Las competencias fundamentales para un equipo de CTI eficiente en el entorno corporativo
Mandiant es una empresa cuyo negocio se centra en la informática forense digital y la respuesta ante incidentes, así como la inteligencia de amenazas cibernéticas. Recientemente, la empresa lanzó un marco de competencias fundamentales para analistas de inteligencia de amenazas cibernéticas para responder a una pregunta que con frecuencia reciben de sus clientes: ¿Cuál es la composición óptima del equipo para iniciar y desarrollar una capacidad de inteligencia de amenazas cibernéticas dentro de su entorno corporativo?
![Las competencias fundamentales para un equipo de CTI eficiente en el entorno corporativo - Video](https://i.ytimg.com/vi/vnhWPs_mO_I/hqdefault.jpg)
El marco de Mandiant agrupa las competencias en cuatro pilares fundamentales (Figura A). Estos pueden ser utilizados para identificar debilidades en un equipo de inteligencia de amenazas cibernéticas ya establecido, identificar áreas de crecimiento individual o de equipo, o determinar una hoja de ruta eficiente para su equipo de ciberseguridad.
Figura A
Pilar 1: Resolución de problemas
Pensamiento crítico
En la inteligencia de amenazas cibernéticas, el pensamiento crítico es necesario para manejar información, conceptualizarla, identificarla, evaluarla y sintetizarla. Una vez hecho esto, el analista debe ser capaz de formular juicios imparciales, líneas analíticas y recomendaciones relevantes para cada caso.
VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)
El pensamiento crítico también implica pensar de manera innovadora, especialmente para la predicción de tendencias e innovación.
![](https://newsmatic.com.ar/wp-content/uploads/proteccion-antivirus-en-linea-mcafee-clinic-lleva-la-seguridad-de-tu-pc-al-siguiente-nivel-150x150.jpg)
Investigación y análisis
La investigación consiste en priorizar conjuntos de datos y el uso de herramientas para investigar fuentes de datos técnicos y no técnicos, y se trata de la capacidad de capturar las necesidades de los interesados en forma de requisitos de inteligencia. La investigación ayuda a descubrir nuevas pistas y llegar a conclusiones analíticas claras. La parte del análisis consiste en interpretar y producir una buena síntesis de los resultados de la investigación.
Implica conocer todos los tipos de indicadores de compromiso, su uso, sus limitaciones y cómo enriquecer los datos. También se trata de analizar el tráfico de red, los malware y, en general, completar la informática forense digital y la respuesta ante incidentes.
La investigación y el análisis a menudo se benefician de los conocimientos de programación, especialmente de la programación de scripts. Aquí son muy útiles Python y SQL.
Mentalidad investigativa
Comprender desafíos complejos y desarrollar soluciones para resolverlos es clave en la inteligencia de amenazas cibernéticas (CTI). La mentalidad investigativa requiere una comprensión experimentada de las tácticas, técnicas y procedimientos de los actores de amenazas cibernéticas, así como de las herramientas, marcos y sistemas de TI de la CTI. También se trata de identificar pequeñas señales en un gran ruido de datos y desarrollar intuición.
Pilar 2: Efectividad profesional
Comunicación
La comunicación con diferentes audiencias es necesaria para la CTI. La capacidad de escribir conclusiones analíticas, investigaciones y metodologías utilizando diferentes herramientas y formatos (presentaciones de diapositivas, correos electrónicos, documentos de Word, informes, etc.) es obligatoria.
Mandiant también destaca el hecho de que "es importante tener la capacidad de expresar claramente juicios utilizando un lenguaje probabilístico para que los juicios se separen de los hechos y las observaciones directas. De igual importancia es la capacidad de utilizar un lenguaje preciso para garantizar que el mensaje previsto se transmita correctamente y no provoque alarmas innecesarias".
![](https://newsmatic.com.ar/wp-content/uploads/como-proteger-tu-computadora-de-los-virus-metodos-y-consejos-150x150.jpg)
Es necesario conocer las diferentes formas de compartir información entre máquinas, pero también con grupos específicos de intercambio de información y centros y organizaciones de análisis e intercambio de información público-privado (ISAC y ISAO).
Finalmente, se necesita familiaridad con la política cibernética y los mecanismos de aplicación de la ley, lo que ayuda a contrarrestar las acciones cibernéticas como las eliminaciones, las sanciones y los mensajes de concienciación pública.
