Inteligencia de Amenazas es una expresión muy utilizada en el mundo de la seguridad informática. Según una encuesta publicada por Mandiant, aunque los equipos de ciberseguridad reconocen el valor de hacer inteligencia sobre los ciberatacantes, pocos toman decisiones informadas, conociendo plenamente la identidad y las motivaciones de los adversarios. La dificultad para utilizar la información disponible puede atribuirse a varios factores, como la falta de personal cualificado y la incapacidad para comprender cómo explotar los datos. ¿Cómo salvar la brecha?
Jens Monrad, responsable de Inteligencia de Amenazas para EMEA en Mandiant, y su colega Jamie Collier, asesor principal de Inteligencia de Amenazas, explican el enfoque de la empresa respecto a la Inteligencia de Amenazas y la importancia de proporcionar información “procesable”.
La especialización de la multinacional estadounidense en Inteligencia de Amenazas (y Respuesta a Incidentes) no pasó desapercibida, hasta el punto de que Google Cloud decidió comprarla (la operación se cerró en septiembre de 2022) para integrar sus propias soluciones de seguridad.
Mandiant, explican sus responsables, cuenta con un equipo dedicado con más de 400 profesionales encargados de explorar las amenazas y estudiar a los atacantes, en relación con el escenario geopolítico y no solo desde una perspectiva cibernética, proporcionando a clientes y socios un contexto para comprender a los adversarios y mejorar la línea de defensa.
Índice de temas
Qué es la Inteligencia de Amenazas y cómo aplicarla
“Inteligencia de Amenazas”, dice Monrad, “se ha convertido en una expresión de moda. Todo el mundo dice que la utiliza, pero pocos saben realmente cómo. Creemos que los datos deben estar disponibles para el personal informático de apoyo, pero también para los altos ejecutivos y las personas sin formación técnica. Sin embargo, la inteligencia no puede ser igual para todos. Cuando nos dirigimos a los directores generales, a los políticos o a las instituciones, damos una información diferente a los detalles técnicos o tácticos: más bien proporcionamos inteligencia estratégica, para los responsables de la toma de decisiones”.
Según Collier, el mérito de la Inteligencia de Amenazas es que ayuda a las organizaciones a identificar las amenazas relevantes, eliminando el ruido de fondo y las posibles distracciones. “Por ejemplo”, explica, “durante la pandemia hubo mucha preocupación por el phishing relacionado con Covid, y sin embargo solo representó alrededor del dos por ciento de los correos electrónicos maliciosos en circulación. Las empresas suelen pasar de una situación de pánico a otra. Primero fue el miedo a las amenazas relacionadas con la emergencia pandémica, después la guerra ruso-ucraniana y ahora la inteligencia artificial. Al disponer de datos de alta calidad, aumenta la capacidad de centrarse en lo que realmente importa, evitando malgastar recursos en otra cosa”.
“El concepto, añade Monrad, “es similar a la previsión meteorológica: si usted vive en una determinada región, es poco probable que se vea afectado por los acontecimientos de otros países”.
Cómo funciona un equipo de Inteligencia de Amenazas
Pero, ¿cómo funciona en la práctica un equipo de Inteligencia de Amenazas? “Los analistas de Mandiant, explica Monrad, examinan los datos sobre amenazas procedentes de distintas fuentes y traducen los resultados en informes comprensibles. Por supuesto, una gran parte de nuestro trabajo consiste en conversaciones con los clientes y los medios de comunicación, que a su vez traducen y difunden la información”.
“Nuestro equipo de Inteligencia de Amenazas, dice Collier, es realmente grande, porque tenemos que procesar datos de una enorme variedad de fuentes. En primer lugar, de nuestras actividades de respuesta a incidentes y de los servicios de seguridad gestionados en nombre de las empresas, que nos proporcionan una visión continua de los entornos de las víctimas y un conocimiento profundo del funcionamiento de las amenazas. Además, vigilamos los foros de la darkweb y los mercados clandestinos. También tenemos una asociación con Trellix (un proveedor especializado en soluciones XDR e Inteligencia de Amenazas), que nos permite interrogar a millones de puntos finales de correo electrónico y obtener información sobre las amenazas más extendidas”.
Dentro del equipo operan varios grupos, cada uno con una especialización concreta: ciberdelincuencia, espionaje, análisis de vulnerabilidades, operaciones de información, etc. “Cuando se llevan a cabo actividades de Inteligencia de Amenazas, subraya Monrad, el elemento más importante en el que hay que centrarse son las motivaciones de los atacantes y no las técnicas utilizadas. Así que, siguiendo esta lógica, nos hemos estructurado en subgrupos”. Además, existen equipos especializados en sectores o zonas geográficas concretas, como Corea del Norte.
Colaboración en el sector de la ciberseguridad
La colaboración entre proveedores es otro punto clave para la eficacia de la Inteligencia de Amenazas. “No podemos, argumenta Monrad, saberlo todo. Los informes que redactamos sólo se basan en la información de la que disponemos, pero hay muchas otras fuentes. Quienes lean nuestros documentos deben ser conscientes de ello. Hay mucha cooperación con otros proveedores, sobre todo en lo que respecta al intercambio de información. Queremos asegurarnos de que lo que publicamos nosotros u otros está alineado”.
“Especialmente, añade Collier, cuando hay asuntos de importancia nacional, quizá amenazas a infraestructuras críticas. Por ejemplo, en el caso de SolarWinds, nuestro equipo de respuesta a incidentes cooperó activamente con Microsoft. Creo que el sector de la seguridad es especial en lo que se refiere a la cuestión de la colaboración, porque está formado por personas motivadas por su misión, acostumbradas a trabajar juntas y con buenas relaciones”.
Sin embargo, lo que se echa en falta, es la colaboración entre las instituciones gubernamentales y las empresas privadas. “No todos los estados, dice Monrad, tienen la misma inclinación a compartir información y a menudo las empresas no disponen de un ‘espacio’ donde puedan comunicarse y compartir información”.
¿Están las empresas realmente preparadas para la Inteligencia de Amenazas?
Sin embargo, en lo que respecta a la Inteligencia de Amenazas, la cuestión crucial sigue siendo la madurez del mercado: ¿son realmente capaces las empresas de aprovechar la información disponible para impulsar las actividades de seguridad?
“Algunas organizaciones están preparadas, afirma Monrad, a otras les falta el cambio de mentalidad necesario. El problema reside aquí: proporcionar Inteligencia sobre Amenazas es como dar acceso a una enorme biblioteca en la que los libros no tienen el título en la portada y hay que hojearlos todos para comprender el contenido”.
Según Collier, las organizaciones están mejorando su capacidad de defensa: de hecho, especialmente en Estados Unidos, el lapso de tiempo entre la intrusión real y el descubrimiento por parte de la víctima está disminuyendo. No obstante, señala, “hay que distinguir entre detección interna y externa. En EMEA, es mucho más habitual que no sea el equipo de ciberseguridad de la empresa el que se percate del compromiso, sino que la alerta proceda de un tercero, ya sea un proveedor o los propios piratas informáticos, por ejemplo, grupos de ransomware que exigen un rescate.
El problema es también la escasez de personal cualificado y la incapacidad de retener el talento. Las empresas, dice Monrad, “luchan por encontrar las habilidades adecuadas y contratar a las personas adecuadas. Es un tema candente sobre todo en la administración pública, donde las regulaciones salariales les impiden ser atractivas para los profesionales”.
En resumen, como afirma Collins, aunque con diferencias relacionadas con el sector y la estructura corporativa (empresa incumbente o nativa digital), las empresas están aumentando sus inversiones en seguridad, pero aún queda mucho por hacer.
Prohibida su reproducción total o parcial.