Cómo evaluar el valor de la inteligencia sobre amenazas a la seguridad para su empresa

Recientemente, cada vez más proveedores hablan de inteligencia sobre amenazas a la seguridad y todos hacen alarde de una gran cantidad de información única sobre vulnerabilidades, malware, redes de ataque y otra información. Pero, ¿es esta inteligencia realmente útil para las empresas? Después de participar en varios intercambios, el autor no puede evitar preguntarse recientemente: ¿cómo evaluar el valor de la inteligencia sobre amenazas a la seguridad desde la perspectiva de las decisiones de compra corporativas? ¿Qué tipo de productos de inteligencia necesitan las empresas?

Sí, la realidad es sombría: la mayoría de las empresas no tienen suficiente gente, tiempo, dinero o energía para responder a las amenazas. Las empresas tienen recursos limitados para dedicar a la seguridad y es probable que los piratas informáticos profesionales organizados siempre vayan unos pasos por delante. Los interminables incidentes de fuga de datos tienen un impacto muy negativo en la reputación y las finanzas corporativas. Por lo tanto, el papel de la inteligencia de amenazas en grandes empresas en industrias clave de alto riesgo que son atacadas con frecuencia es obvia y predecible.

Sin embargo, no es aconsejable lanzar a ciegas inteligencia sobre amenazas a la seguridad. Una empresa puede invertir en la mejor inteligencia del mundo y desplegar la mejor tecnología para defenderse de las amenazas, pero sus sistemas de información aún pueden verse afectados por vulnerabilidades simples que los procedimientos de gestión de seguridad no detectan. Por lo tanto, debemos ignorar conscientemente la retórica de algunos fabricantes y comprender que cuando el sistema básico de seguridad de la información está incompleto, el papel de la inteligencia sobre amenazas a la seguridad es muy limitado. Incluso si una empresa ha acumulado una implementación de sistema de seguridad relativamente completa, debe evaluar cuidadosamente el valor de la inteligencia sobre amenazas y seleccionar los productos y servicios que mejor se adapten a sus propias características y necesidades.

Cinco aspectos utilizados para evaluar el valor de los servicios de inteligencia sobre amenazas: relevancia, accionabilidad, previsibilidad, puntualidad y valor comercial.

Para las empresas, los CISO deberían abandonar la idea de suscribirse a servicios de inteligencia de un único proveedor, cambiar a una plataforma más grande y preguntar sobre alianzas de inteligencia antes de tomar decisiones de compra. Las empresas también deben participar en el intercambio de inteligencia cuando corresponda y, como se mencionó en la Parte 1, la inteligencia recopilada dentro de la misma industria es la más valiosa.

La "invasión organizada" también debería tenerse en cuenta en las predicciones. Estos ataques tienden a ser frecuentes, muy repetitivos y extremadamente dañinos. Por ejemplo, se lanzan intrusiones a gran escala contra empresas financieras y minoristas para robar información privada, y a menudo hay un equipo detrás. Las características de los métodos son relativamente obvias. , y es fácil resumir contramedidas y medidas de defensa. Si los fabricantes pueden identificar y proporcionar sugerencias de prevención de manera específica, el efecto de defensa será obvio, lo que será de gran importancia para los usuarios empresariales de la misma industria. Creo que los usuarios también estarán dispuestos a pagar un alto precio por la compra.

Además, las empresas y los fabricantes deben diversificar los datos de inteligencia tanto como sea posible. No solo debe ser una base de datos de reputación, sino también prestar atención a fuentes de inteligencia como fugas de datos, comportamientos anormales, análisis de escenarios, etc. ., y preste atención a las nuevas tecnologías, como la minería de datos y el aprendizaje automático, que han aportado mejoras significativas en la extracción, inducción y predicción de características.

Los fabricantes de seguridad extranjeros ya han tenido muchos casos exitosos en la identificación de URL maliciosas, el descubrimiento de nuevos troyanos, la detección de intrusiones y el análisis de comportamientos anormales.