Compartir inteligencia contra amenazas

Compartir inteligencia contra amenazas

El arma secreta de la seguridad informática

¿Quién comparte inteligencia contra amenazas?

Existen muchas formas de obtener valor de la inteligencia contra amenazas, ya sea a través de una completa plataforma de inteligencia contra amenazas, la adquisición de fuentes de amenazas o, simplemente, el aprovechamiento de las características de la inteligencia contra amenazas que se encuentran en herramientas de seguridad comunes. Una de las formas menos adoptadas para beneficiarse de la inteligencia contra amenazas es compartir esta información con otros grupos, lo que ayuda a reducir el tiempo de respuesta a eventos y a tomar medidas preventivas.

Las iniciativas centradas en la industria y orientadas al Gobierno dieron lugar a un aumento drástico en el intercambio de inteligencia contra amenazas entre gobiernos, organizaciones privadas e industrias. Algunas de estas incluyen las siguientes:

¿Cuáles son los tipos de intercambio de inteligencia contra amenazas?

Existen dos tipos de intercambio, cada uno definido por quién comparte la información.

Intercambio unidireccional de inteligencia contra amenazas: una entidad produce y comparte inteligencia contra amenazas que otros consumen, y quienes consumen la inteligencia no contribuyen en retribución. Entre los ejemplos de intercambio unidireccional de inteligencia contra amenazas se incluyen los siguientes:

  • Inteligencia de recurso abierto, que podría implicar adquirir una fuente de inteligencia contra amenazas de recurso abierto o descargar un informe disponible públicamente que cubra un ataque reciente que contenga indicadores y métodos utilizados.
  • Fuentes e informes de recurso cerrado

Intercambio bidireccional de inteligencia contra amenazas: la inteligencia se envía para su consumo, pero también la pueden ingerir organizaciones asociadas. Si bien en estos programas se permite compartir y se alienta a hacerlo, no hay garantía de que cada organización comparta algo.

Sharing with Analysts

Inquietudes acerca del intercambio de inteligencia contra amenazas

Si bien la inteligencia contra amenazas es, sin duda, valiosa, existen algunas inquietudes comunes que impiden que las organizaciones participen en el intercambio:
  • Inquietudes en torno a la privacidad y la responsabilidad: estas se pueden superar mediante una percepción más precisa del intercambio de inteligencia, las cláusulas de protección en los acuerdos legales, la legislación reciente o el cuidado en lo que se comparte.
    • La depuración de datos para información privada o información corporativa confidencial antes del intercambio es una buena idea, independientemente del tipo de información que se comparta.
    • La Ley de Intercambio de Información sobre Seguridad Informática (CISA) del 2015 tiene disposiciones para abordar las inquietudes relacionadas con la privacidad y la responsabilidad. Algunas de estas protecciones dependen del cumplimiento de ciertas estipulaciones. Como siempre, se recomienda contar con asesoramiento jurídico adecuado para comprender cómo se podría aplicar la CISA a situaciones específicas.
  • “No hay nada de valor para contribuir”: ninguna organización ve cada ataque. Compartir detalles que aparentan ser insignificantes puede contribuir a la visibilidad y ayudar a producir análisis de inteligencia totalmente fundamentados.
  • Falta de experiencia: incluso si no es un profesional capacitado, agregar cualquier tipo de contexto, detalles de ataques observados y, si es posible, análisis desarrollados por los miembros del personal sigue siendo beneficioso para la comunidad.
  • El miedo a revelar que una organización fue hackeada: es común sentir miedo a compartir los detalles de una filtración de forma más amplia y no tan solo con las entidades absolutamente necesarias; sin embargo, esto se puede corregir si se siguen las prácticas recomendadas durante el intercambio.

Pasos para comenzar a compartir inteligencia contra amenazas

No importa si su organización ya comparte información activamente o si aún no comienza a hacerlo, aquí encontrará algunos consejos sobre dónde comenzar, así como maneras para mejorar el intercambio que ya está en marcha:
  • Herramientas y comunidades: elija las herramientas y comunidades adecuadas para compartir inteligencia contra amenazas. Las posibles opciones son las siguientes:
    • Correo electrónico, que es el punto de partida más fácil
    • Herramientas como STAXX, una solución gratuita que ofrece Anomali, la cual admite indicadores de intercambio a través de STIX y TAXII
    • Los ISAC y otras organizaciones del sector, que normalmente tienen implementados mecanismos para compartir
    • Intercambio ad hoc con entidades locales o socios en otros sectores
    • Los usuarios de ThreatStream de Anomali ya tienen una solución muy sólida para compartir indicadores y otros tipos de inteligencia con otras organizaciones o para crear sus propias comunidades de intercambio
  • Compartir y contribuir: compartir los comportamientos adversarios observados, contexto adicional, los ataques vistos o detalles de la respuesta a incidentes son una buena forma de comenzar. No se preocupe si no es mucho lo que agregó, en cuanto al análisis a lo que se compartió inicialmente.
  • Compartir fuera de su vertical: busque oportunidades para compartir con organizaciones externas a su vertical, incluidas entidades localizadas, como los centros de fusión. Como siempre, es requisito trabajar estrechamente con equipos legales/abogados para establecer acuerdos adecuados a fin de facilitar el intercambio.
  • Compartir técnicas de búsqueda y defensa: mientras más compartimos, más difícil se vuelve para los delincuentes. Considere compartir lo siguiente:
    • Detalles de búsqueda de amenazas, como entradas de registro específicas, búsquedas, etc.
    • Reglas o técnicas de defensa exitosas, como las reglas de YARA, las firmas de Snort, las reglas de Bro y secuencias de comandos
  • Compartir detalles sobre una filtración: informar rápidamente detalles sobre una filtración podría marcar la diferencia para alguien más que sufre una filtración, ya que le permitiría detenerla rápidamente. Además, podría aportar mucha ayuda en términos de inteligencia adicional y respuestas más rápidas a los desafíos de respuesta a incidentes gracias a los recursos adicionales de otras organizaciones.

Compartir es preocuparse.

Whitepaper

¿Desea saber más sobre el intercambio de inteligencia contra amenazas?

Descargue el documento técnico para obtener más información sobre el intercambio fuera de los verticales del sector, el intercambio de información específica, etc.