Mucho se habla de ataques a la seguridad de las empresas y sobre las diferentes herramientas que existen en el mercado para mitigarlos. Sin embargo, las brechas son cada vez más amplias debido a la evolución de los diferentes dispositivos para conectarse a Internet y a las redes empresariales.
Actualmente, existen proveedores de seguridad que prometen protección contra amenazas avanzadas de forma más proactiva, mediante una estrategia de inteligencia de amenazas. Sin embargo, los CIO deben considerar algunos aspectos para elegir la mejor herramienta que les ayude a no exponer los recursos tecnológicos o la información de su empresa.
Los CIO deben formularse preguntas como: “¿Cuál me ofrece como valor agregado el conocimiento necesario para entender el comportamiento de las amenazas y qué es la inteligencia de amenazas? ¿Cómo debería elegir la mejor estrategia de inteligencia de amenazas? ¿Cuál cubre mis necesidades de seguridad y me ofrece el más rápido y mayor retorno de inversión?”
En este sentido, podemos decir que la inteligencia de amenazas se refiere a la información que ha sido analizada para descubrir datos clave para poder actuar, de tal forma que puedan tomar la mejor decisión para obtener los mejores resultados.
Esto se ve claramente cuando un líder de negocios encuentra conocimientos en datos de mercado para sintonizar un lanzamiento de producto, o cuando un analista de seguridad comprende el alcance y la intención de un ataque y toma medidas para limitar su impacto.
Clases de inteligencia de amenazas
Los expertos en seguridad dividen la inteligencia de amenazas en cinco clases:
1. Inteligencia interna. Es la inteligencia sobre los activos y comportamientos propios de su organización, basado en el análisis de las actividades de su organización.
2. Inteligencia de Red. Esta es obtenida del análisis de tráfico de red en los límites de la red de su organización y en las redes que lo conectan con el mundo exterior.
3. Inteligencia de borde. Es la comprensión de lo que diferentes hosts de Internet están haciendo en el borde de la red. Puede ser en información proviene de lo que tienen gobiernos, los ISP, Telcos y las redes de entrega de contenidos (CDN).
4. Inteligencia de código abierto. Proviene de la gran cantidad de información disponible en los sitios web, blogs, feeds de Twitter, canales de chat y canales de noticias. Está disponible para todo el que quiera recoger y extraerlo para inteligencia útil. Numerosas empresas ofrecen inteligencia de código abierto, en su mayoría diferenciada por el número de fuentes, conocimientos de idiomas y soporte de la herramienta analítica.
5. Inteligencia de código cerrado. Es la más difícil de adquirir: un grupo cerrado de usuarios compartiendo (por ejemplo, FS-ISAC) autentica sitios subterráneos y canales de chat, información obtenida por las operaciones de inteligencia y de aplicación de la ley, y la inteligencia humana. Una serie de compañías ofrecen algo de inteligencia de código cerrado, aunque la cobertura es a menudo específica a una amenaza o la geografía particular.
Cuando una empresa construye sus capacidades de inteligencia de amenazas es probable que desee una excelente cobertura, pero la mayoría de las ofertas en el mercado ofrecen respuesta para una o dos, es decir no son suficientes, por lo que podrían acudir a expertos avanzados y capaces de proteger contra amenazas cada vez más dirigidas y avanzadas.
__________________
Robert Freeman es Senior Director para Latin America de FireEye.
