El uso del inglés en el mundo rico en tecnología en el que vivimos es una constante, al igual que la velocidad de la luz en la física.
Ocurre a menudo que se habla entre los expertos de la seguridad cibernética, quizás de diferentes países, suponiendo que nos entendamos solo porque usamos términos en inglés como, por ejemplo, "cyber Threat Intelligence".
La pregunta que nos hacemos hoy es: cuando decimos “Cyber Threat Intelligence” ¿todo el mundo sabe de qué estamos hablando? Tratemos de entenderlo juntos a partir del término "Interna".
Consultando un diccionario bilingüe descubrimos que la palabra "Amenaza" significa "amenaza". Si nos ubicamos en el mundo cibernético, podemos referirnos a la definición del Instituto Nacional de Estándares y Tecnología (EE. UU. - NIST SP 800-30/150 y CNSSI-4009): que define "Cyber Threat" como:
“Cualquier circunstancia o evento capaz de afectar negativamente las operaciones de una organización (misión, funciones, imagen o reputación), los activos de la organización, las personas, otras organizaciones o la Nación a través de un sistema de información a través del acceso no autorizado, destrucción, divulgación, modificación de la información y/o denegación de servicio.”
Para comprender qué se entiende por "inteligencia de amenazas" utilizamos el sitio web de Kaspersky:
"La inteligencia de amenazas le permite identificar y analizar amenazas cibernéticas dirigidas a una empresa, filtrando grandes cantidades de datos, examinándolos y contextualizándolos en busca de problemas reales y posibles soluciones".
Poniendo los conceptos juntos, podemos decir que para Inteligencia de amenazas cibernéticas medio “la investigación y análisis de las amenazas cibernéticas dirigidas contra una empresa, una organización, un Estado y su contextualización en busca de problemas reales y sus soluciones”.
Los principales objetivos de la Inteligencia de amenaza son:
- conozca a sus oponentes (activistas, organizaciones criminales, gobiernos, competidores ... Atribución);
- qué tácticas (por qué) y técnicas (cómo) se pueden utilizar contra nuestra empresa;
- cuáles son los controles que se implementarán en función de las amenazas y cómo mitigar el riesgo (posibles soluciones).
Hay muchas herramientas que se utilizan para hacer inteligencia sobre amenazas cibernéticas; los MITRA nos proporciona varios y para saber más hay algunos artículos excelentes que recomendamos, entre ellos "Luchando contra los malos de forma estructurada"por Marco Rottigni y"Conoce las tácticas cibernéticas del oponentede Orazio Danilo Russo.
Aclarada la terminología, pasemos a un ejemplo práctico que ayuda a comprender los conceptos que acabamos de exponer.
Supongamos que somos el jefe de una empresa que se ocupa de la producción y venta de guantes de goma que vendemos en el territorio nacional y más allá. El CISO (Chief Information Security Officer) en coordinación con el CTO (Chief Technology Officer) de la empresa ha elegido un antivirus para las estaciones de trabajo y para las máquinas de control de producción y ha firmado un contrato con una empresa que presta servicios de seguridad.
El papel de la empresa prestadora de los servicios de seguridad es recopilar los datos de todos los dispositivos de nuestra empresa, analizarlos, correlacionarlos, contextualizarlos, en busca de amenazas reales y directas contra nuestra empresa y sugerir las diversas vías posibles de mitigación. y/o soluciones a los problemas y amenazas identificados.
La elección de una o más soluciones, entre las propuestas, depende de muchos factores, uno entre muchos la relación costo/efectividad.
Un ejemplo: supongamos que de la primera recopilación de datos en las estaciones de la red surge que algunas estaciones tienen un sistema operativo antiguo, no actualizado o que ya no es compatible. Entre las soluciones que se podrían sugerir seguramente encontraremos:
- actualizar el sistema operativo;
- cambiar el sistema operativo que ya no es compatible;
- cambiar las máquinas infractoras.
Por supuesto, las soluciones enumeradas resolverán/mitigarán solo algunos de los problemas relacionados con la seguridad corporativa, de hecho, existen diferentes tipos de amenazas y no todas tienen el mismo efecto en una empresa u organización. Siempre debemos tener en cuenta que no importa cuán buenos y cuidadosos seamos, ¡no es posible eliminar todas las amenazas!
La elección de la solución a implantar corresponderá a la empresa, que suele actuar en base a criterios económicos pero también contingentes. En nuestro ejemplo, podría suceder que las máquinas identificadas se utilicen en un ciclo de producción que no se puede interrumpir sin comprometer todo el proceso y, por lo tanto, no es posible poner en práctica todas las soluciones sugeridas. Ahí Inteligencia de amenazas cibernéticas tiene su importancia pero es solo una pieza de seguridad corporativa.
Por eso no es posible delegar todo en el exterior, salvo en casos muy especiales. Corresponde al CISO y al CTO, que conocen la empresa, los procesos de producción y el contexto operativo, tomar la decisión correcta en función de varios factores, incluido el Inteligencia de amenazas cibernéticas.
Alessandro Rugolo, Annalisa Diana
Agradecemos a todos los amigos de SICYNT por las sugerencias que nos han permitido mejorar el artículo, haciéndolo comprensible para todos.
Para saber más:
- Guía para el intercambio de información sobre ciberamenazas (nist.gov)
- SP 800-30 Rev. 1, Guía para realizar evaluaciones de riesgos | CSRC (nist.gov)
- https://www.kaspersky.com/resource-center/definitions/threat-intelligence
Foto: Fuerza Aérea de EE. UU. / web
