Robert Freeman |
Por: Robert C. Freeman*
Los vendors de seguridad están
haciendo un gran ruido sobre inteligencia de amenazas, bombardeando el mercado
con un diluvio de fuentes y paquetes que prometen dar sentido al panorama de
las amenazas. Elegir el correcto requiere de algo de su propia inteligencia.
Cuando evalúe sus opciones,
debería hacerse estas preguntas
· ¿Cuáles son todas estas fuentes?
· ¿Cuál puede darme el mayor valor en
entender mis amenazas?
· ¿Cómo debería elegir entre las
distintas fuentes de inteligencia de amenazas?
· ¿Cómo me aseguro de obtener la mejor
cobertura para mis necesidades y maximizar mi retorno de inversión?
Pero la primera y más
importante pregunta es ¿qué significa
exactamente "inteligencia de amenazas"?
Inteligencia de amenazas es la
información que ha sido analizada para descubrir conocimientos informativos.
Inteligencia de amenazas procesable es una visión sobre la cual usted puede
actuar - permite la toma de decisiones informada que se traduce en mejores
resultados. Vemos este tipo de inteligencia, cuando un líder de negocios
encuentra conocimientos en datos de mercado para sintonizar un lanzamiento de
producto, o cuando un analista de seguridad comprende el alcance y la intención
de un ataque y toma medidas para limitar su impacto.
Los expertos en seguridad
dividen la inteligencia de amenazas en cinco clases diferentes:
1. Inteligencia interna: es la inteligencia
sobre los activos y comportamientos propios de su organización, basado en el
análisis de las actividades de su organización.
2. Inteligencia de Red. Esta es la
inteligencia obtenida del análisis de tráfico de red en los límites de la red
de su organización y en las redes que lo conectan con el mundo exterior.
3. Inteligencia de borde. Es la comprensión de
lo que diferentes hosts de Internet están haciendo en el borde de la red. Esto
en información proviene de lo que gobiernos, ISPs, Telcoms y CDN tienen.
4. Inteligencia de código abierto. Proviene de
la gran cantidad de información disponible en los sitios web, blogs, feeds de
Twitter, canales de chat y canales de noticias. Está disponible para todo el
que quiera recoger y extraerlo para inteligencia útil. Numerosas empresas
ofrecen inteligencia de código abierto, en su mayoría diferenciada por el
número de fuentes, conocimientos de idiomas y soporte de la herramienta
analítica.
5. Inteligencia de código cerrado. Es la más
difícil de adquirir – un grupo cerrado de usuarios compartiendo (por ejemplo,
FS-ISAC), autentica sitios subterráneos y canales de chat, información obtenida
por las operaciones de inteligencia y de aplicación de la ley, y la inteligencia
humana. Una serie de compañías ofrecen algo de inteligencia de código cerrado,
aunque la cobertura es a menudo específica a una amenaza o la geografía
particular.
Cuando esté construyendo sus
capacidades de inteligencia de amenazas, es probable que desee una buena
cobertura de todas estas clases. Desafortunadamente, la mayoría de los
servicios comerciales de inteligencia de amenazas pueden ofrecer una, o en el
mejor de los casos dos, de estas fuentes. Y ellos pueden no proveer una
cobertura que sea directamente relevante para su organización.
Por esa razón, recomiendo lo
siguiente:
· Aprovechar la inteligencia interna
como su fuente más directamente procesable.
· Aumentar esto con inteligencia de red
que se relaciona con sus activos (como las puertas de enlace de la red y las
redes externas).
· Utilice la inteligencia de código
abierto que cubre sus activos, la marca, la geografía y el tipo de su negocio.
· · Invierta en inteligencia de código
cerrado sólo si tiene un perfil de riesgo que exige este nivel de conocimiento,
o si una fuente es especial para su industria específica (por ejemplo, uno de
los Centros de intercambio y de análisis de información, o ISACs, en los
EE.UU.)
· Busque proveedores de inteligencia
procesable pertinentes que le permitan tomar decisiones informadas sobre la
postura y respuesta ante la amenaza.
Haciéndose las preguntas
correctas, usted puede lograr un plan de inteligencia de amenaza que brinde los
conocimientos correctos – y ese es uno de los movimientos más inteligentes que
un profesional en seguridad puede realizar.
* Robert C. Freeman
Director Senior para América
Latina de FireEye Inc. Profesional en Ciencias Políticas e Historia de la
Universidad de Massachusetts, Amherst. Posee más de 18 años de experiencia
laboral en ventas, de los cuales, cumple un año en la implementación de
estrategias y negocios de la empresa. A través de su gestión en FireEye, ha
posicionado la plataforma como líder en seguridad Informática en Latino
América, además, lidera un equipo especializado en alianzas estratégicas para
beneficiar al sector tecnológico nacional e internacional.
Enviado por: ANGY VARGAS N. |
Ejecutiva de Cuenta
EDM COMUNICACIONES | PBX
3002999 – 6165374 | 3046391563
Carrera 16 A Nº 80 – 94. Ofc.
605 | Bogotá – Colombia