Hoy, 4 de octubre, finaliza la edición número 29 de Virus Bulletin Conference, un evento que reúne a investigadores, analistas y CISOs de todo el mundo para que presenten sus trabajos en materia de ciberseguridad.

Dada la importancia del intercambio de información para la industria, se dedicó una jornada para abordar distintos aspectos de la inteligencia de amenazas dentro de las actividades denominadas Threat Intelligence Practitioners' Summit. Por lo que en este artículo revisaremos algunas de las ideas expuestas en esta serie de conferencias y paneles de debate, que parten de la premisa de que no es posible defenderse de lo que no se comprende.

El desarrollo de la inteligencia de amenazas

Aunque el Threat Intelligence o de inteligencia de amenazas no es nuevo, adquirió cada vez más relevancia en los últimos años debido a la necesidad de colaboración e intercambio de información.

Si bien la industria de la ciberseguridad ha utilizado y compartido datos desde su inicio, en la actualidad se cuenta con una gran cantidad de información sobre las más diversas y complejas amenazas identificadas a lo largo de los años.

Sin embargo, dada la cantidad de datos generados a diario, resulta necesario el desarrollo de modelos que faciliten y agilicen la entrega de dicha información, con el propósito de detectar, mitigar y resolver amenazas de manera oportuna.

Por esta razón, nuevas técnicas se han considerado para Threat Intelligence, como es el caso de Machine Learning y el de Inteligencia Artificial, donde el aprendizaje automatizado se ha convertido en una herramienta necesaria; aunque es importante destacar que este tipo de modelos resultan efectivos cuando son entrenados con grandes cantidades de datos, que a su vez deben estar correctamente etiquetados y clasificados.

En otras palabras, los resultados que se obtengan a partir del uso de estas técnicas dependen de la calidad de la información utilizada en los modelos, ya que el uso de datos inadecuados para los algoritmos, intencional o accidentalmente, puede generar resultados inesperados o poco útiles. Además, en este proceso no se debe dejar de lado la experiencia humana.

¿Compartir o no compartir inteligencia de amenazas?

La industria de la ciberseguridad continuamente aborda la importancia de compartir información sobre inteligencia de amenazas. Sin embargo, aún persisten ideas que pueden aminorar la intención de colaborar.

En este sentido, dentro de estas actividades en VB2019, se presentó el panel denominado “Bursting the myths about Threat Intelligence sharing”, el cual abordó varios aspectos que deben ser tomados en cuenta, a la vez que se desmitificaron ideas entorno al intercambio de información.

Algunas posturas, por ejemplo, creen que si se comparte inteligencia de amenazas podrían revelarse ventajas, mostrarse deficiencias o debilidades, o bien que la información que otros comparten podría resultar falsa. Sin duda alguna, ideas que pueden resultar erróneas y que además podrían dejar de lado la colaboración.

También aparecen otro tipo de limitantes, incluso de tipo técnico, como puede ser la falta de normalización de la información que se pudiera intercambiar o la ausencia de estándares. Como resultado, estas condiciones pueden inhibir la intención de compartir información.

Para evitar este escenario, durante esta actividad en Virus Bulletin, se hizo hincapié en una idea importante: si se comparte información las organizaciones tienen la posibilidad de contar con un panorama mayor, o incluso completo, ya que cuando únicamente se utilizan datos propios, la perspectiva está sesgado.

A modo de ejemplo, consideremos el caso de una amenaza que afecta negativamente a una organización y que a su vez podría generar estragos a todo un sector. Cuanta más información se obtenga sobre la amenaza se podrán tomar mejores decisiones y acciones más efectivas.

En este sentido, sea cual sea la razón que impida que las organizaciones compartan información, ya sean cuestiones técnicas, operacionales, culturales, éticas, o incluso de negocio, es importante que puedan ser superados para que la cooperación dentro de la industria contribuya a un entorno cada vez más seguro. La colaboración e intercambio de información beneficia a todos.

Marcos de trabajo y herramientas para el intercambio de información sobre amenazas

Además de los puntos antes expuestos, es necesario que el proceso del intercambio de información cuente con sistemas que faciliten y agilicen el proceso de colaboración, ya que lejos de incentivar la confianza y uso de la inteligencia de amenazas, podrían contribuir a la incertidumbre y desconfianza.

Por ello, se han desarrollado iniciativas y herramientas que contribuyen a esta tarea, tal es el caso del marco de trabajo ATT&CK, desarrollado por MITRE, que adopta otras herramientas para facilitar el intercambio de información. Este punto fue abordado en la conferencia “Technical developments in sharing – a discussion of STIX 2.0 and MITRE ATT&CK Framework”.

Recordemos que ATT&CK es una base de conocimiento de tácticas y técnicas, basada en las operaciones de adversarios del mundo real; cada vez más utilizada por la comunidad de ciberseguridad como una forma común de describir la conducta de atacantes. El propósito es adoptar este tipo de soluciones que facilitan y agilizan el intercambio de información, que además son soportados por otras herramientas como Structured Threat Information Expression (STIX), un lenguaje que permite el manejo de formatos estándar para indicadores de sospecha, compromiso y atribución, que además puede representarse de manera visual.

Además, otras herramientas como el protocolo Trusted Automated Exchange of Intelligence Information (TAXII) son utilizados y recomendados para el intercambio de inteligencia de ciberamenazas (CTI por las siglas en inglés de Cyber Threat Intelligence). La combinación de estas soluciones acerca cada vez más a la idea de compartir inteligencia de amenazas.

Inteligencia de amenazas, un entorno de colaboración

Como resultado de una jornada de trabajo entorno a la inteligencia de amenazas, donde se abordaron desde nuevos paradigmas para Threat intelligence hasta herramientas para facilitar esta actividad, e incluso el tema de la importancia y necesidad de la colaboración, quedó de manifiesto la importancia de que las organizaciones puedan recolectar, analizar, compartir y utilizar información sobre las amenazas.

Este proceso no solo implica compartir información, si no también consumirla, por lo que todos los involucrados resultarán beneficiados. Como resultado, las organizaciones podrán crear defensas más ágiles y fuertes, mientras que los fabricantes tendrán herramientas para crear productos y servicios de seguridad cada vez más efectivos. Para defenderse, es necesario conocer a los adversarios y las amenazas de manera proactiva.