La interdependencia entre la recopilación automatizada de inteligencia sobre amenazas y los humanos


El volumen de vulnerabilidades de ciberseguridad está aumentando, y cerca de 30% más de vulnerabilidades encontradas en 2022 vs. 2018. Los costos también están aumentando, y una filtración de datos en 2023 costará 4,45 millones de dólares de media frente a 3,62 millones de dólares en 2017.

En el segundo trimestre de 2023, se reclamaron un total de 1386 víctimas por ataques de ransomware en comparación con solo 831 en el primer trimestre de 2023. El ataque MOVEit se ha cobrado más de 600 víctimas hasta ahora y ese número sigue aumentando.

Para las personas que trabajan hoy en día en ciberseguridad, el valor de la inteligencia automatizada sobre amenazas probablemente sea bastante obvio. Los crecientes números especificados anteriormente, combinados con la falta de profesionales de ciberseguridad disponiblese, significa que la automatización es una solución clara. Cuando las operaciones de inteligencia de amenazas se pueden automatizar, las amenazas se pueden identificar y responder con menos esfuerzo por parte de los ingenieros.

Sin embargo, un error que a veces cometen las organizaciones es asumir que una vez que han automatizado los flujos de trabajo de inteligencia sobre amenazas, los humanos quedan fuera de escena. Combinan la automatización con inteligencia sobre amenazas completamente sin intervención humana y sin intervención humana.

En realidad, los humanos tienen papeles muy importantes que desempeñar, incluso (o quizás especialmente) en operaciones altamente automatizadas. Como dice Pascal Bornet de Aera Technology: “La automatización inteligente tiene que ver con las personas.,” y la inteligencia automatizada sobre amenazas no es una excepción.

Inteligencia de amenazas automatizada: una breve historia

Inteligencia de amenazas no siempre estuvo automatizado. Fue un proceso reactivo. Cuando surgía un problema, el equipo del Centro de Operaciones de Seguridad (SOC) (o, en determinadas industrias, un equipo antifraude dedicado a recopilar información sobre los riesgos) lo investigaba manualmente. Buscaron en la web oscura más información sobre las amenazas, tratando de descubrir qué amenazas eran relevantes y cómo los actores de amenazas planeaban actuar.

A partir de ahí, las operaciones de inteligencia sobre amenazas se volvieron poco a poco más proactivas. Los analistas e investigadores de amenazas se esforzaron por identificar los problemas antes de que afectaran a sus organizaciones. Esto condujo a la inteligencia predictiva de amenazas, que permitió a los equipos identificar las amenazas antes de que los actores de amenazas estuvieran indecisos, tratando de entrar.

Sin embargo, la inteligencia proactiva sobre amenazas no era inteligencia sobre amenazas automatizada. Los flujos de trabajo eran muy manuales. Los investigadores buscaron a mano a los actores de amenazas, encontraron los foros donde pasaban el rato y charlaron con ellos. Ese enfoque no tuvo éxito porque requeriría un ejército de investigadores para encontrar e involucrar a todos los actores de amenazas en la web.

Para abordar esa deficiencia, surgió la inteligencia automatizada sobre amenazas. Las primeras formas de automatización implicaban rastrear la web oscura automáticamente, lo que hacía posible encontrar problemas más rápido con mucho menos esfuerzo por parte de los investigadores. Luego, las automatizaciones de inteligencia de amenazas fueron más profundas y obtuvieron la capacidad de rastrear foros cerrados, como grupos de Telegram y canales de Discord, y otros lugares donde se reúnen los actores de amenazas, como los mercados. Esto significó que la inteligencia automatizada sobre amenazas podría extraer información de la web abierta, la web oscura y la web profunda (incluidos los canales sociales), haciendo que todo el proceso sea más rápido, escalable y efectivo.

Resolviendo el desafío de los datos de inteligencia de amenazas

La inteligencia de amenazas automatizada ayudó a los equipos a operar de manera más eficiente, pero presentó un desafío novedoso: cómo administrar y dar sentido a todos los datos que produjeron los procesos automatizados de inteligencia de amenazas.

Este es un desafío que surge cada vez que se recopilan grandes cantidades de información. “Más datos, más problemas,” como cableado lo pone.

El principal problema que enfrentan los equipos cuando trabajan con grandes cantidades de datos de inteligencia sobre amenazas es que no todos son realmente relevantes para una organización determinada. Gran parte de esto involucra amenazas que no afectan un negocio en particular, o simplemente “ruido”; por ejemplo, una discusión de un actor de amenazas sobre su serie de anime favorita o qué tipo de música escuchan mientras escriben vulnerabilidades.

La solución a este desafío es introducir una capa adicional de automatización mediante la aplicación de procesos de aprendizaje automático a los datos de inteligencia sobre amenazas. En general, el aprendizaje automático (ML) hace que sea mucho más fácil analizar grandes cantidades de datos y encontrar información relevante. En particular, ML permite estructurar y etiquetar datos de inteligencia sobre amenazas y luego encontrar la información que sea relevante para su negocio.

Por ejemplo, una de las técnicas que Ciberint Lo que utilizamos para procesar datos de inteligencia de amenazas es correlacionar los activos digitales de un cliente (como dominios, direcciones IP, marcas y logotipos) con nuestro lago de datos de inteligencia de amenazas para identificar riesgos relevantes. Si un registro de malware contiene “examplecustomerdomain.com”, por ejemplo, lo marcaremos y alertaremos al cliente. En los casos en que este dominio aparezca en el campo de nombre de usuario, es probable que las credenciales de un empleado se hayan visto comprometidas. Si el nombre de usuario es una cuenta de correo electrónico personal (por ejemplo, Gmail) pero la página de inicio de sesión está en el dominio de la organización, podemos asumir que se trata de un cliente al que le han robado sus credenciales. El último caso es una amenaza menor, pero Cyberint alerta a los clientes sobre ambos riesgos.

