Red Seguridad 099

red seguridad cuarto trimestre 2022 61 entrevista sas necesitan el apoyo de una platafor- ma que les ayude a analizar, relacionar, priorizar, automatizar procesos y adquirir conocimiento de sus adversarios. En este sentido, hay varias velocida- des, con países muy maduros donde la inversión en estas plataformas es eleva- da. En España, la inversión en fuentes de inteligencia se está acelerando, aunque todavía hace falta tiempo para llegar a la madurez que se ve en otros países; pero se va evolucionado muy favorablemente. ¿Cuáles son las principales caracterís- ticas de la plataforma de inteligencia de ThreatQuotient y cuáles las diferen- cias más significativas con los SOAR o similares? ThreatQ es una plataforma de gestión de ciberinteligencia [TIP, por sus siglas en inglés] cuya principal labor es ingerir datos de inteligencia de todo tipo, relacio- narlos y normalizarlos, de manera que los analistas puedan tener la información de muchas fuentes diferentes, no estructura- das, etcétera, en un formato único que no solo haga fácil conocer la amenaza, sino también trabajar y automatizar procesos de manera sencilla. La principal diferencia con un SOAR clásico es el foco en lo que se automa- tiza y la capacidad de aprendizaje sobre amenazas. Con una TIP los procesos que se automatizan van orientados a hacer in- teligencia de amenazas, con lo que, prin- cipalmente, llevan tareas relacionadas con esto. El proceso de automatización se hace centrado en datos, no en proce- sos, lo que hace que las tareas se des- encadenen en función de prioridades y eventos relativos a los datos. En un SOAR estándar, estos procesos se organizan en tareas que no aprenden ni tienen relación con los datos que procesan. El resultado final es que, cuando se automatizan tareas de Threat Intelligence en una TIP, el resultado se vuelve a alma- cenar en la TIP, y el histórico y los resul- tados obtenidos influyen en otros datos, lo permite generar conocimiento. En el SOAR estándar, cuando un dato se pro- cesa no se tiene en cuenta para qué ha servido. Por ejemplo, si un EDR responde a un indicador de compromiso que le he- mos enviado, desencadenará una serie de acciones y quizá tenga repercusión en otros indicadores de compromiso o procesos… Por su parte, una TIP guarda el histórico y todos los análisis, lo que aporta mucho valor para comprender la amenaza y los adversarios. Genera cono- cimiento e inteligencia. La TIP es el centro neurálgico para el análisis y gestión de amenazas, la adqui- sición de conocimiento y la automatiza- ción de procesos relativos a inteligencia. ¿Cuáles son las necesidades que les trasladan los responsables de los SOC en cuanto a los procesos de generación de ciberinteligencia? Sobre todo, la necesidad de liberar a los analistas de muchas tareas que no re- quieren de la mente humana, para que así puedan dedicarse plenamente a las funciones donde realmente aportan valor. Otra parte muy importante es mantener el conocimiento en la empresa. Una TIP guarda el histórico de amenazas, su re- solución, análisis, etcétera. Esto hace que cada vez que nos llega una amenaza, esta no sea realmente nueva. El conoci- miento deja de depender estrictamente de las personas y se puede compartir a través de la TIP. Actualmente, con tanta rotación de profesionales y con las necesidades de productividad que hay en los centros de operaciones, son dos puntos clave. ¿Qué tipo de indicadores, datos, infor- mación, etcétera, necesitan más los SOC para generar inteligencia y cómo ayuda su plataforma a conseguirlo? El valor está no tanto en los indicadores, sino en cómo relacionar estos indicado- res para llegar a un entendimiento más estratégico de una amenaza. Si hablá- ramos de indicadores, las conclusiones que sacaríamos son del estilo: “hemos bloqueado 450 IP maliciosas y 100 has- hes de ficheros de mala reputación”. Esto está bien desde un punto de vista técni- co, pero si somos capaces de aglutinar relaciones con adversarios, campañas, etcétera, la conclusión podría ser del esti- lo: “estamos parando un ataque del actor APT29 que está atacando a mi empresa, y además como sé qué tácticas, técnicas y herramientas usa, voy a adoptar medi- das para bloquearle no solo ahora sino también en el futuro o hacer una tarea de Threat Hunting para saber si ha consegui- do entrar en mi red de alguna forma”. Son dos puntos de vista muy diferen- tes. El primero es técnico y reactivo, no genera conocimiento y no ayuda a la anticipación; el segundo es más estra- tégico, genera conocimiento sobre el adversario y nos ayuda a anticiparnos. “La plataforma de gestión de ciberinteligencia es el centro neurálgico para la adquisición de conocimiento y la automatización de procesos”