Trabajo en equipo e inteligencia emocional
Las características únicas de cada individuo ayudan a brindar orientación entre compañeros y brindar oportunidades para cubrir conocimientos y brechas mientras se construye cohesión y confianza a medida que los equipos trabajan juntos.
Tener la capacidad de trabajar con las partes interesadas para recopilar información sobre sus operaciones comerciales también puede ser útil para la inteligencia de amenazas.
Las habilidades básicas de la inteligencia emocional son la autoconciencia, el autocontrol, la conciencia social y la gestión de relaciones.
Conocimiento del negocio
Tener la capacidad de comprender el entorno, la misión, visión y objetivos de una empresa puede influir en la exposición al riesgo cibernético de la organización. Es posible que se requiera que un analista de CTI proporcione una evaluación sobre posibles cambios en la exposición al riesgo, o evalúe los resultados de la inteligencia de amenazas.
![](https://newsmatic.com.ar/wp-content/uploads/defiendete-protege-tu-seguridad-en-linea-contra-amenazas-criticas-150x150.png)
Pilar 3: Alfabetización técnica
Redes de TI empresariales
Es necesario comprender los sistemas operativos y los principios de las redes a todos los niveles: almacenamiento de archivos, gestión de acceso, políticas de archivos de registro, políticas de seguridad, protocolos utilizados para compartir información entre computadoras, entre otros.
Ecosistema de ciberseguridad
Deben identificarse los conceptos principales, los componentes y las convenciones asociadas con la ciberdefensa y la ciberseguridad, y es obligatorio contar con un sólido conocimiento de las mejores prácticas y los marcos de la industria. Otro principio fundamental es cómo se alinean los enfoques y tecnologías defensivas con al menos una de las cinco fases de defensa cibernética: Identificar, proteger, detectar, responder y recuperar.
Los conceptos clave a conocer aquí son la gestión y el control de identidad y acceso, la segmentación de redes, los casos de uso de la criptografía, los firewalls, la detección y respuesta de puntos finales, las firmas y detecciones basadas en comportamiento, la caza de amenazas y la respuesta a incidentes, los equipos rojos y morados/púrpuras.
Se debe desarrollar un plan de continuidad del negocio, un plan de recuperación ante desastres y un plan de respuesta a incidentes.
Roles y responsabilidades de ciberseguridad organizacional
Esta parte se trata de comprender el papel y las responsabilidades de todos los involucrados: ingenieros inversos, analistas de centros de operaciones de seguridad, arquitectos de seguridad, miembros de soporte técnico y helpdesk, equipos rojos/azules/púrpuras, jefes de privacidad, entre otros.
Pilar 4: Proficiencia en amenazas cibernéticas
Factores impulsores de operaciones ofensivas
Las operaciones ofensivas deben basarse en recursos finitos para externalizar elementos del programa cibernético, comprar herramientas operativas, solicitar apoyo de contratistas o adquirir capacidades criminales. También es necesario definir claramente la composición organizativa y las funciones de los puestos que la conforman.
![](https://newsmatic.com.ar/wp-content/uploads/protege-tus-contrasenas-con-pam-tu-aliado-para-la-seguridad-1-150x150.jpg)
El segundo principio de esta competencia es identificar las motivaciones detrás del actor de amenazas.
Mandiant informa que "tener una comprensión sólida de las operaciones aceptables realizadas durante tiempos de paz y cómo esto cambia durante tiempos de guerra es fundamental".
Conceptos y marcos de amenazas
Identificar y aplicar términos y marcos de CTI apropiados para rastrear y comunicar las capacidades o actividades del adversario. Esta competencia se trata de las capacidades de los actores de amenazas: comprender vulnerabilidades y exploits, malware, infraestructura, agrupamiento y convenciones de nomenclatura de conjuntos de intrusión/atribución.
También se trata de conocer los marcos de CTI como el Cyber Kill Chain de Lockheed Martin o el marco ATT&CK del MITRE, por ejemplo.
Actores de amenazas y TTP
El conocimiento de los actores de amenazas implica conocer las convenciones de nomenclatura de los actores de amenazas y sus TTP. Identificar indicadores clave en una cadena de ciberataques para determinar flujos operativos y hábitos del adversario es crítico en este aspecto.
![](https://newsmatic.com.ar/wp-content/uploads/configurando-conexiones-vpn-con-firewalls-imagen-1-150x150.webp)
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Las competencias fundamentales para un equipo de CTI eficiente en el entorno corporativo , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados