Ciberinteligencia II - Requerimientos

Vamos a hablar acerca de cómo definir adecuadamente nuestros requerimientos de inteligencia, una tarea muy importante, que marcará los lineamientos de nuestros próximos pasos.

En el artículo anterior hicimos una introducción acerca de qué es la inteligencia, los tipos de inteligencia existenes y el ciclo de inteligencia.

Identificación y Priorización

Debemos preguntarnos “¿Cuáles son nuestras necesidades de inteligencia?”. Es decir, para qué es que vamos a invertir recursos en el proceso de inteligencia, con qué fines.

En particular, vamos a centrarnos en las necesidades comunes de las organizaciones comerciales, aunque los procesos y tareas son relativamente similares para cualquier tipo de actividad.

Podemos definir una lista de posibles preguntas a responder a través de la inteligencia, comunes a la mayoría de las organizaciones:

1) ¿Qué información de inteligencia puede ser obtenida acerca de nosotros?

Podemos citar muchas fuentes que remarcan la importancia del autoconocimiento. Tal vez, el más famoso es “El Arte de la Guerra”, de Sun Tzu, que dice:

Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla.”

Con esto podemos apreciar que conocernos a nosotros mismos es igual o más importante que conocer a nuestros posibles adversarios.

Por eso, las organizaciones deben estar al tanto de cuál es la información de inteligencia que puede ser obtenida acerca de ellas. Conceptualmente, es muy similar al hecho de realizar un Penetration Test, donde intentamos atacarnos a nosotros mismos para ver hasta dónde podría llegar un atacante real.

Algunos datos que podrían llegar a ser de utilidad son:

  • Dominios y Sitios Web
  • Direcciones IP
  • Direcciones de Email Válidas
  • Cuentas en Redes Sociales
  • Ubicaciones Geográficas
  • Datos Sobre Miembros de la Organización
  • Reputación en Bases de Threat Intelligence
  • Software y Proveedores de Servicio

2) ¿Qué Amenazas Podrían Afectarnos?

Debemos estar al tanto de cuáles son las amenazas que podrían llegar a generar un impacto negativo en nuestra organización.

Para eso es necesario que podamos monitorizar tanto las tendencias de ataque generales (valores estadísticos, nuevas vulnerabilidades, métodos de ataque, etc.), como los ataques particulares que recibe nuestra organización (monitorización de logs y eventos).

Esto va a permitirnos implementar tanto medidas preventivas, como medidas reactivas.

Si bien suele decirse que es mejor ser “preventivos”, debemos prestar mucha atención a que las medidas reactivas no son “malas”, pero es muy importante considerar el tiempo que tardamos en reaccionar.

Por ejemplo, la inteligencia puede ayudarnos a detectar que un grupo activista va a lanzar un ataque de Denegación de Servicio (DoS) contra nosotros, y permitirnos ajustar nuestra infraestructura (y la de nuestros proveedores de internet), para poder mitigarlo.

Esa sería la “situación ideal”. Pero también es importante que podamos reaccionar rápido ante un ataque DoS inesperado, que podamos detectarlo y mitigarlo en la menor cantidad de tiempo posible.

Aquí es donde la información de inteligencia se mezcla con la respuesta a incidentes.

Incluso, podemos utilizar la inteligencia para realizar la investigación sobre incidentes de seguridad, es decir, no sólo para prevenir o reaccionar ante eventos, si no también para investigarlos y obtener más inteligencia de ellos.

A continuación tenemos una lista de posibles datos de interés:

  • Descubrimiento de vulnerabilidades para el software que utilizamos
  • Tendencias de ataque que podrían afectar al rubro en el que nos manejamos
  • Nuevos vectores de ataque utilizados por los ciberdelincuentes
  • Ataques de phishing que intenten suplantar nuestra organización
  • Filtraciones de datos con cuentas comprometidas
  • Estadísticas de ataques y malware (internos, globales, segmentados, etc)

Más Adelante

En la próxima entrega de esta serie analizaremos la planificación de nuestro proceso de inteligencia, para dimensionar de forma adecuada las herramientas y los recursos que vamos a utilizar.

Karma, Nuestra Solución de Ciberinteligencia

Karma https://karma.securetia.com es nuestra solución de ciberinteligencia, que permite a las organizaciones obtener información acerca de su propio entorno y de cómo son vistos sus activos de información en las bases de datos de Threat Intelligence.

En artículos posteriores, analizaremos diversas tareas de ciberinteligencia y cómo podemos utilizar Karma para facilitar todas las tareas del ciclo de inteligencia.

Escrito por: Fabian Martínez Portantier