Inteligencia de amenazas ¿qué es y qué no es?
agosto 14, 2017
2

¿Qué empresa u organismo de cualquier parte del mundo no le gustaría tener una especie de bola de cristal o de botón gordo que al pulsar pudiera adivinar con una precisión total y absoluta cuándo, cómo y de qué manera puede ser atacada y ver vulnerados sus sistemas informáticos y dispositivos conectados? Pues como la seguridad 100% no existe, pues esas bolas de cristal ni esos botones tampoco existen y si alguien aparece por la puerta o llama por teléfono pretendiendo vender la moto pues nos estaría engañando porque no existe ningún programa en el mundo, ningún producto y ninguna tecnología que por sí misma y de manera exclusiva, infalible y automática pueda predecir todo esto. De ser así los centros de operaciones de seguridad (SOC) y los analistas de seguridad no tendrían razón de ser y nada más lejos de la realidad. Son necesarios, y mucho.

Otra cosa muy, pero muy diferente a pensar que existen soluciones mágicas es saber que ante un panorama en el que cada día se multiplican las ciberamenazas y los ciberataques están a la orden del día, es no ya importante sino necesario que cualquier empresa u organismo por pequeño que sea, cuente con una buena infraestructura, con software actualizado en los equipos, con un plan de alfabetización en seguridad digital para todos los empleados y desde luego con un equipo de respuesta a incidentes que ayude a vigilar, paliar, mitigar y responder antes estas amenazas que sin duda llegarán. Y aunque lo cierto es que lo idóneo sería contar con un equipo interno, esto no siempre es viable pero al menos sí hay que contar con un equipo externo que asesore y ayude no solo en caso de incidente sino antes, durante y después de los incidentes de seguridad para contener lo máximo posible los daños causados tal y como se explicó durante el ciberdebate en Palabra de hacker dedicado a conocer qué son y cómo trabajan los equipos de respuesta a incidentes de seguridad informática.

Hacer auditorias de seguridad periódicas en las empresas para saber cuál es la situación real de la misma y anticiparse a posibles problemas además de contar con una serie de profesionales que ayuden a que la seguridad de la organización o empresa se acerque lo máximo posible a ese 100% imposible se ha vuelto imprescindible.  Apoyarse en estos expertos siempre será más fiable, y sin duda infalible, que confiar en una sola tecnología porque nos hayan asegurado que instalando X, programando Y o pulsando J sin hacer nada más, los activos, equipos e información de la empresa estarán a salvo. Eso no es así. La seguridad, siempre se ha dicho, es cuestión de capas. A más capas, mayor será la seguridad y por ello se trata de dotarse de las capas básicas e ir mucho más allá para protegerse cuanto más mejor y aún así los imprevistos pueden surgir sea en forma de ataques, vulnerabilidades o descuidos humanos que dejen al descubierto que la ingeniería social sigue estando a la orden del día.

Precisamente una de estas capas que puede ayudarnos a controlar mejor la seguridad es la inteligencia de amenazas o Threat intelligence que si ayuda a predecir incidentes en base a una serie de investigaciones y evidencias aunque en muchas ocasiones se 'vende' bajo un envoltorio un tanto engañoso haciendo pasar por inteligencia de amenazas lo que no es. Precisamente este 'no todo vale' es algo que dejó claro a su paso por Palabra de hacker el especialista en seguridad Ismael Valenzuela (@aboutsecurity) que es director global e ingeniero principal en McAfee, instructor certificado de SANS para los currículos de Ciber Defensa y Forense Digital y que lidera el equipo de élite de respuesta a incidentes, forense, investigación de amenazas y análisis de malware de McAfee desde Nueva York desde 2014. Ismael explicó que no es inteligencia de amenazas todo lo que reluce, este proceso es mucho más delicado y complejo de lo que parece a simple vista y por tanto toca desmitificar al respecto y poner las cosas en su sitio. Es por ello que he considerado relevante recoger en un minivídeo y podcast, disponible a continuación junto con la transcripción de lo dicho, la explicación que ofreció Ismael sobre qué es y qué no es inteligencia de amenazas para no llevarnos a engaño.

