Inteligencia cibernética para realizar investigación y análisis en Ciberseguridad — Segunda parte
En continuidad de nuestro artículo de Inteligencia Cibernética de Amenazas es preciso resolver las siguientes preguntas: ¿ Cómo poder utilizar estos requerimientos iniciales para convertir la información recolectada?, ¿Cómo poder transformar la información en productos ágiles y operativos?, ¿De qué manera se clasifica la información para poder ser utilizada dentro y fuera de la estrategia?.
Actualmente existen elementos de orientación cibernética, basados en sistemas de información y patrones de riesgo, que permiten unir y concatenar elementos productivos y comunes para resolver aspectos principales ante las amenazas cibernéticas actuales.
El principio de intersección en la ciberseguridad
En el anterior artículo se comentó acerca de la importancia de la Inteligencia para el desarrollo de procesos confiables de análisis, a partir de ello, se evidenció la importancia de mantener ciertos criterios que facilitan la ejecución del ciclo de vida de la información.
La Inteligencia explota varias áreas, las cuales involucra la orientación de las #Amenazas #Cibernéticas, y por medio de esta, se complementan los escenarios de contexto con la elevación de criterios técnicos, tecnológicos suficientes para su enfoque central.
El Ciberespacio, primer escenario de la Inteligencia Cibernética
El enfoque central del ciberespacio permite que se estudien ciertos fenómenos:
Amenazas y riesgos cibernéticos asociados, por ello, es vital facilitar los mecanismos necesarios para poder enfatizar los objetivos para cada una de las organizaciones, uno de estos, es el mejoramiento de las políticas que se poseen al interior de las organizaciones para poder contrarrestar estas amenazas. Por tal motivo es bueno identificar en que lugar se encuentra la ciberseguridad actualmente después de otro tipo de amenazas, como lo son, los extremos de lluvia, los cambios climáticos y los desastres naturales (WEB FORUM 2019); mediante el cual poder revisar la importancia que actualmente existe para medir estos acercamientos.
Durante la actual pandemia covid19, la inteligencia cobra un gran valor argumentativo ante esta fehaciente necesidad, de tal manera, uno de los fundamentos radica en el componente de la evaluación de los riesgos asociados, así:
En virtud de lo anterior se observa que cada uno de los factores que se identifican ante una acción y decisión tomada en el país u organización posee unos riesgos debidamente asociados que permiten que las amenazas se puedan desarrollar o materializar, por ende, es importante dentro del análisis de contexto de la amenaza, establecer su posible impacto, como lo sucedido en Ucrania con WannaCry.
En la anterior figura (Foro económico mundial) se evidencia el nivel de importancia de los ciberataques son los aspectos que pueden impactar una nación y una realidad a nivel de la industria y el impacto sobre las organizaciones, por eso es importante determinar aspectos que realmente estan enfocadas hacia los elementos fundamentales (impacto y la probabilidad) hacia las necesidades fundamentales para poder actuar ante estas consecuencias y sus principales rasgos hacia el “core bussiness” y el aspecto de recuperabilidad.
Asimismo, estos escenarios se involucran ante las necesidades de la organización y los enfoques que puedan obtener citada información con los principales aspectos que se derivan la información interna y externa que se visibilice ante las diferentes partes interesadas.
La producción de datos realizada por medio de las fuentes de información se debe obtener por medio de diferentes fuentes asociadas a diferentes esquemas internos que poseen los atributos necesarios para poder clasificar y categorizar esta información.
De otra manera es vital comprender en tres vias fundamentales que se describen (Future, 2019) en tres aspectos:
- Los equipos de operaciones de seguridad son rutinariamente incapaces para procesar el flujo abrumador de alertas que reciben.
- La inteligencia de amenazas se puede integrar con las soluciones de seguridad que ya usan, ayudandoles priorizar y filtrar automaticamente alertas y otras amenazas; Los equipos de gestión de vulnerabilidades deben, Priorizar con precisión las vulnerabilidades más importantes.
- La inteligencia de amenazas proporciona acceso a ideas y contexto que los ayuda a diferenciar amenazas inmediatas a su empresa específica de simplemente amenazas potenciales.
- Prevención de fraude, análisis de riesgos y otros. El personal de seguridad de alto nivel tiene el desafio de comprender el panorama actual de amenazas.
