Inteligencia de amenazas ¿Qué es y qué no es?

Inteligencia de amenazas ¿qué es y qué no es?

¿Qué empresa u organismo de cualquier parte del mundo no le gustaría tener una especie de bola de cristal o de botón gordo que al pulsar pudiera adivinar con una precisión total y absoluta cuándo, cómo y de qué manera puede ser atacada y ver vulnerados sus sistemas informáticos y dispositivos conectados?

Pues como la seguridad 100% no existe, pues esas bolas de cristal ni esos botones tampoco existen y si alguien aparece por la puerta o llama por teléfono pretendiendo vender la moto pues nos estaría engañando porque no existe ningún programa en el mundo, ningún producto y ninguna tecnología que por sí misma y de manera exclusiva, infalible y automática pueda predecir todo esto.

De ser así los centros de operaciones de seguridad (SOC) y los analistas de seguridad no tendrían razón de ser y nada más lejos de la realidad. Son necesarios y mucho tal y como salió a relucir en el ciberdebate ‘El día a día de trabajo en un SOC’.

Otra cosa muy, pero muy diferente a pensar que existen soluciones mágicas es saber que ante un panorama en el que cada día se multiplican las ciberamenazas y los ciberataques están a la orden del día, es no ya importante sino necesario que cualquier empresa u organismo por pequeño que sea, cuente con una buena infraestructura, con software actualizado en los equipos, con un plan de alfabetización en seguridad digital para todos los empleados y desde luego con un equipo de respuesta a incidentes que ayude a vigilar, paliar, mitigar y responder antes estas amenazas que sin duda llegarán.

Y aunque lo cierto es que lo idóneo sería contar con un equipo interno, esto no siempre es viable pero al menos sí hay que contar con un equipo externo que asesore y ayude no solo en caso de incidente sino antes, durante y después de los incidentes de seguridad para contener lo máximo posible los daños causados tal y como se explicó durante el ciberdebate en Palabra de hacker dedicado a conocer qué son y cómo trabajan los equipos de respuesta a incidentes de seguridad informática.

Hacer auditorias de seguridad periódicas en las empresas para saber cuál esla situación real de la misma y anticiparse a posibles problemas además de contar con una serie de profesionales que ayuden a que la seguridad de la organización o empresa se acerque lo máximo posible a ese 100% imposible se ha vuelto imprescindible.

Apoyarse en estos expertos siempre será más fiable, y sin duda infalible, que confiar en una sola tecnología porque nos hayan asegurado que instalando X, programando Y o pulsando J sin hacer nada más, los activos, equipos e información de la empresa estarán a salvo. Eso no es así.

La seguridad, siempre se ha dicho, es cuestión de capas. A más capas, mayor será la seguridad y por ello se trata de dotarse de las capas básicas e ir mucho más allá para protegerse cuanto más mejor y aún así los imprevistos pueden surgir sea en forma de ataques, vulnerabilidades o descuidos humanos que dejen al descubierto que la ingeniería social sigue estando a la orden del día.

Precisamente una de estas capas que puede ayudarnos a controlar mejor la seguridad es la inteligencia de amenazas o Threat intelligence que si ayuda a predecir incidentes en base a una serie de investigaciones y evidencias aunque en muchas ocasiones se ‘vende‘ bajo un envoltorio un tanto engañoso haciendo pasar por inteligencia de amenazas lo que no es.

Precisamente este ‘no todo vale’ es algo que dejó claro a su paso por Palabra de hacker el especialista en seguridad Ismael Valenzuela (@aboutsecurity) que es director global e ingeniero principal en McAfee, instructor certificado de SANS para los currículos de Ciber Defensa y Forense Digital y que lidera el equipo de élite de respuesta a incidentes, forense, investigación de amenazas y análisis de malware de McAfee desde Nueva York desde 2014.

Ismael explicó que no es inteligencia de amenazas todo lo que reluce, este proceso es mucho más delicado y complejo de lo que parece a simple vista y por tanto toca desmitificar al respecto y poner las cosas en su sitio. Es por ello que he considerado relevante recoger en un minivídeo y podcast, disponible a continuación junto con la transcripción de lo dicho, la explicación que ofreció Ismael sobre qué es y qué no es inteligencia de amenazas para no llevarnos a engaño.

Sobre la importancia del Threat Intelligence y las posibilidades que ofrece desde el punto de vista defensivo y ofensivo para proporcionar una mayor seguridad a las empresas y organizaciones hay una charla disponible en el canal bajo el título ‘Inteligencia colectiva, usemos la cabeza‘ que ofreció Joaquín Molina ‘Kinomakino’ en la primera edición de las Jornadas de Seguridad Informática PaellaCON que organizo en Valencia y que os animo a repasar así como a revisar el ciberdebate sobre ‘Ciberataques globales ¿estamos preparados?‘ en el cual también intervino Ismael Valenzuela junto a otros especialistas en seguridad pues evidencia esa necesidad de dotarse de capas y capas de seguridad que mencionaba.

Vídeo

Podcast

Inteligencia de amenazas, qué es y qué no es según Ismael Valenzuela

Pues realmente la respuesta a incidentes cada vez pues está tendiendo más a incorporar datos de amenazas, de inteligencia de amenazas. Lo que pasa que si es verdad que detrás de todo esto hay mucho marketing. Como todo ¿no? Ahora pues es eso la moda, todo es inteligencia de amenazas pero en realidad hay muy poquita gente que esté haciendo uso de esto de una manera realmente práctica y que sea pues operativa.

