Las competencias fundamentales para un equipo de CTI eficiente en el entorno corporativo

Mandiant es una empresa cuyo negocio se centra en la informática forense digital y la respuesta ante incidentes, así como la inteligencia de amenazas cibernéticas. Recientemente, la empresa lanzó un marco de competencias fundamentales para analistas de inteligencia de amenazas cibernéticas para responder a una pregunta que con frecuencia reciben de sus clientes: ¿Cuál es la composición óptima del equipo para iniciar y desarrollar una capacidad de inteligencia de amenazas cibernéticas dentro de su entorno corporativo?

El marco de Mandiant agrupa las competencias en cuatro pilares fundamentales (Figura A). Estos pueden ser utilizados para identificar debilidades en un equipo de inteligencia de amenazas cibernéticas ya establecido, identificar áreas de crecimiento individual o de equipo, o determinar una hoja de ruta eficiente para su equipo de ciberseguridad.

Figura A

Índice de Contenido
  1. Pilar 1: Resolución de problemas
    1. Pensamiento crítico
    2. Investigación y análisis
    3. Mentalidad investigativa
  2. Pilar 2: Efectividad profesional
    1. Comunicación
    2. Trabajo en equipo e inteligencia emocional
    3. Conocimiento del negocio
  3. Pilar 3: Alfabetización técnica
    1. Redes de TI empresariales
    2. Ecosistema de ciberseguridad
    3. Roles y responsabilidades de ciberseguridad organizacional
  4. Pilar 4: Proficiencia en amenazas cibernéticas
    1. Factores impulsores de operaciones ofensivas
    2. Conceptos y marcos de amenazas
    3. Actores de amenazas y TTP

Pilar 1: Resolución de problemas

Pensamiento crítico

En la inteligencia de amenazas cibernéticas, el pensamiento crítico es necesario para manejar información, conceptualizarla, identificarla, evaluarla y sintetizarla. Una vez hecho esto, el analista debe ser capaz de formular juicios imparciales, líneas analíticas y recomendaciones relevantes para cada caso.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

El pensamiento crítico también implica pensar de manera innovadora, especialmente para la predicción de tendencias e innovación.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Investigación y análisis

La investigación consiste en priorizar conjuntos de datos y el uso de herramientas para investigar fuentes de datos técnicos y no técnicos, y se trata de la capacidad de capturar las necesidades de los interesados en forma de requisitos de inteligencia. La investigación ayuda a descubrir nuevas pistas y llegar a conclusiones analíticas claras. La parte del análisis consiste en interpretar y producir una buena síntesis de los resultados de la investigación.

Implica conocer todos los tipos de indicadores de compromiso, su uso, sus limitaciones y cómo enriquecer los datos. También se trata de analizar el tráfico de red, los malware y, en general, completar la informática forense digital y la respuesta ante incidentes.

La investigación y el análisis a menudo se benefician de los conocimientos de programación, especialmente de la programación de scripts. Aquí son muy útiles Python y SQL.

Mentalidad investigativa

Comprender desafíos complejos y desarrollar soluciones para resolverlos es clave en la inteligencia de amenazas cibernéticas (CTI). La mentalidad investigativa requiere una comprensión experimentada de las tácticas, técnicas y procedimientos de los actores de amenazas cibernéticas, así como de las herramientas, marcos y sistemas de TI de la CTI. También se trata de identificar pequeñas señales en un gran ruido de datos y desarrollar intuición.

Pilar 2: Efectividad profesional

Comunicación

La comunicación con diferentes audiencias es necesaria para la CTI. La capacidad de escribir conclusiones analíticas, investigaciones y metodologías utilizando diferentes herramientas y formatos (presentaciones de diapositivas, correos electrónicos, documentos de Word, informes, etc.) es obligatoria.

Mandiant también destaca el hecho de que "es importante tener la capacidad de expresar claramente juicios utilizando un lenguaje probabilístico para que los juicios se separen de los hechos y las observaciones directas. De igual importancia es la capacidad de utilizar un lenguaje preciso para garantizar que el mensaje previsto se transmita correctamente y no provoque alarmas innecesarias".

Cómo proteger tu computadora de los virus: métodos y consejos

Es necesario conocer las diferentes formas de compartir información entre máquinas, pero también con grupos específicos de intercambio de información y centros y organizaciones de análisis e intercambio de información público-privado (ISAC y ISAO).

