Maximizar el potencial de las fuentes de inteligencia sobre amenazas de código abierto
Las fuentes de inteligencia de código abierto pueden ser una parte importante de la seguridad de la información, pero su valor depende de cómo se seleccionen, ingieran y aprovechen.
Los feeds de código abierto son una fuente popular y abundante de indicadores de inteligencia de amenazas. Estos feeds provienen de una variedad de fuentes: empresas, proyectos especiales, honeypots, colaboradores individuales y más. Hay cientos entre los que elegir, lo que constituye una enorme reserva de millones de indicadores de riesgo (IOC) que pueden incorporarse a los sistemas de seguridad.
Los feeds de inteligencia sobre amenazas de código abierto son atractivos por varias razones. Una de las razones más obvias es su precio, absolutamente nada. Esto es fundamental para las organizaciones más pequeñas que carecen de los recursos necesarios para disponer de fuentes sólidas de inteligencia. Dejando a un lado los costos, la inteligencia de amenazas de código abierto también es atractiva porque proporciona una amplia gama de información sobre diferentes industrias, temas y ubicaciones. Con el esfuerzos colaborativos de muchos colaboradores, los usuarios pueden beneficiarse de la inteligencia sin la molestia de los contratos y los límites de datos.
La inteligencia de amenazas de código abierto también es popular porque gran parte de ella proviene de ollas de miel, que son entidades señuelo que se utilizan para estudiar las conductas invasivas. Estas aplicaciones de código abierto y cerrado registran anomalías y actividades problemáticas que luego pueden convertirse en fuentes, parches de software y estudios sobre el comportamiento de los adversarios. Compartir los resultados de estos honeypots a través de fuentes de código abierto permite a las partes interesadas comprender no solo cómo un adversario ha abordado ese sistema en particular, sino también cómo podría atacar otros sistemas en el futuro. Para aquellos interesados en implementar sus propios honeypots, Anomali gestiona el Proyecto Honeynet moderno (MHN) para ayudar a simplificar el proceso.
Inconvenientes de los feeds OSINT
Si suena demasiado bueno para ser verdad, lamentablemente lo es. Los feeds de inteligencia sobre amenazas de código abierto presentan algunos inconvenientes clave. No es raro ver que la información se superpone entre las fuentes, lo que requiere algún tipo de proceso de deduplicación manual. Esta es una tarea abrumadora teniendo en cuenta la enorme cantidad de indicadores y la variedad de fuentes; según el formato, es posible que se necesite un nuevo script por fuente.
Otro problema persistente con la inteligencia de código abierto es la falta del contexto necesario. Ver la presencia de una dirección IP en un feed en particular no proporciona muchos detalles sobre por qué esa IP se considera mala. Saber que la fuente se centra en un tipo específico de datos puede ser la única indicación de por qué una IP es maliciosa. Por lo tanto, es necesario realizar más investigaciones y enriquecerse para obtener más información sobre esa propiedad intelectual y, con suerte, ayudar a comprender con qué está relacionada.
Sin embargo, quizás la preocupación más apremiante sea la calidad de los datos. No hay normas ni rendición de cuentas, lo que permite que los piensos estén repletos de falsos positivos e incluso sean vulnerables a la contaminación por parte de los adversarios. Los responsables de las amenazas también pueden comprobar su presencia en estos canales y recibir actualizaciones en tiempo real sobre si han sido detectados o no.
Por último, ¿qué hacer con los feeds después de deduplicarlos, etiquetarlos con información contextual, puntuarlos de alguna manera en función de la confianza y la gravedad de la amenaza que representan y, a continuación, enriquecerlos con datos adicionales? La opción habitual es intentar comparar los datos de los feeds con los datos de registro internos para ver si hay indicios de actividad potencialmente malintencionada en la organización. El lugar más obvio para que esto ocurra es en un SIEM, si hay alguno disponible. Comparar millones de indicadores con quizás miles de millones de entradas de registro internas es una tarea abrumadora. Sin ningún tipo de puntuación, es importante saber por dónde empezar con las posibles decenas o cientos de miles de partidos si queremos que este número de partidos sea utilizable de alguna manera.
Cómo las plataformas de inteligencia de amenazas admiten los feeds OSINT
Las dificultades con la conservación de los datos no deberían impedir que los equipos de seguridad utilicen una fuente de información valiosa. Una solución es implementar un Plataforma de inteligencia de amenazas (TIP), que es una aplicación SaaS o local que administra el ciclo de vida de la inteligencia de amenazas.
Una plataforma de inteligencia de amenazas resuelve cinco problemas comunes entre los feeds de código abierto:
- Diferentes formatos de fuentes - La información proporcionada en STIX, .csv, PDF, word y más se ingiere automáticamente y se transforma en un flujo de información utilizable
- Datos duplicados - Todos los datos duplicados se eliminan automáticamente, lo que ahorra a los analistas un tiempo valioso (y dolores de cabeza)
- Falta de contexto - La información de los feeds sin contexto se enriquece con inteligencia como WHOIS, PassiveDNS y asociaciones a grupos de actores, campañas, TTP, etc.
- Puntuación y detección de falsos positivos - Los indicadores se puntúan tanto en términos de confianza (fidelidad) como de criticidad, lo que facilita saber cuáles son los más urgentes
- Integración con SIEM u otros sistemas internos - Disponer de integraciones sencillas y listas para usar con un SIEM interno, herramientas de seguridad de terminales o plataformas de seguridad de red es una forma de poner en funcionamiento todos los datos de amenazas de código abierto disponibles
La automatización de la ingesta y el enriquecimiento de datos permite que la inteligencia de los feeds de código abierto sea tan útil de forma inmediata como la inteligencia de otros feeds seleccionados. Una plataforma de inteligencia sobre amenazas también permite a los usuarios aprovechar la inteligencia de código abierto no solo como complemento de las investigaciones, sino también como un punto de partida fiable. En última instancia, las fuentes de inteligencia de código abierto pueden ser un componente importante de las iniciativas de seguridad de la información, pero su valor depende de la forma en que se seleccionen, integren y aprovechen con otras herramientas y datos.
Discover More About Anomali
Get the latest news about cybersecurity, threat intelligence, and Anomali's Security and IT Operations platform.
Propel your mission with amplified visibility, analytics, and AI.
Learn how Anomali can help you cost-effectively improve your security posture.