En muchos casos lo que se vende como inteligencia de amenazas es simplemente lo que decimos threat list, listas negras de IPs o de dominios, que es lo mismo que ya conocíamos hace muchísimos años pero que ahora lo vendemos, le ponemos otro envoltorio, un lacito y lo vendemos como inteligencia de amenazas y entonces pedimos un dineral por esto. Eso no tiene validez ninguna.

La inteligencia realmente es algo pues que los gobiernos llevan haciendo muchísimos años sobre todo en el entorno militar y son roles muy específicos donde hay un analista de inteligencia que es digamos un ente totalmente diferente a lo que estamos hablando aquí y cuya labor pues es un poco yo digo como la predicción del tiempo; estás viendo que hay el tiempo viene de no sé dónde, las nubes tal, hay una presión atmosférica… pues oye sabes que va a llover.

Pues el analista de inteligencia es capaz de recoger todos estos indicadores y predecir de alguna manera que pues en estos foros de underground hemos visto que se está vendiendo un exploit, estamos viendo también pues que hay otras ciertas cosas que se están moviendo en estos otros foros, esto puede tener que ver con una campaña que se va a hacer de este tipo y esto permite a una empresa con unos procesos maduros no solamente en tecnología, sino procesos y con gente capacitada, pues el hacer buen uso de esto y mejorar el proceso de respuesta a incidentes.

Pero la realidad, la cruda realidad, es que esto hay muy poquitas organizaciones que a día de hoy lo estén haciendo y suelen ser las más maduras en cuanto a seguridad, sector financiero, gobiernos… gente que tiene ya bastantes medios a su alcance.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Inteligencia de amenazas ¿qué es y qué no es?», «@id»: «https://www.yolandacorral.com/inteligencia-de-amenazas-que-es-y-que-no-es /#videoobject», «datePublished»: «2017-08-14», «description»: «Hoy en día se habla mucho de la inteligencia de amenazas o Threat Intelligence pero realmente ¿en qué consiste? Ismael Valenzuela, a su paso por el canal Palabra de hacker explicó que no es tan común como parece, que solo las grandes organizaciones y empresas lo están haciendo y que el proceso tiene en cuenta muchas más variables de las que a simple vista puedan parecer para la detección de amenazas de seguridad informática», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Inteligencia-de-amenazas-canal-Palabra-de-hacker.jpg», «transcript»: «Pues realmente la respuesta a incidentes cada vez pues está tendiendo más a incorporar datos de amenazas, de inteligencia de amenazas. Lo que pasa que si es verdad que detrás de todo esto hay mucho marketing. Como todo ¿no? Ahora pues es eso la moda, todo es inteligencia de amenazas pero en realidad hay muy poquita gente que esté haciendo uso de esto de una manera realmente práctica y que sea pues operativa. En muchos casos lo que se vende como inteligencia de amenazas es simplemente lo que decimos threat list, listas negras de IPs o de dominios, que es lo mismo que ya conocíamos hace muchísimos años pero que ahora lo vendemos, le ponemos otro envoltorio, un lacito y lo vendemos como inteligencia de amenazas y entonces pedimos un dineral por esto. Eso no tiene validez ninguna. La inteligencia realmente es algo pues que los gobiernos llevan haciendo muchísimos años sobre todo en el entorno militar y son roles muy específicos donde hay un analista de inteligencia que es digamos un ente totalmente diferente a lo que estamos hablando aquí y cuya labor pues es un poco yo digo como la predicción del tiempo; estás viendo que hay el tiempo viene de no sé dónde, las nubes tal, hay una presión atmosférica… pues oye sabes que va a llover. Pues el analista de inteligencia es capaz de recoger todos estos indicadores y predecir de alguna manera que pues en estos foros de underground hemos visto que se está vendiendo un exploit, estamos viendo también pues que hay otras ciertas cosas que se están moviendo en estos otros foros, esto puede tener que ver con una campaña que se va a hacer de este tipo y esto permite a una empresa con unos procesos maduros no solamente en tecnología, sino procesos y con gente capacitada, pues el hacer buen uso de esto y mejorar el proceso de respuesta a incidentes. Pero la realidad, la cruda realidad, es que esto hay muy poquitas organizaciones que a día de hoy lo estén haciendo y suelen ser las más maduras en cuanto a seguridad, sector financiero, gobiernos… gente que tiene ya bastantes medios a su alcance.», «uploadDate»: «2017-08-14», «duration»: «PT2M26S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://www.youtube.com/watch?v=gn8d-26Bq3M» }

    2 comentarios en “Inteligencia de amenazas ¿qué es y qué no es?”

    1. Hola Yolanda, me gusta mucho lo que haces y como participas y colaboras en este mundo de la seguridad. Continua con este importante e interesante trabajo, pues es muy util tu colaboracion. Exitos.

      1. Muchísimas gracias Hector. Me alegra que te guste la labor que realizo y que encuentres de utilidad los contenidos del canal ya que como bien dices se trata de divulgar información sobre seguridad que ayude a tomar conciencia de la importancia que tiene este tema para todos. Saludos.

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.