Los programas de inteligencia de amenazas, preparados para crecer
Se prevé que las organizaciones empresariales aumenten el gasto en estas tecnologías, invirtiendo en áreas como la distribución de inteligencia sobre amenazas, la gestión de riesgos digitales y la integración de tecnologías de seguridad.
- El fuerte vínculo entre la inteligencia sobre ciberamenazas y la protección del riesgo digital
- Radiografía de las amenazas, madurez y prioridades del sector sanitario
- Criptografía poscuántica: cómo anticiparse a las amenazas del futuro
- La nueva generación de amenazas que trae el metaverso
- El 'ransomware' cae ligeramente en 2022, pero sigue persistiendo su amenaza
En mi último artículo de CSO, detallaba las opiniones de los profesionales de la ciberseguridad sobre las características de un programa maduro de inteligencia de ciberamenazas (CTI). Según la investigación de ESG, los principales atributos de un programa CTI maduro incluyen la difusión de informes a un público amplio, el análisis de cantidades masivas de datos sobre amenazas y la integración de CTI con muchas tecnologías de seguridad.
Desgraciadamente, la mayoría de los programas CTI distan mucho de estar maduros, pero esto puede cambiar en los próximos años a medida que la mayoría de las organizaciones empresariales refuercen la inversión en programas CTI. En este sentido cabe destacar que el 63% de las empresas tiene previsto aumentar "significativamente" el gasto en programas CTI en los próximos 12 a 18 meses, mientras que otro 34% tiene previsto aumentar "algo" la inversión en este tipo de programas.
¿Por qué todo este gasto? Porque CTI puede aportar ventajas tecnológicas y empresariales. La investigación revela que algunas de las mayores influencias en los programas de CTI incluyen la necesidad de conocer las amenazas a las empresas destinadas a fusiones y adquisiciones, la amenaza de hackers individuales o grupos de ciberadversarios que planean ataques selectivos, y la necesidad de conocer las tácticas, técnicas y procedimientos (TTP) de los adversarios para que las organizaciones puedan reforzar sus defensas de seguridad.
Por qué los CISO gastarán más en inteligencia sobre amenazas
Los CISO creen claramente que invertir más en programas de inteligencia sobre amenazas puede mitigar los ciberriesgos y mejorar la prevención y detección de amenazas. En los próximos 12 a 24 meses:
El 30% de las organizaciones dará prioridad a compartir más fácilmente los informes de inteligencia sobre amenazas con los grupos internos
Este es un paso en la dirección correcta, ya que la inteligencia sobre amenazas tiene valor más allá del centro de operaciones de seguridad (SOC) para el enriquecimiento de alertas. Los CISO pueden usar CTI para priorizar inversiones y validar controles de seguridad, mientras que los gerentes de negocios pueden equilibrar las iniciativas de transformación digital con decisiones de gestión de riesgos más exhaustivas. La difusión de CTI y los comentarios de los consumidores son fases clave de un ciclo de vida maduro de inteligencia sobre amenazas.
El 27% de las organizaciones dará prioridad a la inversión en servicios de protección frente a riesgos digitales (DRP)
A medida que las organizaciones amplían sus huellas digitales, necesitan conocer mejor los riesgos que las acompañan. Los servicios DRP proporcionan esta visibilidad mediante la supervisión de aspectos como la fuga de datos en línea, la reputación de la marca, las vulnerabilidades de la superficie de ataque y las conversaciones en la Web profunda/oscura en torno a la planificación de ataques.
El 27% de las organizaciones dará prioridad a la integración con otras tecnologías de seguridad
Más allá de los puntos finales, el correo electrónico y los perímetros de red, los CISO desean la integración de CTI con herramientas de seguridad en la nube, soluciones de gestión de eventos e información de seguridad (SIEM) y de detección y respuesta ampliadas (XDR), y herramientas de borde de servicio de seguridad (SSE) como pasarelas web seguras y agentes de servicios de acceso a la nube (CASB). Una mayor integración equivale a bloquear más indicadores de peligro (IoC) y desarrollar una defensa más completa basada en amenazas.
El 27% de las organizaciones dará prioridad a la adquisición de una plataforma de inteligencia sobre amenazas (TIP) para recopilar, procesar, analizar y compartir dicha inteligencia
Las plataformas de inteligencia sobre amenazas, antaño dominio exclusivo de las grandes empresas, están descendiendo poco a poco en el mercado. Preveo que gran parte de este gasto irá a parar a proveedores de servicios como Flashpoint, Mandiant, Rapid7 (Intsights), Recorded Future, Reliaquest (Digital Shadows), SOCRadar y ZeroFox. Las grandes marcas como Cisco, CrowdStrike, IBM, Microsoft y Palo Alto Networks también se llevarán un buen trozo del pastel.
El 26% de las organizaciones dará prioridad al desarrollo de un programa más formal
Las organizaciones se dan cuenta de que ya no pueden pasar por alto la información sobre amenazas de fuentes abiertas revisada por analistas de amenazas a tiempo parcial. Más bien, necesitan personal y procesos para ejecutar un ciclo de vida completo de CTI. Mientras los CISO ponen en orden sus asuntos internos, la mayoría confiará en proveedores de servicios, como los mencionados anteriormente, para hacer gran parte del trabajo real.
Como dice la famosa cita de Sun Tzu: "Si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de cien batallas". Las organizaciones con programas CTI maduros se conocen a sí mismas, conocen al enemigo y utilizan este conocimiento para optimizar la mitigación de los riesgos cibernéticos y las defensas de seguridad.
