Intercambio de información sobre inteligencia de amenazas | Anomali

Intercambio de información sobre inteligencia de amenazas

El arma secreta de la seguridad informática

¿Quién participa del intercambio?

Existen muchas maneras de obtener valor de la inteligencia contra amenazas, ya sea a través de una plataforma completa de inteligencia contra amenazas, mediante el procesamiento de fuentes de amenazas o simplemente al aprovechar las funciones de inteligencia contra amenazas disponibles en las herramientas habituales de seguridad. Una de las formas menos adoptada de beneficiarse de la inteligencia contra amenazas es compartir esta información con otros grupos, lo que ayuda a reducir el tiempo de respuesta a eventos y a establecer medidas preventivas.

Las iniciativas lideradas por el gobierno, centradas en el sector, lograron un incremento drástico en el intercambio de inteligencia contra amenazas entre los gobiernos, las organizaciones privadas y las industrias. Algunas de estas iniciativas incluyen:

Organizaciones de intercambio

¿Qué tipos de intercambios existen?

Existen dos tipos de intercambio, cada uno definido por la persona que intercambia la información.

Intercambio unidireccional de inteligencia contra amenazas: Una entidad produce e intercambia la inteligencia contra amenazas que otros consumen, y aquellos que consumen la inteligencia no contribuyen nada a cambio. Entre los ejemplos de intercambio unidireccional de inteligencia contra amenazas encontramos:

  • Inteligencia de código abierto, lo que implica procesar una fuente de inteligencia de código abierto o descargar un informe público referido a un ataque reciente que incluye los indicadores y métodos utilizados.
  • Informes y fuentes de código cerrado.

Intercambio bidireccional de inteligencia contra amenazas: Se envía la inteligencia para su consumo, pero también puede ser procesada en las organizaciones miembro. Si bien estos programas permiten y fomentan el intercambio, no existe garantía alguna de que cada organización compartirá todo.

Intercambio con analistas

Preocupaciones sobre el intercambio

Si bien la inteligencia contra amenazas es indudablemente valiosa, existen algunas preocupaciones comunes que evitan que las organizaciones participen del intercambio:

  • Preocupaciones de responsabilidad y privacidad: Estas pueden ser superadas a través de percepciones más precisas sobre la inteligencia contra amenazas, cláusulas de protección en los contratos legales, leyes recientes o más cuidado con lo que se comparte.
    • Siempre es una buena idea depurar los datos para quitar la información privada o la información comercial sensible previo a su intercambio, sin importar el tipo de intercambio involucrado.
    • La Ley de intercambio de información sobre seguridad informática 2015 (CISA, por sus siglas en inglés) contiene disposiciones para abordar preocupaciones de privacidad y responsabilidad. Algunas de estas protecciones dependen del cumplimiento de ciertas estipulaciones. Como de costumbre, es sumamente recomendable un asesoramiento jurídico adecuado para comprender cómo CISA se puede aplicar en situaciones específicas.
  • “No hay nada de valor para contribuir”: Ninguna organización prevé cada ataque. El intercambio continuo de detalles insignificantes puede ayudar a la visibilidad y generar análisis de inteligencia de fuentes más completas.
  • Falta de conocimientos técnicos: Aunque no sea un profesional capacitado, sumar todo tipo de contexto, detalles de los ataques observados y, si es posible, análisis desarrollados por el personal, también beneficia a la comunidad.
  • Temor de revelar que una organización fue hackeada: Es común el temor de compartir detalles de filtraciones con más entidades de las necesarias, pero puede remediarse siguiendo las mejores prácticas durante el intercambio.

Dónde comenzar o cómo expandir el intercambio de inteligencia

Si su organización ya intercambia inteligencia activamente o todavía no ha comenzado, aquí hay algunos consejos sobre dónde comenzar o formas para incrementar el intercambio que ya es una realidad:

  • Comunidades y herramientas: Elija comunidades y herramientas apropiadas para compartir la inteligencia contra amenazas. Las opciones posibles son:
    • Correo electrónico, que es el punto de partida más sencillo.
    • Herramientas como STAXX de Anomali, una solución gratuita brindada por Anomali que respalda el intercambio de indicadores a través de STIX y TAXII.
    • Los ISAC y otras organizaciones del sector que normalmente ya tienen mecanismos en funcionamiento para el intercambio.
    • Un intercambio ad hoc con entidades locales o asociados en otras industrias.
    • Los usuarios de ThreatStream de Anomali poseen una solución sólida para intercambiar indicadores y demás inteligencia con otras organizaciones o para crear sus propias comunidades de intercambio.
  • Intercambiar y contribuir: Es bueno comenzar intercambiando las conductas adversas observadas, el contexto adicional, los ataques vistos o los detalles de una respuesta a incidentes. No se preocupe si, inicialmente, no hay mucho análisis agregado en la información que se comparte.
  • Comparta fuera de su vertical: Busque oportunidades para compartir con organizaciones fuera de su vertical, incluidas las entidades localizadas como los Centros de Fusión. Como de costumbre, es un requisito trabajar de cerca con equipos legales o abogados para redactar acuerdos apropiados para facilitar el intercambio entre las entidades.
  • Compartir técnicas de defensa y búsqueda: Mientras más información compartamos, más difícil será el trabajo para los atacantes. Considere intercambiar:
    • Los detalles de la búsqueda de amenazas como búsquedas, entradas de registro específicas, etc.
    • Las técnicas o reglas de defensa exitosas, como las reglas de YARA, firmas de snort, reglas de Bro y scripts.
  • Comparta detalles de las filtraciones: Extraer detalles rápidamente podría hacer la diferencia entre un ataque hacia alguien más y la posibilidad de detener el ataque rápidamente. Además, puede brindar mayor asistencia en términos de inteligencia adicional y respuestas más rápidas a los desafíos de las respuestas a incidentes gracias a los recursos adicionales de otras organizaciones.

Al compartir, todos nos protegemos.

La guía definitiva para el intercambio de inteligencia sobre amenazas

¿Quiere más información?

Descargue el informe técnico para conocer más sobre el intercambio fuera de las verticales de la industria, el intercambio de información específica y mucho más.

Leer ahora