¿Está aprovechando la inteligencia sobre amenazas para responder a incidentes?

Como hemos mencionado anteriormente En este blog, la industria de la seguridad de la información ha creado una gran cantidad de excelentes soluciones de detección. Gracias a la llegada de estas herramientas al mercado, las organizaciones ahora pueden centrarse en la inteligencia de amenazas, es decir, en el conocimiento de ataques existentes o potenciales a un entorno.

Si bien la inteligencia de amenazas es crucial para una organización, uno de los problemas más acuciantes en la gestión de operaciones de seguridad actual es que, con demasiada frecuencia, no se integra con la respuesta a incidentes. En otras palabras, las alertas sobre posibles amenazas identificadas mediante inteligencia de amenazas llegan al SOC, pero no hay forma de aprovechar rápidamente esa misma inteligencia para analizar la alerta con mayor detalle e identificar información adicional sobre su contexto.

Para aprovechar al máximo la información que ya están recopilando con herramientas de detección, los equipos de seguridad necesitan una solución que asimile la información basada en inteligencia de amenazas (como un nombre de host o una dirección IP, por ejemplo) y consulte los repositorios de datos de inteligencia de amenazas de una organización para obtener respuestas a preguntas como:

• ¿A qué se debe este ataque?

• ¿Quién podría estar perpetrando el ataque?

• ¿Están realizando otras operaciones maliciosas?

• ¿Cuál es el siguiente paso que debo dar? basado en procesos ¿Que un miembro del equipo utilizó (y fue capturado con una herramienta o plataforma) para mitigar un ataque similar en el pasado?

Obtener las respuestas a esas preguntas, en particular la última, permite a los trabajadores de seguridad de la información responder de manera integral a las amenazas basándose en un conocimiento más amplio de la situación.

Una forma sencilla de considerar el aprovechamiento de la inteligencia de amenazas para la gestión de la respuesta a incidentes es a través del big data. Organizaciones de todos los sectores recopilan grandes cantidades de información y casi todas buscan la manera más eficiente de eliminar el ruido y centrarse en los datos que realmente pueden ayudarles a mejorar sus procesos. La gestión de operaciones de seguridad no es la excepción: cuanto más rápido se pueda identificar la información más relevante, antes se podrá responder a una amenaza en la cadena de ataque.