En estos días, la Unión Internacional de Telecomunicaciones está debatiendo la posibilidad de convertir STIX 2.1 y TAXII 2.1 en un estándar internacional para el intercambio de información sobre ciberamenazas en las redes de comunicación. Para Rusia, esto es solo una parte de un proceso complejo para acumular análisis efectivos, información sobre atacantes y sus actividades maliciosas, y formar un conjunto de soluciones correctas para repeler las ciberamenazas, según los especialistas de Angara Security.
«El formato de intercambio de indicadores de compromiso es sin duda un tema importante de discusión, especialmente teniendo en cuenta el hecho de que todavía no existen formatos generalmente aceptados y aprobados a nivel de la industria, y la comunidad aún tiene que hacer frente a esta tarea. Muchos actores del mercado realmente utilizan STIX, incluidos nosotros en Angara SOC, pero al mismo tiempo existe una cantidad significativa de otros formatos (desarrollo propio o propuesto desde el exterior)», subraya Timur Zinnyatullin, director del Centro de Ciberresiliencia Angara SOC.
Al mismo tiempo, esta tarea es solo una parte de un proceso grande y complejo para buscar y acumular conocimiento práctico (es decir, análisis efectivos) e información sobre los atacantes y sus actividades maliciosas, lo que permite a los defensores y sus organizaciones reducir el posible daño al tomar decisiones más correctas (en adelante, Threat Intelligence – TI). Y si una parte de este complejo proceso se formaliza y estandariza, sin duda jugará a favor del lado de la defensa.
«Pero al mismo tiempo, es importante no olvidar que cualquier empresa en la que se haya formado una división responsable de la seguridad de la información debe pensar, en primer lugar, no en obtener y procesar TI, aunque esto también es muy importante, sino en generar su propia TI interna. Los resultados de la respuesta a cualquier incidente, comenzando con notas en cuadernos y varios informes, y terminando con indicadores de compromiso de cualquier nivel de la Pirámide del Dolor que se hayan logrado identificar, en mayor o menor medida, deben convertirse en TI y transmitirse a los especialistas correspondientes», continúa el experto.
Por lo tanto, es necesario garantizar la formación de una base de conocimiento interna sobre las amenazas ya conocidas, que debe utilizarse inmediatamente en los procesos de búsqueda y respuesta a las amenazas. «Cualquier security operations y cualquier incident response deben generar TI, y la TI debe generar nuevas security operations e incident response. Encajando así en los conceptos generales de PDCA/PDAR, que prevalecen en la seguridad de la información», concluye Timur Zinnyatullin. El experto subraya que un formato único y formalizado de intercambio de datos acelerará y simplificará la difusión de conocimientos y análisis no solo dentro de una empresa o esfera, sino también dentro de un sector de la economía, un país o una asociación de países.