Intercambio de información sobre amenazas

El arma secreta de la ciberseguridad.

¿Quién comparte la información sobre amenazas?

Hay muchas formas de obtener valor de la inteligencia sobre amenazas, ya sea a través de una plataforma completa de inteligencia sobre amenazas, ingiriendo feeds de amenazas o simplemente aprovechando las funciones de inteligencia sobre amenazas que se encuentran en las herramientas de seguridad habituales. Una de las formas menos adoptadas de beneficiarse de la inteligencia sobre amenazas es compartir esta información con otros grupos, lo que ayuda a reducir el tiempo de respuesta a los sucesos y a promulgar medidas preventivas.

Las iniciativas centradas en la industria y dirigidas por los gobiernos han dado lugar a un aumento espectacular del intercambio de inteligencia sobre amenazas entre gobiernos, organizaciones privadas e industrias. Algunas de ellas son los Centros de Análisis e Intercambio de Información (ISAC), las Organizaciones de Análisis e Intercambio de Información (ISAO), los grupos industriales, los holdings y otras comunidades de intercambio de inteligencia sobre amenazas que buscan potenciar una colaboración segura:

¿Cuáles son los tipos de intercambio de información sobre amenazas?

Hay dos tipos de intercambio, cada uno definido por quién comparte la información.

Intercambio unidireccional de información sobre amenazas

Una entidad produce y comparte inteligencia sobre amenazas que otros consumen, y los que consumen la inteligencia no contribuyen a cambio. Algunos ejemplos de intercambio unidireccional de inteligencia sobre amenazas son:

Inteligencia de fuente abierta, que podría implicar la ingesta de un feed de inteligencia de amenazas de fuente abierta o la descarga de un informe disponible públicamente que cubra un ataque reciente que contenga indicadores y métodos utilizados.
Informes y fuentes cerradas

Intercambio bidireccional de información sobre amenazas

La inteligencia se envía para ser consumida, pero también puede ser ingerida por las organizaciones miembros. Aunque en estos programas se permite y se fomenta el intercambio, no hay garantías de que todas las organizaciones compartan algo.

Preocupación por el intercambio de información sobre amenazas

Aunque la inteligencia sobre amenazas es indudablemente valiosa, existen algunas preocupaciones comunes que impiden que las organizaciones se comprometan a compartirla:

Privacidad y responsabilidad

Éstas pueden superarse mediante una percepción más precisa del intercambio de inteligencia, cláusulas de protección en los acuerdos legales, legislación reciente o cuidado en lo que se comparte.
  • Limpiar los datos de información privada o sensible de la empresa antes de compartirlos es una buena idea, independientemente del tipo de intercambio.
  • La Ley de Intercambio de Información sobre Ciberseguridad de 2015 (CISA) contiene disposiciones para abordar las preocupaciones en torno a la privacidad y la responsabilidad. Algunas de estas protecciones están supeditadas al cumplimiento de determinadas estipulaciones. Como siempre, se recomienda encarecidamente un asesoramiento jurídico adecuado para comprender cómo puede aplicarse la CISA a situaciones específicas.

"No hay nada de valor que aportar"

Éstas pueden superarse mediante una percepción más precisa del intercambio de inteligencia, cláusulas de protección en los acuerdos legales, legislación reciente o cuidado en lo que se comparte.

Falta de experiencia

Aunque usted no sea un profesional cualificado, añadir el contexto, los detalles del ataque observado y, si es posible, el análisis desarrollado por los miembros del personal sigue siendo beneficioso para la comunidad.

Miedo a revelar que una organización ha sido pirateada

El temor a compartir los detalles de la violación más ampliamente que con las entidades absolutamente necesarias es común, pero puede remediarse siguiendo las mejores prácticas al compartir.

