El fuerte vínculo entre la inteligencia sobre ciberamenazas y la protección del riesgo digital

Mientras los indicadores de compromiso (IoC) y las tácticas, técnicas y procesos (TTP) de los atacantes siguen siendo fundamentales para la inteligencia sobre amenazas, la necesidad de inteligencia sobre ciberamenazas (CTI) ha crecido en los últimos años, impulsada por aspectos como la transformación digital, la computación en la nube, la propagación de SaaS y la asistencia a trabajadores remotos. De hecho, estos cambios han dado lugar a una subcategoría de CTI centrada en la protección frente a riesgos digitales (DRP). DRP se define ampliamente como, "telemetría, análisis, procesos y tecnologías utilizadas para identificar y mitigar los riesgos asociados con los activos digitales".

A principios de este mes, examiné la investigación de ESG sobre programas CTI empresariales. Los CISO están invirtiendo aquí, pero siguen existiendo retos. También he indagado en el ciclo de vida de la CTI. Casi tres cuartas partes (74%) de las organizaciones afirman que emplean un ciclo de vida, pero muchas describen cuellos de botella en una o varias de las fases del ciclo de vida.

ESG definió la inteligencia sobre ciberamenazas como "conocimiento procesable basado en pruebas sobre las intenciones hostiles de los ciberadversarios que satisface uno o varios requisitos". En el pasado, esta definición se aplicaba realmente a datos sobre IoC, listas de reputación (por ejemplo, listas de direcciones IP, dominios web o archivos maliciosos conocidos) y detalles sobre TTP.

Cómo la protección frente al riesgo digital impulsa la adopción de inteligencia sobre ciberamenazas

La parte de inteligencia de la DRP está pensada para proporcionar una supervisión continua de elementos como las credenciales de usuario, los datos confidenciales, los certificados SSL o las aplicaciones móviles, en busca de debilidades generales, charlas de hackers o actividades maliciosas en estas áreas. Por ejemplo, un sitio web fraudulento podría indicar una campaña de phishing que utiliza la marca de la organización para estafar a los usuarios. Lo mismo puede decirse de una aplicación móvil maliciosa. Las credenciales filtradas podrían estar a la venta en la dark web. Los malos podrían estar intercambiando ideas para un ataque dirigido. Ya te haces una idea.

De la investigación se desprende que la proliferación de iniciativas de transformación digital está actuando como catalizador de los programas de inteligencia sobre amenazas. Cuando se les preguntó por qué sus organizaciones iniciaron un programa de CTI, el 38% respondió "como parte de un esfuerzo más amplio de protección de riesgos digitales en áreas como la reputación de la marca, la protección ejecutiva, la supervisión de la deep/dark web, etc". La investigación también indica que el 98% de las empresas ya cuenta con algún tipo de DRP.

Las funciones más importantes de la protección frente al riesgo digital

Para profundizar en la DRP, ESG pidió a los profesionales de la seguridad que definieran las funciones de DRP más importantes en sus organizaciones. He aquí las seis respuestas más comunes:

• Inteligencia de vulnerabilidades: Los programas de gestión de vulnerabilidades revelan regularmente cientos o miles de puntos débiles del software, pero ¿cómo decidir cuáles mitigar primero? Conociendo qué vulnerabilidades explotan los malos. DRP puede alinear vulnerabilidades y exploits conocidos, proporcionando inteligencia útil para la priorización de parches. Tenga en cuenta que esto también puede hacerse con herramientas de gestión de vulnerabilidades basadas en riesgos (por ejemplo, Cisco/Kenna, Ivanti o Tenable).
• Servicios de eliminación (takedown): El Centro Nacional de Ciberseguridad del Reino Unido define los servicios de eliminación de la siguiente manera: "Los servicios de eliminación tienen como objetivo reducir el retorno de la inversión para los atacantes mediante la eliminación de sitios y el bloqueo de cualquier infraestructura de ataque para limitar el daño que estos ataques pueden causar". Cuando se descubren sitios fraudulentos de phishing o aplicaciones móviles, los servicios de eliminación son el camino más corto hacia la mitigación del riesgo.
• Supervisión de datos filtrados: Ya sea por un ataque interno, por negligencia de los empleados o por un comportamiento descuidado, las fugas de datos son demasiado comunes. DRP busca los datos filtrados antes de que puedan provocar daños corporativos.
• Supervisión de aplicaciones móviles maliciosas: El llamado ‘grayware’ puede corromper los dispositivos de los usuarios o mancillar la reputación de una organización. DRP se propone encontrarlos y aplastarlos en las tiendas de aplicaciones legítimas y del submundo.
• Protección de la marca: La protección de marca salvaguarda la propiedad intelectual de las empresas y sus marcas asociadas frente a falsificadores, piratas de derechos de autor, infracciones de patentes, etc. Estos pueden estar asociados a sitios de phishing o incluso a productos físicos falsos. DRP escanea Internet en busca de impostores, falsificaciones y estafas.
• Gestión de la superficie de ataque (ASM): La gestión de la superficie de ataque es el descubrimiento, seguimiento, análisis y corrección continuos de todos los activos de la superficie de ataque. En algunos casos, la ASM se incluye como parte de los servicios de DRP.

El DRP también puede incluir la supervisión de la dark web para cotillear sobre una organización y los planes de posibles ataques dirigidos. Esta inteligencia puede ayudar a las organizaciones a reforzar sus escudos. En lugar de crear un programa de DRP, muchos utilizan proveedores de servicios de DRP como CrowdStrike, Cybersixgill, Digital Shadows (Reliaquest), Intsights (Rapid 7), Mandiant, Proofpoint y ZeroFox.

Independientemente de su forma, la DRP debe formar parte de un programa maduro de inteligencia sobre ciberamenazas. Antes de unir estas dos áreas, los CISO deben abordar DRP con un enfoque de ciclo de vida de inteligencia de amenazas. Los programas de DRP exitosos serán impulsados por la creación de requisitos de inteligencia prioritarios claros, análisis sólidos, informes de inteligencia personalizados y retroalimentación continua.