Finalmente, se necesita familiaridad con la política cibernética y los mecanismos de aplicación de la ley, lo que ayuda a contrarrestar las acciones cibernéticas como las eliminaciones, las sanciones y los mensajes de concienciación pública.

Trabajo en equipo e inteligencia emocional

Las características únicas de cada individuo ayudan a brindar orientación entre compañeros y brindar oportunidades para cubrir conocimientos y brechas mientras se construye cohesión y confianza a medida que los equipos trabajan juntos.

Tener la capacidad de trabajar con las partes interesadas para recopilar información sobre sus operaciones comerciales también puede ser útil para la inteligencia de amenazas.

Las habilidades básicas de la inteligencia emocional son la autoconciencia, el autocontrol, la conciencia social y la gestión de relaciones.

Conocimiento del negocio

Tener la capacidad de comprender el entorno, la misión, visión y objetivos de una empresa puede influir en la exposición al riesgo cibernético de la organización. Es posible que se requiera que un analista de CTI proporcione una evaluación sobre posibles cambios en la exposición al riesgo, o evalúe los resultados de la inteligencia de amenazas.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Pilar 3: Alfabetización técnica

Redes de TI empresariales

Es necesario comprender los sistemas operativos y los principios de las redes a todos los niveles: almacenamiento de archivos, gestión de acceso, políticas de archivos de registro, políticas de seguridad, protocolos utilizados para compartir información entre computadoras, entre otros.

Ecosistema de ciberseguridad

Deben identificarse los conceptos principales, los componentes y las convenciones asociadas con la ciberdefensa y la ciberseguridad, y es obligatorio contar con un sólido conocimiento de las mejores prácticas y los marcos de la industria. Otro principio fundamental es cómo se alinean los enfoques y tecnologías defensivas con al menos una de las cinco fases de defensa cibernética: Identificar, proteger, detectar, responder y recuperar.

Los conceptos clave a conocer aquí son la gestión y el control de identidad y acceso, la segmentación de redes, los casos de uso de la criptografía, los firewalls, la detección y respuesta de puntos finales, las firmas y detecciones basadas en comportamiento, la caza de amenazas y la respuesta a incidentes, los equipos rojos y morados/púrpuras.

Se debe desarrollar un plan de continuidad del negocio, un plan de recuperación ante desastres y un plan de respuesta a incidentes.

Roles y responsabilidades de ciberseguridad organizacional

Esta parte se trata de comprender el papel y las responsabilidades de todos los involucrados: ingenieros inversos, analistas de centros de operaciones de seguridad, arquitectos de seguridad, miembros de soporte técnico y helpdesk, equipos rojos/azules/púrpuras, jefes de privacidad, entre otros.

Pilar 4: Proficiencia en amenazas cibernéticas

Factores impulsores de operaciones ofensivas

Las operaciones ofensivas deben basarse en recursos finitos para externalizar elementos del programa cibernético, comprar herramientas operativas, solicitar apoyo de contratistas o adquirir capacidades criminales. También es necesario definir claramente la composición organizativa y las funciones de los puestos que la conforman.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

El segundo principio de esta competencia es identificar las motivaciones detrás del actor de amenazas.

Mandiant informa que "tener una comprensión sólida de las operaciones aceptables realizadas durante tiempos de paz y cómo esto cambia durante tiempos de guerra es fundamental".

Conceptos y marcos de amenazas

Identificar y aplicar términos y marcos de CTI apropiados para rastrear y comunicar las capacidades o actividades del adversario. Esta competencia se trata de las capacidades de los actores de amenazas: comprender vulnerabilidades y exploits, malware, infraestructura, agrupamiento y convenciones de nomenclatura de conjuntos de intrusión/atribución.

También se trata de conocer los marcos de CTI como el Cyber Kill Chain de Lockheed Martin o el marco ATT&CK del MITRE, por ejemplo.

Actores de amenazas y TTP

El conocimiento de los actores de amenazas implica conocer las convenciones de nomenclatura de los actores de amenazas y sus TTP. Identificar indicadores clave en una cadena de ciberataques para determinar flujos operativos y hábitos del adversario es crítico en este aspecto.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Las competencias fundamentales para un equipo de CTI eficiente en el entorno corporativo , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.