ThreatQuotient, compañía líder en plataformas de operaciones de Ciberseguridad, ha expuesto las razones por las que todas las organizaciones deben precisar de una Plataforma de Inteligencia contra Ciberamenazas (en inglés y abreviado, TIP) y cuál es el mejor criterio para poder optar por una de ellas en concreto.
Teniendo en cuenta la intensa actividad de los ataques maliciosos, la inversión en ciberseguridad ocupa un puesto prioritario en la lista de muchas empresas. Cada vez más, las organizaciones están construyendo su propio Centro de Operaciones de Seguridad (SOC) , capacidades de respuesta a incidentes y equipos de Inteligencia ante Amenazas, ya que su objetivo es cumplir con las demandas de gestión de riesgos y cumplimiento y defender proactivamente el negocio. Sin embargo, la creación de un SOC desencadena una avalancha de datos procedentes de fuentes dispares que a menudo saturan a los equipos internos e impiden que el SOC funcione con efectividad.
La solución para simplificar esta búsqueda de un mayor nivel de ciberseguridad pasa por elegir y gestionar una plataforma de Inteligencia ante Amenazas que sirva como repositorio central para todos los datos e inteligencia de amenazas de fuentes internas y ajenas. Configurada correctamente, la TIP tiene que ser capaz de ofrecer un contexto básico en torno a las amenazas que ayude al equipo a entender quién está detrás de un ataque cibernético, cuándo se ha producido, cómo ha ocurrido y cuál es el fin de la amenaza, todo con tal de priorizar las defensas ante amenazas, basándose en los parámetros establecidos por la organización, filtrando el ruido para que las acciones resultantes sean claras y precisa.
Las cinco áreas clave que ThreatQuotient considera determinantes para evaluar las ventajas de una Plataforma de Inteligencia son:
1. Capacidad para consumir datos estructurados y no estructurados
Una TIP tiene que ser capaz de importar datos de todas las fuentes posibles, tanto internas como externas, propietarias y de código abierto, y en todos los formatos, ya sean estructurados o no. Esto incluye datos de todo el sistema de herramientas de seguridad modernas, como la detección y respuesta de puntos finales (EDR), la detección y respuesta de redes (NDR) y la detección y respuesta en la nube (CDR). Para los datos no estructurados, como los blogs y las publicaciones en las redes sociales, la plataforma debe poder analizar y extraer datos «descolocados» o «neutralizados», por ejemplo, neutralizando las URL potencialmente peligrosas y haciéndolas legibles para los analistas.
2. El contexto es lo más importante.
El contexto es la pieza fundamental del rompecabezas que permite a los equipos dar sentido a lo que la masa de indicadores les está señalando y reaccionar correctamente. Es importante determinar si el proveedor de TIP importa todos los datos y/o modifica alguno de ellos. Los cambios de mejora pueden ser convenientes, ya que una capa de normalización es crucial para los esfuerzos de eliminación de duplicados. Ahora bien, la normalización y la unificación de los datos deben hacerse preservando el contexto.
3. Puntuación y priorización
El gran volumen de indicadores que se publican en la actualidad impide hacer un seguimiento de todos ellos. Por ello, la puntuación y el establecimiento de prioridades es una característica clave de un TIP eficaz. Los equipos necesitan un método para priorizar los indicadores que deben ser detectados para investigarlos, bloquearlos o descartarlos como no amenazantes. Una TIP progresiva les permite establecer su propio algoritmo de puntuación basado en cualquier dato del sistema, convirtiéndola en una solución de gestión de amenazas más personalizada y precisa.
4. Múltiples opciones de integración
La integración con todo el ecosistema de herramientas de seguridad es fundamental para la propuesta de valor de un TIP. Cuanto más estrecha sea la integración, menos trabajo manual tendrán los analistas que realizar y mayor será la eficiencia de los equipos de operaciones.
5. Automatización e investigaciones basadas en datos
Para los equipos de seguridad bajo presión, la capacidad de automatizar tareas repetitivas, lentas y de bajo nivel es esencial. Si una herramienta puede combinar esta automatización con los datos en tiempo real y el contexto necesario para capacitar a los analistas para investigar incidentes sensibles al tiempo y de alto impacto, ¡aún mejor! Efectivamente, los equipos necesitan un equilibrio entre la automatización y la investigación manual, y la plataforma de inteligencia de amenazas debería brindarlo mediante un enfoque nativo basado en datos.