- Inteligencia de amenazas proporciona información clave sobre los actores de amenazas, sus intenciones y objetivos, y sus tacticas, tecnicas, y procedimientos (TTP).
Mediante estos aspectos de pueden redefinir los intereses de la organización en conocer cual es dinámica actual para poder enfrente las siguientes amenazas emergentes que de ejecutan en diferentes escenarios en los que deseen actuar las organizaciones a nivel de inteligencia.
Como se refleja en los aspectos anteriores, el enfoque de inteligencia busca siempre establecer los elementos relevantes o accionables para poder dinamizar el flujo de mitigación y anticipación de los riesgos y amenazas cibernéticas. De tal modo que esta información le permita enfocar cada una de las consecuencias adecuadas para su administración.
Este ciclo de información posee unos atributos internos y externos, los cuales debe poseer una finalidad específica y que sea realmente de provecho técnico, estratégico y operativo para la organización o país.
Esas necesidades parten para crear un plan de inteligencia y unas actividades, en donde se requiera obtener esas determinadas fuentes, origen de los datos, generación de unos productos para aplicar determinadas estrategias para mitigar el posible impacto que puede ocasionar la amenaza, Ej: APT.
Posteriormente determinar las fuentes de esta información requiere determinar si se poseen a nivel interior de la organización, un SOC (Security Operation Center) NO (Network Operation Center) o SIEM(System Information Event Managment). De la misma manera si se posee un equipo de mitigación, remediación, un equipo de gestión y respuesta a incidentes (CSIRT), equipo de Cyber Treath Intelligence (CTI) o equipo de seguridad y/o ciberseguridad.
De mismo modo es importante determinar el origen y los atributos de la información a recolectar, empezando por definir la información accionable que permite tomar decisiones frente a una amenaza en particular, la cual podría estar relacionada de la siguiente manera:
- Identificación por herramientas de seguridad: Son todas aquellas relacionadas con las herramientas perimetrales, antivirus o de detección que posee la organización, a partir de los diferentes correlacionados entre sí.
- Identificación de fuentes externas o inteligencia de distintas fuentes: Todas aquellas determinadas en Darkweb o fuentes OSINT.
Estas cinco capas son las establecidas para poder enfocar la obtención de la información con relación a los diferentes medios de captura existentes en el mercado: Aplicación, Presentación, Sesión, Transporte, Red y Enlace.
Del mismo modo, poder relacionar cada uno de estos eventos dirigidas en transmisión a través de las herramientas de seguridad establecidas, a la que se denomina información accionable interna.
Un principal escenario es poder determinar algunos aspectos destacados dentro de las entradas obtenidas, con el fin de generar datos que permitan establecer realmente “información accionable” y permita crear actividades que faciliten la toma de decisiones.
En ciberseguridad se vuelven relevantes los tipos de datos que se obtienen por medio de IP ́s las cuales nos generan información asociada a un servicio en internet utilizando determinados protocolos de transporte (TCPIP), Url ́s , hashes, las cuales se vuelven relevantes cuando se toman acciones tecnicas frente a la defensa de estos dispositivos perimetrales o de detección. Sin embargo, este proceso de inteligencia sobre estos datos debe poseer un ciclo respectivo para poder determinar realmente cuales son estas decisiones, tácticas, estratégicas u operativas.
El ambiente o ecosistema de seguridad en la organización deberá comprender cuáles son sus fuentes, asimismo su impacto relacionado con esta obtención; a partir de ello, definir los niveles de esa información, y el uso final para su correlación y actividad de inteligencia productiva.
Lo primero a tener en cuenta previamente a evaluar esta información y sus métodos de entrada, es establecer quienes, y cuáles pueden ser los actores de las amenazas, adversarios frente a la organización y los riesgos asociados a estos elementos fundamentales para poder facilitar la finalidad determinada. En esta fase, se determinan si la información colectable es importante para suministrar la información a las tres variables (Táctica, Técnica y Operativa).
En el cierre de este artículo se puede comprender la importancia de la información en inteligencia cibernética y la finalidad del “uso” accionable de la misma.
En la tercera entrega se va a revisar qué indicadores pueden complementar y asociarse ante la resolución de riesgos asociados y la lectura de amenazas cibernéticas.
