Cómo aprovechar las plataformas MISP y TheHive para adelantarse a las ciberamenazas
POR AltoDirectivo,
28-06-2021 16:00:00
AltoDirectivo
Muchos equipos de ciberseguridad europeos dependen de dos plataformas principales de código abierto dentro de sus operaciones de seguridad (SecOps). La primera es Malware Information Sharing Platform (MISP), que permite almacenar y compartir indicadores de compromiso (IoC) con otros usuarios de MISP. La segunda es TheHive, diseñada para la respuesta a incidentes de seguridad (IR). Las dos soluciones están estrechamente integradas para que los Centros de Operaciones de Ciberseguridad (SOC), los Equipos de Respuesta para Emergencias Informáticas (CERT) y cualquier profesional de la seguridad puedan actuar con mayor rapidez cuando se producen incidentes.
Para las organizaciones con recursos limitados o que acaban de empezar a crear una práctica de SecOps, MISP y TheHive son herramientas fáciles de usar para ayudar a sus equipos a reaccionar ante las amenazas. Desde la compañía ThreatQuotient, líder en plataformas de operaciones de Ciberinteligencia, consideran que el siguiente paso para mitigar proactivamente el riesgo de toda la gama de amenazas a las que se enfrenta la empresa es aprovechar estas dos plataformas para crear una práctica de inteligencia sobre ciberamenazas (CTI). Para ello, se debe considerar una tercera plataforma que se integre con estas dos soluciones y proporcione cinco capacidades esenciales para una práctica de CTI, de modo que sus equipos puedan adelantarse a las amenazas:
- Agregar todos los datos que se necesitan. Para obtener una comprensión completa de las amenazas a las que se enfrentan las organizaciones se necesita reunir datos internos de todo el ecosistema: el contenido y los datos creados por cada capa de su arquitectura de seguridad, en las instalaciones y en la nube. Con los datos internos correctos sobre amenazas y eventos agregados en una plataforma que sirva de repositorio central, se necesita aumentar y enriquecerlos con datos externos sobre amenazas procedentes de las múltiples fuentes a las que está suscrito -código abierto (MISP y otras), comerciales, gubernamentales, industriales, proveedores de seguridad existentes- así como marcos como MITRE ATT&CK.
- Hacer que los datos sobre amenazas sean utilizables para el análisis y la acción. Con todos los datos sobre amenazas en una ubicación manejable, ahora se necesita entender dónde enfocar los recursos para mitigar el riesgo. Para empezar, la plataforma debe ser capaz de deduplicar y normalizar automáticamente los datos para que tengan un formato uniforme para el análisis y la acción. Dado que estas fuentes de amenazas contendrán inevitablemente algunos datos que no son relevantes para la organización, también se necesita la capacidad de puntuar y priorizar los datos de las amenazas basándose en su definición de prioridad para filtrar automáticamente el ruido.
- Construir la memoria organizativa. Este repositorio central es realmente una biblioteca estructurada que también sirve como memoria organizativa para el aprendizaje y la mejora. A medida que se añaden nuevos datos y aprendizajes a la biblioteca, procedentes de la comunidad del PSIM, de TheHive, de las herramientas internas, de los analistas y de otras fuentes de confianza, la inteligencia se reevalúa automáticamente y se vuelve a priorizar. El programa CTI sigue mejorando al mantener información fiable y oportuna, y la biblioteca ayuda a acelerar las acciones.
- Apoyar casos de uso adicionales. Dado que la inteligencia sobre amenazas es el alma de las operaciones de seguridad, más allá del caso de uso obvio de la gestión de la inteligencia sobre amenazas, un programa CTI le permite abordar otros casos de uso principales. Al integrarse con TheHive, puede dar soporte a la respuesta a incidentes, pero también puede integrarse con un ecosistema de herramientas para dar soporte a otros casos de uso, como la suplantación de identidad, la búsqueda de amenazas, el triaje de alertas y la gestión de vulnerabilidades. En cada uno de estos casos de uso, el contexto es fundamental para comprender el quién, el qué, el dónde, el cuándo, el por qué y el cómo de un ataque.
- Mejora de los informes. Dentro de la plataforma, los paneles de control en tiempo real proporcionan los datos, las métricas y las actualizaciones de estado que son importantes para que cada parte interesada pueda supervisar. Puede proporcionar informes periódicos a la dirección ejecutiva con los KPI (indicadores clave de rendimiento) que son importantes para ellos. También tiene acceso inmediato a la inteligencia relevante organizada en un solo lugar para la presentación de informes ad hoc sobre la última amenaza. Cuando se produce un ataque, se puede estar preparado con información sobre quién está atacando, lo que sabe y las medidas que está tomando para mitigar los daños.
Una vez compartidos estas cinco capacidades, Eutimio Fernández, Country Manager para España de ThreatQuotient concluye: “El PSIM - Physical security information management- es una gran fuente para compartir información. Y la conexión con TheHive acelera la respuesta a los incidentes, que es una prioridad para muchas organizaciones. Aprovechar las dos soluciones para crear un programa CTI lleva a su SecOps al siguiente nivel. Con una plataforma que funciona con ambas y que ha sido creada específicamente para las operaciones de seguridad centradas en las amenazas, los equipos de seguridad no se limitan a reaccionar ante las amenazas, sino que mitigan el riesgo de forma proactiva e incluso se anticipan y previenen los ataques”.
*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER
y a suscribirte a nuestra NEWSLETTER DIARIA.
Alto Directivo
ENVÍE SU COMENTARIO