Intercambio de información sobre amenazas

El arma secreta de la ciberseguridad.

__wf_reserved_heredar__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar

¿Quién comparte información sobre amenazas?

Hay muchas maneras de sacar provecho de la inteligencia de amenazas, ya sea mediante una plataforma de inteligencia de amenazas completa, incorporando fuentes de amenazas o simplemente aprovechando las funciones de inteligencia de amenazas que se encuentran en las herramientas de seguridad comunes. Una de las formas menos utilizadas para sacar provecho de la inteligencia sobre amenazas es compartir esta información con otros grupos, lo que ayuda a reducir el tiempo de respuesta ante los eventos y a adoptar medidas preventivas.

Las iniciativas centradas en la industria y lideradas por el gobierno han llevado a un aumento espectacular en el intercambio de inteligencia sobre amenazas entre los gobiernos, las organizaciones privadas y las industrias. Algunas de ellas incluyen los centros de intercambio y análisis de información (ISAC), las organizaciones de intercambio y análisis de información (ISAO), los grupos industriales, las sociedades de cartera y otras comunidades de intercambio de información sobre amenazas que buscan impulsar una colaboración segura:

__wf_reserved_heredar
__wf_reserved_heredar

¿Cuáles son los tipos de intercambio de inteligencia sobre amenazas?

Hay dos tipos de intercambio, cada uno definido por quién comparte la información.

Intercambio unidireccional de inteligencia sobre amenazas

Una entidad produce y comparte información sobre amenazas que otras consumen, y quienes la consumen no contribuyen a cambio. Entre los ejemplos de intercambio unidireccional de inteligencia sobre amenazas se incluyen los siguientes:

__wf_reserved_heredar
Inteligencia de código abierto, que puede implicar la ingesta de una fuente de inteligencia sobre amenazas de código abierto o la descarga de un informe disponible públicamente que cubra un ataque reciente que contenga los indicadores y los métodos utilizados.
__wf_reserved_heredar
Informes y fuentes de código cerrado

Intercambio bidireccional de inteligencia sobre amenazas

La inteligencia se envía para ser consumida, pero también puede ser ingerida por las organizaciones miembros. Si bien en estos programas se permite y se fomenta el intercambio, no hay garantía de que todas las organizaciones compartan algo.

__wf_reserved_heredar

Preocupaciones sobre el intercambio de información sobre amenazas

Si bien la inteligencia sobre amenazas es indudablemente valiosa, hay algunas preocupaciones comunes que impiden a las organizaciones participar en el intercambio:

__wf_reserved_heredar

Preocupaciones de privacidad y responsabilidad

Estos problemas pueden superarse mediante una percepción más precisa del intercambio de información, la adopción de cláusulas de protección en los acuerdos legales, la legislación reciente o la preocupación por lo que se comparte.
  • Limpiar los datos en busca de información privada o información corporativa confidencial antes de compartirlos es una buena idea, independientemente del tipo de intercambio de que se trate.
  • El Ley de intercambio de información sobre ciberseguridad de 2015 (CISA) tiene disposiciones para abordar las preocupaciones relacionadas con la privacidad y la responsabilidad. Algunas de estas protecciones dependen del cumplimiento de ciertas estipulaciones. Como siempre, se recomienda encarecidamente el asesoramiento legal adecuado para comprender cómo se puede aplicar la CISA a situaciones específicas.
__wf_reserved_heredar

«No hay nada de valor que aportar»

Estos problemas pueden superarse mediante una percepción más precisa del intercambio de información, la adopción de cláusulas de protección en los acuerdos legales, la legislación reciente o la preocupación por lo que se comparte.
__wf_reserved_heredar

Falta de experiencia

Incluso si no es un profesional capacitado, agregar el contexto, los detalles del ataque observado y, si es posible, el análisis desarrollado por los miembros del personal sigue siendo beneficioso para la comunidad.
__wf_reserved_heredar

Miedo a revelar que una organización ha sido hackeada

El temor a compartir los detalles de las infracciones de manera más amplia que con las entidades absolutamente necesarias es común, pero se puede remediar siguiendo las mejores prácticas al compartir.
__wf_reserved_heredar

Pasos para empezar a compartir información sobre amenazas

Ya sea que tu organización ya esté compartiendo información de forma activa o aún no lo haya hecho, estos son algunos consejos sobre por dónde empezar o formas de mejorar el intercambio que ya se está haciendo:

__wf_reserved_heredar

Herramientas y comunidades

Elija las herramientas y comunidades adecuadas para compartir información sobre amenazas. Las posibles opciones son:
  • El correo electrónico, que es el punto de partida más fácil
  • Herramientas como Anomali STAXX, una solución gratuita ofrecida por Anomali que permite compartir indicadores a través de STIX y TAXII
  • Los ISAC y otras organizaciones industriales, que normalmente cuentan con mecanismos para compartir
  • Intercambio ad hoc con entidades locales o socios de otras industrias
  • Anomalía ThreatStream los usuarios ya tienen una solución muy sólida para compartir indicadores y otra inteligencia con otras organizaciones o crear sus propias comunidades de intercambio
__wf_reserved_heredar

Comparte y contribuye

Compartir los comportamientos de los adversarios observados, el contexto adicional, los ataques observados o los detalles de la respuesta a los incidentes son excelentes puntos de partida. No se preocupe si no se añade mucho análisis a lo que se compartió inicialmente.
__wf_reserved_heredar

Comparte fuera de tu vertical

Busque oportunidades para compartir con organizaciones ajenas a su sector, incluidas las entidades localizadas, como Fusion Centers. Como siempre, es muy recomendable trabajar en estrecha colaboración con los equipos legales y los abogados para elaborar los acuerdos adecuados que faciliten el intercambio entre las entidades.
__wf_reserved_heredar

Comparte técnicas de caza y defensa

Cuanto más compartimos, más difícil se vuelve para los malos. Considera compartir:
  • Detalles de búsqueda de amenazas, como búsquedas, entradas de registro específicas, etc.
  • Técnicas o reglas de defensa exitosas, como las reglas de YARA, las firmas de snort, las reglas de Bro y los guiones.
__wf_reserved_heredar

Comparta los detalles de la infracción

Dar a conocer rápidamente los detalles de la infracción podría marcar la diferencia para que otra persona sufra una infracción y pueda detenerla rápidamente. Además, podría aportar mucha ayuda en términos de inteligencia adicional y respuestas más rápidas a los desafíos de respuesta a los incidentes, gracias a los recursos adicionales de otras organizaciones.
__wf_reserved_heredar

¿Desea obtener más información sobre el intercambio de información sobre amenazas?

Descargue el documento técnico para obtener más información sobre cómo compartir fuera de los sectores verticales de la industria, compartir información específica, etc.

__wf_reserved_heredar