El papel de los humanos en la inteligencia de amenazas personalizada

En un mundo donde hemos automatizado completamente la recopilación de datos de inteligencia sobre amenazas y, además, hemos automatizado el análisis de los datos, ¿pueden los humanos desaparecer por completo del proceso de inteligencia sobre amenazas?

La respuesta es un rotundo no. La inteligencia sobre amenazas eficaz sigue dependiendo en gran medida de los humanos, por varias razones.

Configuración de automatización

Para empezar, los humanos tienen que desarrollar programas que impulsen la inteligencia automatizada sobre amenazas. Necesitan configurar estas herramientas, mejorar y optimizar su rendimiento y agregar nuevas funciones para superar nuevos obstáculos, como los captchas. Los seres humanos también deben indicar a las herramientas de recopilación automatizadas dónde buscar datos, qué recopilar, dónde almacenarlos, etc.

Además, los humanos deben diseñar y entrenar los algoritmos que analizan los datos una vez completada la recopilación. Deben garantizar que las herramientas de inteligencia de amenazas identifiquen todas las amenazas relevantes, pero sin realizar búsquedas tan amplias que muestren información irrelevante y produzcan una avalancha de alertas de falsos positivos.

En resumen, las automatizaciones de inteligencia sobre amenazas no se crean ni configuran por sí solas. Se necesitan humanos capacitados para hacer ese trabajo.

Optimización de automatizaciones

En muchos casos, las automatizaciones que los humanos construyen inicialmente resultan no ser ideales, debido a factores que los ingenieros no pudieron predecir inicialmente. Cuando eso sucede, los humanos deben intervenir y mejorar las automatizaciones para poder conducir. inteligencia de amenazas procesable.

Por ejemplo, imagine que su software genera alertas sobre la venta de credenciales de su organización en la web oscura. Pero tras una investigación más detallada, resulta que son credenciales falsas, no credenciales que los actores de amenazas hayan robado, por lo que no existe ningún riesgo real para su organización. En este caso, las reglas de automatización de inteligencia de amenazas deberían actualizarse para validar las credenciales, tal vez cotejando el nombre de usuario con un sistema IAM interno o un registro de empleados, antes de emitir la alerta.

Seguimiento de la evolución de la automatización de amenazas

Las amenazas siempre están evolucionando y los humanos deben asegurarse de que las herramientas estratégicas de inteligencia sobre amenazas evolucionen con ellas. Deben realizar la investigación necesaria para identificar las ubicaciones digitales de las nuevas comunidades de actores de amenazas, así como nuevas estrategias de ataque, y luego utilizar herramientas de recopilación de inteligencia para mantenerse al día con el panorama de amenazas en evolución.

Por ejemplo, cuando los actores de amenazas comenzaron usando ChatGPT para generar malware, las herramientas de inteligencia de amenazas necesitaban adaptarse para reconocer la nueva amenaza. Cuando Foros expuestos Surgió, los investigadores humanos detectaron el nuevo foro y actualizaron sus herramientas para recopilar inteligencia de esta nueva fuente. Del mismo modo, el cambio a Telegram por parte de los actores de amenazas requirió que las herramientas de inteligencia de amenazas se reconfiguraran para rastrear canales adicionales.

Validar automatizaciones

A menudo, las automatizaciones deben validarse para garantizar que estén creando la información más relevante. Las grandes organizaciones reciben toneladas de alertas y el filtrado automático de ellas solo llega hasta cierto punto. A veces, se necesita un analista humano para entrar y evaluar una amenaza.

Por ejemplo, tal vez las herramientas automatizadas de inteligencia sobre amenazas hayan identificado un posible sitio de phishing que puede estar haciéndose pasar por la marca monitoreada. Quizás el nombre de la marca esté en una URL particular, ya sea en un subdominio, el dominio principal o un subdirectorio. Podría ser un sitio de phishing, pero también podría ser un “sitio web de fans”, es decir, un sitio creado por alguien que rinde homenaje a la marca (por ejemplo, escribiendo críticas positivas, describiendo experiencias favorables con su marca y sus productos, etc.). Para notar la diferencia, se requiere que un analista investigue la alerta.

Descarga nuestra guía: El gran libro de la Web profunda y oscura

Los beneficios y limitaciones de la inteligencia automatizada sobre amenazas

La automatización es una excelente manera de recopilar datos de inteligencia sobre amenazas en las webs abiertas, profundas y oscuras. La automatización se puede utilizar (en forma de aprendizaje automático) para ayudar a analizar la información de inteligencia sobre amenazas de manera eficiente.

Pero los algoritmos de automatización deben ser escritos, mantenidos y optimizados por humanos de forma continua. También se necesitan humanos para clasificar alertas, descartar falsos positivos e investigar amenazas potenciales. Incluso con el de hoy soluciones avanzadas de IA, es difícil imaginar un mundo donde estas tareas puedan automatizarse completamente de tal manera que no se requiera interacción humana. Esto puede ser posible en el mundo de la ciencia ficción, pero ciertamente no es una realidad que veremos hacerse realidad en un futuro próximo.

Las capacidades de escaneo de la web profunda y oscura de Cyberint ayudan a identificar riesgos relevantes para las organizaciones, desde fugas de datos y credenciales expuestas hasta infecciones de malware y conversaciones dirigidas en foros de actores de amenazas. Cyberint ofrece alertas de inteligencia impactantes, lo que ahorra tiempo a los equipos al reducir la tasa de falsos positivos y acelerar los procesos de investigación y respuesta.

Compruébelo usted mismo por solicitando una demostración de Cyberint.


¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57