ThreatQuotient está a punto de cumplir dos años de en España. ¿En qué momento se encuentra la compañía?
Estamos cumpliendo hitos importantes. Ya somos la plataforma de gestión de inteligencia de referencia y estamos ayudando a grandes empresas a elevar la forma de pensar en ciberinteligencia desde un punto de vista más estratégico. Esto es muy importante, ya que es el punto donde se pasa de usar la información-ciberinteligencia desde un punto de vista reactivo a utilizarla para la anticipación y el conocimiento de los adversarios.
¿Cómo está evolucionando la inversión en plataformas de inteligencia en el mundo, en general, y en España, en particular?
El uso de fuentes de inteligencia es cada vez más generalizado en las grandes empresas y, por supuesto, en los gobiernos. Sin embargo, la utilización de plataformas de gestión de ciberinteligencia, que consiguen hacer actuable esa inteligencia, acelerar procesos y generar conocimiento, lleva una velocidad diferente en función de la madurez de cada empresa o mercado. Las compañías más maduras invierten más y suelen tener entre cinco y ocho fuentes especializadas de las que sus analistas sacan la información más relevante. Estas empresas necesitan el apoyo de una plataforma que les ayude a analizar, relacionar, priorizar, automatizar procesos y adquirir conocimiento de sus adversarios.
En este sentido, hay varias velocidades, con países muy maduros donde la inversión en estas plataformas es elevada. En España, la inversión en fuentes de inteligencia se está acelerando, aunque todavía hace falta tiempo para llegar a la madurez que se ve en otros países; pero se va evolucionado muy favorablemente.
¿Cuáles son las principales características de la plataforma de inteligencia de ThreatQuotient y cuáles las diferencias más significativas con los SOAR o similares?
ThreatQ es una plataforma de gestión de ciberinteligencia [TIP, por sus siglas en inglés] cuya principal labor es ingerir datos de inteligencia de todo tipo, relacionarlos y normalizarlos, de manera que los analistas puedan tener la información de muchas fuentes diferentes, no estructuradas, etcétera, en un formato único que no solo haga fácil conocer la amenaza, sino también trabajar y automatizar procesos de manera sencilla.
La principal diferencia con un SOAR clásico es el foco en lo que se automatiza y la capacidad de aprendizaje sobre amenazas. Con una TIP los procesos que se automatizan van orientados a hacer inteligencia de amenazas, con lo que, principalmente, llevan tareas relacionadas con esto. El proceso de automatización se hace centrado en datos, no en procesos, lo que hace que las tareas se desencadenen en función de prioridades y eventos relativos a los datos. En un SOAR estándar, estos procesos se organizan en tareas que no aprenden ni tienen relación con los datos que procesan.
El resultado final es que, cuando se automatizan tareas de Threat Intelligence en una TIP, el resultado se vuelve a almacenar en la TIP, y el histórico y los resultados obtenidos influyen en otros datos, lo permite generar conocimiento. En el SOAR estándar, cuando un dato se procesa no se tiene en cuenta para qué ha servido. Por ejemplo, si un EDR responde a un indicador de compromiso que le hemos enviado, desencadenará una serie de acciones y quizá tenga repercusión en otros indicadores de compromiso o procesos… Por su parte, una TIP guarda el histórico y todos los análisis, lo que aporta mucho valor para comprender la amenaza y los adversarios. Genera conocimiento e inteligencia.
La TIP es el centro neurálgico para el análisis y gestión de amenazas, la adquisición de conocimiento y la automatización de procesos relativos a inteligencia.
«La plataforma de gestión de ciberinteligencia es el centro neurálgico para la adquisición de conocimiento y la automatización de procesos»
¿Cuáles son las necesidades que les trasladan los responsables de los SOC en cuanto a los procesos de generación de ciberinteligencia?
Sobre todo, la necesidad de liberar a los analistas de muchas tareas que no requieren de la mente humana, para que así puedan dedicarse plenamente a las funciones donde realmente aportan valor.
Otra parte muy importante es mantener el conocimiento en la empresa. Una TIP guarda el histórico de amenazas, su resolución, análisis, etcétera. Esto hace que cada vez que nos llega una amenaza, esta no sea realmente nueva. El conocimiento deja de depender estrictamente de las personas y se puede compartir a través de la TIP.
Actualmente, con tanta rotación de profesionales y con las necesidades de productividad que hay en los centros de operaciones, son dos puntos clave.
¿Qué tipo de indicadores, datos, información, etcétera, necesitan más los SOC para generar inteligencia y cómo ayuda su plataforma a conseguirlo?
El valor está no tanto en los indicadores, sino en cómo relacionar estos indicadores para llegar a un entendimiento más estratégico de una amenaza. Si habláramos de indicadores, las conclusiones que sacaríamos son del estilo: «hemos bloqueado 450 IP maliciosas y 100 hashes de ficheros de mala reputación». Esto está bien desde un punto de vista técnico, pero si somos capaces de aglutinar relaciones con adversarios, campañas, etcétera, la conclusión podría ser del estilo: «estamos parando un ataque del actor APT29 que está atacando a mi empresa, y además como sé qué tácticas, técnicas y herramientas usa, voy a adoptar medidas para bloquearle no solo ahora sino también en el futuro o hacer una tarea de Threat Hunting para saber si ha conseguido entrar en mi red de alguna forma».
Son dos puntos de vista muy diferentes. El primero es técnico y reactivo, no genera conocimiento y no ayuda a la anticipación; el segundo es más estratégico, genera conocimiento sobre el adversario y nos ayuda a anticiparnos.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de esta entrevista.
¿Quieres leer el contenido completo?