Sobre la importancia del Threat Intelligence y las posibilidades que ofrece desde el punto de vista defensivo y ofensivo para proporcionar una mayor seguridad a las empresas y organizaciones hay una charla disponible en el canal bajo el título "Inteligencia colectiva, usemos la cabeza" que ofreció Joaquin Molina 'Kinomakino' en la primera edición de las Jornadas de Seguridad Informática PaellaCON que organizo en Valencia y que os animo a repasar así como a revisar el ciberdebate sobre "Ciberataques globales ¿estamos preparados?" en el cual también intervino Ismael Valenzuela junto a otros especialistas en seguridad pues evidencia esa necesidad de dotarse de capas y capas de seguridad que mencionaba.

Vídeo

Podcast

 

Inteligencia de amenazas, qué es y qué no es según Ismael Valenzuela

Pues realmente la respuesta a incidentes cada vez pues está tendiendo más a incorporar datos de amenazas, de inteligencia de amenazas. Lo que pasa que si es verdad que detrás de todo esto hay mucho marketing. Como todo ¿no? Ahora pues es eso la moda, todo es inteligencia de amenazas pero en realidad hay muy poquita gente que esté haciendo uso de esto de una manera realmente práctica y que sea pues operativa.

En muchos casos lo que se vende como inteligencia de amenazas es simplemente lo que decimos threat list, listas negras de IPs o de dominios, que es lo mismo que ya conocíamos hace muchísimos años pero que ahora lo vendemos, le ponemos otro envoltorio, un lacito y lo vendemos como inteligencia de amenazas y entonces pedimos un dineral por esto. Eso no tiene validez ninguna.

La inteligencia realmente es algo pues que los gobiernos llevan haciendo muchísimos años sobre todo en el entorno militar y son roles muy específicos donde hay un analista de inteligencia que es digamos un ente totalmente diferente a lo que estamos hablando aquí y cuya labor pues es un poco yo digo como la predicción del tiempo; estás viendo que hay el tiempo viene de no sé dónde, las nubes tal, hay una presión atmosférica... pues oye sabes que va a llover.

Pues el analista de inteligencia es capaz de recoger todos estos indicadores y predecir de alguna manera que pues en estos foros de underground hemos visto que se está vendiendo un exploit, estamos viendo también pues que hay otras ciertas cosas que se están moviendo en estos otros foros, esto puede tener que ver con una campaña que se va a hacer de este tipo y esto permite a una empresa con unos procesos maduros no solamente en tecnología, sino procesos y con gente capacitada, pues el hacer buen uso de esto y mejorar el proceso de respuesta a incidentes.

Pero la realidad, la cruda realidad, es que esto hay muy poquitas organizaciones que a día de hoy lo estén haciendo y suelen ser las más maduras en cuanto a seguridad, sector financiero, gobiernos... gente que tiene ya bastantes medios a su alcance.

 

¿Te ha gustado? Déjame abajo tu comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad y acepto expresamente los términos y condiciones.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral

Licenciada en Periodismo, especializada en televisión, YouTube, redes sociales, TICs y con un ojo puesto en la seguridad digital. Máster en Community Management y redes sociales en la empresa. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.


Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Puedo trabajar contigo como formadora y presentadora de eventos presenciales y online. Mi nick digital es yocomu. ¡Búscame en las redes!


Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario. ¡Gracias!

2 comments

  1. Hola Yolanda, me gusta mucho lo que haces y como participas y colaboras en este mundo de la seguridad. Continua con este importante e interesante trabajo, pues es muy util tu colaboracion. Exitos.

    1. Muchísimas gracias Hector. Me alegra que te guste la labor que realizo y que encuentres de utilidad los contenidos del canal ya que como bien dices se trata de divulgar información sobre seguridad que ayude a tomar conciencia de la importancia que tiene este tema para todos. Saludos.