Pasos para empezar a compartir información sobre amenazas

Tanto si su organización ya comparte activamente inteligencia como si aún no ha empezado a hacerlo, aquí tiene algunos consejos sobre por dónde empezar o formas de mejorar el intercambio que ya se está produciendo:

Herramientas y comunidades

Elija las herramientas y comunidades adecuadas para compartir información sobre amenazas. Las opciones posibles son
  • Correo electrónico, que es el punto de partida más fácil
  • Herramientas como Anomali STAXX, una solución gratuita ofrecida por Anomali que permite compartir indicadores a través de STIX y TAXII.
  • ISAC y otras organizaciones del sector, que normalmente disponen de mecanismos para compartir
  • Intercambio ad hoc con entidades locales o socios de otras industrias
  • Anomali ThreatStream los usuarios ya disponen de una solución muy sólida para compartir indicadores y otros datos de inteligencia con otras organizaciones o crear sus propias comunidades de intercambio

Compartir y contribuir

Compartir los comportamientos observados del adversario, el contexto adicional, los ataques observados o los detalles de la respuesta a incidentes son buenos puntos de partida. No te preocupes si no se añade mucho análisis a lo que se comparte inicialmente.

Compartir fuera de su vertical

Busque oportunidades para compartir con organizaciones ajenas a su vertical, incluidas entidades localizadas como los Centros de Fusión. Como siempre, es muy recomendable trabajar en estrecha colaboración con equipos jurídicos/abogados para redactar acuerdos adecuados que faciliten el intercambio entre las entidades.

Compartir técnicas de caza y defensa

Cuanto más compartimos, más difícil se lo ponemos a los malos. Considera compartir:
  • Detalles de la caza de amenazas, como búsquedas, entradas de registro específicas, etc.
  • Técnicas o reglas de defensa exitosas como reglas YARA, firmas snort, reglas Bro y scripts.

Compartir detalles de la infracción

Dar a conocer rápidamente los detalles de la violación podría suponer la diferencia entre que alguien más sufra una violación y poder detenerla rápidamente. Además, podría aportar mucha ayuda en términos de inteligencia adicional y respuestas más rápidas a los retos de respuesta a incidentes gracias a los recursos adicionales de otras organizaciones.

¿Quiere saber más sobre el intercambio de información sobre amenazas?

Descargue el libro blanco para obtener más información sobre cómo compartir fuera de los sectores verticales, compartir información específica, etc.

Léalo ahora

Más información sobre el intercambio de información sobre amenazas

Webinar

Perspectivas para los CISO: Threat Intelligence | Frost & Sullivan y Anomali

Ver el seminario web

Webinar

Intercambio de información sobre amenazas: Juntos todos conseguimos más

Ver el seminario web

Webinar

Detect LIVE 22 de abril - Intercambio de inteligencia: La clave para detener las infracciones es trabajar en equipo

Ver el seminario web

Webinar

Unidos venceremos, divididos caeremos: panorama de amenazas en 2019 e influencia de las comunidades de intercambio

Ver el seminario web
No se han encontrado artículos.
No se han encontrado artículos.

Libro Blanco

La guía definitiva para compartir información sobre amenazas

Leer el libro blanco

Libro Blanco

SC Media Expert Focus: El enfoque comunitario para compartir información sobre seguridad

Leer el libro blanco

Libro Blanco

Compartir información derrota las amenazas a la seguridad de los datos

Leer el libro blanco
No se han encontrado artículos.
No se han encontrado artículos.

Vídeo

theCUBE entrevista a Anomali en Splunk .conf19

Ver el vídeo

Vídeo

Escritorio de noticias de Dark Reading: Es hora de ser más inteligentes con la información sobre amenazas

Ver el vídeo

Vídeo

Compartir información sobre amenazas: el arma secreta de la ciberseguridad

Ver el vídeo

Vídeo

Escritorio de noticias de Dark Reading: Anomali Inteligencia sobre amenazas e intercambio de información

Ver el vídeo
Ordenar por fecha (Desc)
Explorar todos los recursos