En un artículo reciente preguntamos a los profesionales de la ciberseguridad qué características debe tener un programa de Cyber-Threat Intelligence (CTI) para ser considerado maduro. Según un informe de la firma de investigación Enterprise Strategy Group (ESG), las características clave de un programa CTI maduro son la difusión de informes a una audiencia amplia, el análisis de cantidades masivas de datos de amenazas y la integración de CTI con muchas tecnologías de seguridad. Lamentablemente, la mayoría de los programas CTI están lejos de estar maduros, pero esto podría cambiar en los próximos años a medida que la mayoría de las empresas inviertan más en estos programas. Durante los próximos 12 a 18 meses, el 63% de las empresas planea aumentar “significativamente” su gasto en programas de CTI, y el 34% de ellas planea aumentar el gasto “un poco”.

Pero ¿por qué invertir en CTI? Porque la inteligencia sobre amenazas cibernéticas puede proporcionar beneficios tecnológicos y comerciales. El estudio ESG revela que el gran interés por los programas CTI surge de la necesidad de conocer las amenazas que podrían pesar sobre las empresas involucradas en fusiones y adquisiciones, la de conocer la amenaza de hackers individuales o de grupos adversarios que planean ataques dirigidos, y la necesidad de aprender sobre las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas para que las empresas puedan fortalecer sus defensas de seguridad.

Índice
  1. Un enfoque liderado por los CISO
  2. Sun Tzu al rescate

Un enfoque liderado por los CISO

La razón por la que los CISO buscan invertir más en inteligencia sobre amenazas es porque creen que estas inversiones pueden mitigar los riesgos cibernéticos y al mismo tiempo mejorar la prevención y detección de amenazas. En los próximos 12 a 24 meses, el 30% de las empresas darán prioridad a compartir informes de inteligencia sobre amenazas con grupos internos. Este es un paso en la dirección correcta porque la inteligencia sobre amenazas tiene valor más allá del centro de operaciones de seguridad (SOC) y puede mejorar la inteligencia de alertas. Los CISO pueden utilizar las CTI para priorizar las inversiones y validar los controles de seguridad, mientras que los gerentes comerciales pueden equilibrar las iniciativas de transformación digital con decisiones más profundas de gestión de riesgos. La difusión de CTI y los comentarios de los consumidores son fases clave de un ciclo de vida maduro de inteligencia sobre amenazas. Además, el 27% de las empresas invertirá de forma prioritaria en servicios digitales de protección de riesgos (PRD). A medida que las empresas amplían su huella digital, necesitan comprender mejor los riesgos que conlleva. Los servicios de protección de riesgos digitales brindan esta visibilidad al monitorear las fugas de datos en línea, la reputación de la marca, las vulnerabilidades de la superficie de ataque y las discusiones sobre la planificación de ataques en la web oscura o profunda. web.

El 27% de las empresas priorizarán la integración con otras tecnologías de seguridad. Más allá de los puntos finales, el correo electrónico y los perímetros de red, los CISO quieren la integración de CTI con herramientas de seguridad en la nube, soluciones de gestión de eventos e información de seguridad (SIEM) y soluciones de detección y respuesta extendidas (XDR), así como herramientas de Security Service Edge (SSE) como Secure Web Gateway (SWG) y brokers de servicios de acceso a la nube (Cloud Access Service Brokers, CASB). Una mayor integración significa bloquear más indicadores de compromiso (IoC) y desarrollar una defensa más integral basada en amenazas. El 27% de las organizaciones darán prioridad a la adquisición de una plataforma de inteligencia sobre amenazas (TIP) para recopilar, procesar, analizar y compartir inteligencia sobre amenazas. Los TIP, que antes eran prerrogativa de las empresas más grandes, se están volviendo cada vez más populares. En mi opinión, gran parte de este gasto se destinará a proveedores de servicios como Flashpoint, Mandiant, Rapid7 (Intsights), Recorded Future, Reliaquest (Digital Shadows), SOCRadar y ZeroFox. Grandes actores como Cisco, CrowdStrike, IBM, Microsoft y Palo Alto Networks también captarán una buena parte de este mercado.

Sun Tzu al rescate

Finalmente, el 26% de las empresas priorizará el desarrollo de un programa más formal. Las empresas se están dando cuenta de que ya no pueden depender de unas pocas fuentes abiertas de inteligencia sobre amenazas y dejar que analistas a tiempo parcial las revisen. Necesitan personas y procesos para ejecutar un ciclo de vida completo de CTI. A medida que los CISO reorganicen sus operaciones internas, la mayoría dependerá de proveedores de servicios, como los mencionados anteriormente, para hacer el trabajo pesado. Como dice la famosa cita del general y estratega chino Sun Tzu: “Quien conoce a los demás y se conoce a sí mismo puede librar cien batallas sin correr peligro”. Las empresas con programas CTI maduros se conocen a sí mismas, conocen al enemigo y utilizan ese conocimiento para optimizar la mitigación del riesgo cibernético y las defensas de seguridad.