En Palo Alto Networks y dentro de la inteligencia de amenazas de la Unidad 42, compartimos nuestros hallazgos sobre la actividad de los actores de amenazas regularmente con Cyber Threat Alliance (CTA), una organización de intercambio de inteligencia fundada en 2014 por Palo Alto Networks junto con varios de nuestros competidores. Durante los últimos casi 10 años, la CTA ha crecido para incluir aún más proveedores de ciberseguridad. La práctica puede parecer contraria a la intuición: en los primeros días de la ciberseguridad, parte de la ventaja que diferenciaba a las empresas era tener detecciones que otras no tenían. Sin embargo, compartir inteligencia sobre amenazas es una práctica vital que, en última instancia, hace que todos estén más seguros y deja mucho espacio para mantener una ventaja competitiva. Me enorgullece compartir que recientemente me uní a la junta directiva de la CTA, y una parte clave de lo que veo como mi misión es fomentar un mayor intercambio de inteligencia de amenazas procesable, desde dentro de la Unidad 42, desde toda la CTA y desde nuevas organizaciones que aún no se han unido a la CTA.
Tomada de: Paloalto Networks
La ciberseguridad se diferencia de muchas industrias en que no estamos simplemente compitiendo entre nosotros. En realidad estamos tratando de detener el mal. Los actores de amenazas están dañando la seguridad nacional, deteniendo las operaciones de los hospitales, amenazando los medios de subsistencia de las personas y más. Todos nosotros en la industria de la seguridad cibernética compartimos la misión de detener al atacante, por lo que los días de no colaborar entre nosotros quedaron atrás.
El compromiso continuo de Palo Alto Networks con la CTA se deriva de este conocimiento. Si bien los cambios en las políticas públicas son importantes, el gobierno por sí solo no puede formar todas las relaciones necesarias para defenderse de los actores de amenazas. El sector privado debe darse cuenta de la necesidad y abandonar la idea de verse mal o bien individualmente, centrándose en la detección general en toda la industria. No hay alegría en ver a un competidor sufrir un gran día cero que conduce a la explotación mundial. Ninguna empresa puede realmente alcanzar su máximo potencial sin esfuerzos de colaboración para reducir la prevalencia y el impacto de los ataques cibernéticos globales. Por supuesto, cada uno de nosotros podemos diferenciarnos por la forma en que usamos la inteligencia de amenazas que compartimos, ofreciendo a nuestros clientes características y servicios de productos sofisticados.
Intercambio de inteligencia sobre amenazas Historias de éxito
En los últimos años, eventos como los ataques a SolarWinds y Colonial Pipeline o la vulnerabilidad Log4j inspiraron un nuevo énfasis en la colaboración operativa . Con los atacantes ocupando y derribando la infraestructura muy rápidamente en estos días, tanto las organizaciones públicas como las privadas reconocen la necesidad de trabajar juntos para que podamos avanzar lo más rápido posible para avanzar contra las ciberamenazas.
Y específicamente para la CTA, se produjo una victoria temprana en respuesta al brote de WannaCry , cuando en cuestión de horas, la CTA inició un proceso de colaboración interna. Este esfuerzo conjunto aceleró el análisis entre 24 y 48 horas por miembro, lo que permitió implementar las protecciones necesarias en un plazo clave.
Actualmente, estamos viendo un enorme beneficio del intercambio de información en Ucrania. No creo que las organizaciones hayan compartido información a este nivel en la historia de la cibernética, y la coordinación explica por qué no hemos visto un impacto más dañino de los ataques cibernéticos, que podrían haber intensificado otras formas de daño en la región.
Más cerca de casa en los EE. UU., la participación de Wendi Whitmore, vicepresidenta sénior de la Unidad 42, en la Junta de Revisión de Seguridad Cibernética junto con otros líderes del gobierno y la industria es un ejemplo de colaboración pública y privada.
El Modelo de Visión y Compartir de la CTA
Estoy encantado de unirme a la junta de la CTA debido al enfoque de la organización en fomentar el intercambio entre empresas que de otro modo competirían. Valoro profundamente su visión, que comenzó como un acuerdo de apretón de manos entre dos directores ejecutivos de seguridad cibernética mientras tomaban una taza de café en 2014, y estoy orgulloso de ser parte de una organización neutral que alienta a todas las empresas a trabajar juntas para hacer que las personas estén más seguras.
Una gran parte de lo que me gusta de la CTA es el compromiso de garantizar que todos los miembros participen en el intercambio. Todos deben compartir y cumplir con un requisito mínimo de compartir. La organización no permite free riders o pay-to-play – tu das información para recibirla. Lo que compartimos debe ser procesable, y el intercambio se realiza en un formato estructurado que incluye información contextual, lo que aumenta el valor de lo que se comparte y la capacidad de los miembros para construir protecciones de la vida real basadas en la información.
Los miembros de la CTA también se responsabilizan mutuamente. Si encontramos una vulnerabilidad en el software de seguridad de los demás, la organización proporciona una forma saludable y productiva de coordinarse entre sí.
La plataforma para compartir ha evolucionado durante los últimos siete años, incorporando estándares de la industria como STIX/TAXII, Kill Chain y MITRE ATT&CK. La CTA generalmente comparte "alrededor de 11 millones de observables por mes... con un promedio de tres piezas de contexto por observable".
Palo Alto Networks mantiene una fuerte presencia en todas las funciones de gobierno de CTA, desde la junta hasta los comités y grupos de trabajo, incluidos Membresía, Algoritmo e Inteligencia, Política y Estándares y otros. Continuamos andando el camino y difundiendo la voz sobre cómo una organización como la CTA puede tener éxito y por qué es importante.
Participe en la coordinación de la inteligencia sobre amenazas
Todavía queda trabajo por hacer, y no podemos hacerlo solos. No dude en comunicarse conmigo, Michael Sikorski , para obtener más información sobre cómo se ha beneficiado Palo Alto Networks y por qué seguimos avanzando con la misión de CTA. Si desea unirse a nuestras filas, ¡a la CTA le encantaría saber de usted!
Cuanto más nos coordinemos, más fuertes seremos. Visualizo un futuro en el que utilicemos el multiplicador de fuerza de miles de analistas de inteligencia de amenazas coordinados y profesionales de ciberseguridad para hacer retroceder la marea de actores de amenazas.
Tomado de: Paloalto Networks
Comentarios