares.

«Esto ayudará especialmente a las amenazas persistentes avanzadas de día cero y a los ataques dirigidos», dijo Shi.

Entrega de resultados procesables

El objetivo del programa de inteligencia de amenazas no es solo la visibilidad, sino mejorar la capacidad de los equipos de seguridad para tomar medidas al capacitar a los equipos cibernéticos con las herramientas de análisis que necesitan para eliminar el ruido. Los equipos de seguridad también pueden utilizar estas herramientas para una formación de concienciación sobre ciberseguridad dirigida y personalizada.

«También es importante tener en cuenta que si construir su programa es demasiado difícil, sugeriría trabajar con un MSSP (proveedor de seguridad de servicios administrados) para obtener el mismo resultado», dijo Shi. «Y es esencial estar muy involucrado con el MSSP para tener visibilidad de todo el programa. Mida el resultado con regularidad tanto en las opciones de construcción como en las de contratación. Puede incluir pruebas de detección de sus activos digitales y de sus usuarios».

Un programa de inteligencia de amenazas exitoso tiene muchos beneficios más allá de la seguridad de sus datos, aplicaciones y usuarios. Incluyen:

  • Una marca mas fuerte

  • Mayor confianza en los acuerdos comerciales

  • Continuidad empresarial mejorada

  • Mitiga el daño y permite una recuperación más rápida de los ataques.

Ver también



Enlace a la noticia first