Aconsejamos crear un plan de inteligencias de amenazas en nuestra organización. Esto ha marcado la diferencia de nuestro éxito. Nuestro aliado #itNow nos trae una nota de consejos para crear un plan.
Es imprudente que las empresas tengan un plan de seguridad de datos únicamente para su información sensible. Cualquier tipo de información, desde el nombre de los empleados hasta su perfil en redes sociales puede ser crucial para los atacantes.
Muchas empresas creen que saben dónde están las llaves a su reino y dónde se encuentran los puntos de entrada. Por desgracia, pronto descubren que las infracciones más graves a menudo tienen lugar en otra área.
Para iniciare eficazmente un plan de inteligencias de amenazas, es necesario que haga una exhaustiva recopilación de datos para analizar, desde su información más sensible, hasta las direcciones de sus empleados en Facebook, y por supuesto, contar el personal capacitado para hacer ese análisis.
Las organizaciones no tendrán éxito si no recogen y analizan un flujo continuo de datos completos que requiere algo más que una instantánea ventana de tiempo limitado. Los datos deben recopilarse antes, durante y después de que la actividad maliciosa se lleve a cabo.
“Las empresas también tienen que incluir los datos desde el interior y a través de la red, de todos y cada punto final y potencialmente incluso de fuentes externas y públicas situadas fuera de la red”, señala Alan Hall, director de estrategia y marketing de producto para la protección contra amenazas avanzadas de Grupo de Blue Coat Systems. “De lo contrario, se limitarán las respuestas, en el mejor de los casos.”
Ser capaz de responder a un incidente es la clave de la reposición frente al ataque. Esto requiere de contexto de información más allá de lo capturado en forma cruda. El contexto puede ser utilizado para identificar un ataque avanzado o de otra forma encubierto para darle los medios para determinar la mejor manera de reaccionar.
“Para gestionar adecuadamente los incidentes de seguridad, las organizaciones no sólo necesitan recoger datos, sino también analizar los datos en tiempo real, y luego almacenar los datos para que pueda ser utilizados más tarde para correlacionarlo contra la nueva información en tiempo real”, dice Travis Smith, ingeniero de seguridad superior de Investigación de Tripwire. “El desafío es … el almacenamiento de datos cuesta dinero, además la gestión y el uso de los datos puede ser un problema real también.”
Es necesario que se capture absolutamente todos los datos de registro e ir más allá de ellos de ser necesario “organizar un poco su propia red interna. También debe atar sesiones juntas para capturar secuencias de paquetes y, finalmente, realizar una captura de paquetes completos”, afirmó Smith.
También se deben considerar las alimentaciones externas de información que no pueden ser tradicionalmente categorizados como datos de seguridad. Esto incluye la actividad de Facebook, la búsqueda de empleo y otras fuentes de datos disponibles para usted.
“Inteligencia de código abierto con los datos de la empresa es juego limpio en estas circunstancias”, añade Travis. Estas fuentes de datos pueden no parecerse a los datos de seguridad, pero pueden cambiar dramáticamente el contexto de estos y proporcionar una nueva forma para que las empresas vean a su perfil de riesgo.
Por supuesto, para hacer inteligencia de amenazas útilmente, los alimentos deben ser creíbles y basados en fuentes confiables. Esto incluye sus propias fuentes internas. Hay un gran número de aplicaciones que generan una gran cantidad de tráfico interno aparentemente no maliciosa, la mayoría de las cuales está diseñada para compartir datos por lo que los equipos de negocios pueden hacer su trabajo.
