Qué buscar en una solución de inteligencia de amenazas

La inteligencia de amenazas o ciberamenazas es el resultado de la recopilación, el procesamiento y el análisis de datos sobre amenazas y sus actores. Esta inteligencia puede utilizarse para identificar e investigar amenazas a su organización con el objetivo de lograr una organización más resiliente.

El campo de proveedores y soluciones de inteligencia de amenazas (TI) es amplio y diverso, con la aparición constante de nuevos proveedores. Las ofertas incluyen fuentes de inteligencia de amenazas, servicios de inteligencia de amenazas y plataformas de inteligencia de amenazas. Si a esto le sumamos soluciones de código abierto (OSINT) frente a soluciones de pago, soluciones centradas en la industria frente a soluciones amplias, y contenido táctico frente a estratégico, la decisión de elegir la solución más adecuada para su organización puede resultar abrumadora.

Con un excedente de tecnologías y soluciones de ciberseguridad, puede resultar abrumador encontrar una que resuelva todos sus problemas. Una vez que haya decidido incorporar inteligencia de amenazas, ¿cuáles son las mejores prácticas para evaluar y elegir proveedores y soluciones?

El mejor punto de partida es considerar sus casos de uso. Las soluciones deben adaptarse a ellos, no al revés. Algunos de los casos de uso más populares incluyen:

• Detección de phishing: El phishing es omnipresente, molesto y potencialmente muy dañino. La TI es fundamental para identificar direcciones IP maliciosas y otros elementos de los ataques de phishing y así agilizar su detección y respuesta.
• Caza de amenazas: Para cuando se detecta, se pone en cuarentena y se remedia una amenaza activa, suele ser demasiado tarde. Los equipos de seguridad deben ser proactivos en la identificación y detección de nuevos riesgos. La TI actualizada periódicamente puede aplicarse a sus sistemas de detección de amenazas para proteger su entorno. También puede usar su solución de TI para detectar nuevas tácticas y tendencias.
• Priorización de vulnerabilidades: Las integraciones de TI ayudan a las organizaciones a comprender qué vulnerabilidades están siendo explotadas por los actores de amenazas, lo que las convierte en uno de los casos de uso más valiosos para la inteligencia de amenazas en las empresas modernas. Este conocimiento práctico ofrece información crucial sobre el panorama de amenazas de una organización.

Una vez definidos sus casos de uso, busque soluciones de TI que puedan abordar dichas áreas. Tenga en cuenta que algunas de sus tecnologías de seguridad existentes, como SIEM, firewalls y detección y respuesta de endpoints (EDR), podrían ofrecer suscripciones adicionales para contenido de TI. Tenga en cuenta que puede haber cierta superposición de inteligencia entre proveedores, ya que algunos ofrecen su inteligencia como OEM, mientras que otros comparten contenido. Esto es normal y previsible, pero le conviene asegurarse de que sus soluciones de TI sean diversificadas, no redundantes.

Como con cualquier herramienta nueva, asegúrese de contar con los recursos necesarios para gestionarla. Obtener valor de estas soluciones depende de la capacidad de su equipo para actuar en función de la información que recibe de sus proveedores. Es necesario planificar quiénes y qué herramientas o procesos de su organización consumirán la información y saber cómo la utilizarán.

En cuanto al presupuesto, los precios de TI suelen estar más orientados a las grandes empresas, aunque el mercado medio está creciendo como consumidor de TI. El precio ronda las decenas de miles de dólares para un servicio básico, mientras que el contenido más avanzado, estratégico o personalizado puede costar cientos de miles de dólares o más.

Los usuarios finales deben realizar varias acciones simultáneamente para beneficiarse de TI. Estas se pueden agrupar en:

• Adquirir. Existen muchos proveedores en el mercado, pero suelen especializarse en áreas específicas, como los indicadores de riesgo de malware, la información de dominios de internet o la monitorización de la web oscura. Es raro encontrar uno que destaque en todos los ámbitos. Por lo tanto, la clave reside en obtener la combinación adecuada de TI para su organización. Dependiendo de sus casos de uso y presupuesto, es posible que las fuentes de información sobre amenazas disponibles públicamente, como la inteligencia de código abierto (OSINT), satisfagan adecuadamente sus necesidades. Al adquirir soluciones de TI, asegúrese de considerar también su alcance, la profundidad y precisión de la información, y su extensibilidad, si pretende utilizarlas en múltiples herramientas y procesos.
• Agregar. Una vez que tenga su TI en sus múltiples formatos y tipos, la agregación es el siguiente paso. Aquí es donde soluciones como Orquestación, automatización y respuesta de seguridad (SOAR) Adelante. SOAR recopilará grandes volúmenes de información de TI, los deduplicará, los enriquecerá con otros datos, los habilitará para búsquedas y los utilizará en casos de automatización posteriores. SOAR también puede usarse para comparar sus fuentes de información de TI, detectando posibles solapamientos y redundancias en el contenido de amenazas.
• Acción. Tener inteligencia no te sirve de nada si no la usas. También necesitas que sea práctica: establece un proceso para las decisiones que esperas tomar con base en el contenido proporcionado, además de saber quién y cómo se tomarán esas decisiones.

Elegir soluciones de inteligencia de amenazas y obtener valor de ellas es complejo. Solicite una demostración hoy mismo para saber más sobre cómo elegir la solución adecuada y no conformarse con una automatización de seguridad "suficientemente buena".