La cyber threat intelligence (inteligencia de ciberamenzas) es información procesada sobre la intención, la oportunidad y la capacidad que poseen los actores maliciosos. Cuando se ajusta a los objetivos de negocio de la organización y se combina con el red teaming tradicional y el hacking ético, la cyber threat intelligence aumenta considerablemente la eficacia de estas prácticas.
Por Gert-Jan Bruggink
La cyber threat intelligence proporciona una inteligencia de amenazas exacta y oportuna, lo que permite que se puedan tomar decisiones con el fin de priorizar objetivos y acciones de remediación. Hoy en día es posible simular a los adversarios en situaciones realistas, combinando la investigación sobre lo que sucede en la actualidad con la creatividad en los ataques y la ciberdefensa. Basándonos en estos casos de uso en crecimiento, anticipamos la adopción continuada de la cyber threat intelligence en múltiples servicios de seguridad e impulsamos a los líderes empresariales hacia la toma de decisiones fundamentadas.
Si se ejecuta correctamente, el red teaming puede utilizar la cyber threat intelligence para emular las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas que con más probailidad podrían haber puesto a una organización en su punto de mira, lo cual permite tomar decisiones relativas al riesgo de forma más eficaz y en tiempo real.
Recientemente, la firmas miembro de Deloitte han observado un cambio en la forma de pensar de sus clientes. Las preguntas que los clientes se hacen con mayor frecuencia son: ¿qué adversarios pueden atacarnos con mayor probabilidad? ¿Se ha descubierto algun evento de seguridad significativo en nuestro sector? ¿Hay otros sectores en los que se estén produciendo intrusiones similares? ¿Qué sucederá si imitamos estos ataques?
Ya no basta con identificar los problemas de seguridad y explicar su importancia. Para poder garantizar la protección de las empresas, se han desarrollado diferentes marcos regulatorios con el objetivo de mejorar la capacidad que éstas poseen a la hora de realizar pruebas de ciberseguridad controladas y adaptables basadas en la inteligencia, imitando los comportamientos maliciosos de los sofisticados actores de amenazas que suponen un riesgo para los activos empresariales críticos. Algunos ejemplos son el CBEST del Banco de Inglaterra, el TIBER-EU del Banco Central Europeo y el TIBER-NL en los Países Bajos (Threat Intelligence Based Ethical Red Teaming).
El objetivo global de los ejercicios basados en inteligencia es imitar los TPP de ataque de los adversarios del mundo real. Los ejercicios tienen como objetivo realizar pruebas para saber si las medidas defensivas y los sistemas de control ya existentes de una organización son eficaces. Asimismo, comprueban la madurez de respuesta y las funciones de remediación con respecto a un ataque real.
Para poder determinar si se emplea el concepto de ejercicios basados en inteligencia, se tienen en cuenta tres preguntas:
1. ¿Queremos simular adversarios o no?
Cuando prepares tu próximo ejercicio de red teaming o de hacking ético, toma una decisión fundamentada sobre si adoptar un enfoque basado en la inteligencia. Normalmente, al determinar el alcance, las consideraciones contractuales, las funciones y las responsabilidades, así como la adquisición de threat intelligence y red teaming, es realtivamente sencillo incorporar ejercicios de simulación de adversarios en los acuerdos.
El valor añadido de simular adversarios se obtiene con el enfoque basado en la inteligencia, que implica escenarios de prueba que se basan en situaciones reales y en hechos conocidos, y que tiene como objetivo poner a prueba al red team. Los ejercicios que no están basados en la inteligencia se basan en situaciones específicamente derivadas y concretas que tienden a ajustarse a los puntos fuertes de un red team determinado.
2. ¿Queremos desarrollar situaciones de forma más eficaz?
La cyber threat intelligence ayudará a identificar los sistemas que se van a fijar como objetivos y a planificar los ataques. Esto da como resultado el desarrollo de situaciones realistas que el red team puede llevar a cabo.
3. ¿Nos interesa informar a las partes interesadas sobre cómo nos fijan como objetivo los adversarios del mundo real y sobre lo lejos que podrían llegar?
La evaluación de un ejercicio basado en la inteligencia incluye un repetición de las situaciones entre los equipos de ataque y defensa. Se evalúan las habilidades defensivas y se llevan a cabo las actividades de remediación correspondientes con el objetivo de crear ciberdefensas más sólidas.
Los marcos y regulaciones publicados a lo largo de los años promueven que se establezcan normas de ciberseguridad adecuadas. Sin embargo, no se han proporcionado a las organizaciones suficientes directrices sobre cómo poner a prueba la resiliencia de su negocio contra las ciberamenazas. Los bancos centrales y los reguladores han incorporado nuevas normas marco, como por ejemplo CBEST y TIBER, para poder aumentar la resiliencia de los sistemas críticos de negocio.
El uso de estas normas para llevar a cabo la recolección de la cyber threat intelligence y de las operaciones de red teaming proporciona múltiples beneficios, entre los que se incluye: