Dado que la inteligencia de amenazas tiene el objetivo de proporcionar una inteligencia del adversario en el ciberespacio para la toma de decisiones de la audiencia, qué tipo de análisis o productos deben realizarse dentro de un equipo de Threat Intelligence debe estar adaptado a las necesidades de su audiencia buscando así maximizar su utilidad. De esto modo, se toma el conjunto de necesidades presentadas por cada una de ellas y, a través de los recursos disponibles, se definen los tipos de procesos, flujos y productos que permiten darles respuesta. Son dichas necesidades las que la doctrina define bajo el término de Priority Intelligence Requirements (PIR).
Los Priority Intelligence Requirements son el marco de trabajo para el equipo de inteligencia por lo que, debido a su importancia, éstos deben ser correctamente definidos a través de ciertas características que se comentarán a lo largo del artículo.
Priority Intelligence Requirements
Los PIR son aquellas directrices facilitadas por la audiencia y que determinan el alcance de la inteligencia que necesitan para su toma de decisiones. El objetivo de los PIR es proporcionar información de calidad para la toma de decisiones que sea oportuna, integrada, analizada, predictiva y que responda al “¿y eso qué?” para orientar la planificación y apoyar las operaciones.[1] En consecuencia, la definición de los PIR permite al equipo de inteligencia estructurar el equipo de inteligencia de manera que adecuen cada una de las etapas para maximizar la eficiencia del producto entregado.
Si un PIR no está correctamente definido puede derivar en una situación donde el tiempo y los recursos necesarios para todo el proceso de inteligencia no han ido dedicados a un producto útil para la audiencia. Por ello, el primer paso para el correcto desempeño de un equipo de inteligencia es establecer el fin de cada uno de los procesos de inteligencia.
Un ejemplo de Priority Intelligence Requirement en Threat Intelligence pueden ser Capacidades para la detección de Tácticas, Técnicas y Procedimientos empleados por actores de ciberespionaje contra Europa o Tendencias de actores de ransomware.
Specific Intelligence Requirements y Essential Elements of Information
Tal y como se puede observar, es muy posible que la sola definición de un PIR no permita identificar de manera clara el correcto alcance que debe tener el proceso de inteligencia, por ello, existen dos conceptos que particularizan más su definición, los Specific Intelligence Requirements (SIR) y los Essential Elements of Information (EEI).[2]
Un SIR es un requisito específico que deriva de un PIR, describiendo con mayor detalle la información requerida para apoyar decisiones operativas.[3] Es decir, aquellas preguntas concretas que deben ser respondidas para satisfacer un PIR.
- ¿Qué actor está atacando al sector aeroespacial?
- ¿Han aparecido nuevas capacidades para la evasión de EDR?
- ¿Ha integrado APT29 en su killchain una nueva técnica de explotación de dispositivos de seguridad perimetrales?
- ¿Cuáles están siendo los objetivos de las campañas de ciberespionaje en Europa?
Estas preguntas facilitan la identificación del nivel de inteligencia esperado, así como la tipología de producto que más se puede adecuar a la necesidad.
Finalmente, se encuentra el Essential Element of Information (EEI) el cual es el dato que dispone de la información suficiente para dar respuesta a un SIR y que será el objeto que disponer al finalizar la fase de adquisición, por lo que permitirá establecer su alcance y definir las tareas derivadas.
Essential elements of information (EEI) are specific items of information that are required to support the intelligence requirement… Each SIR will have one or more EEI associated with it.
Un ejemplo de EEI derivados del SIR ¿Han aparecido nuevas capacidades para la evasión de EDR? serían los siguientes:
- Informes de amenazas de alta sofisticación
- Artefactos no clasificados como malware por fuentes públicas
Características de los requisitos
Para considerar un requisito de inteligencia como suficiente para la estructuración del proceso se tomarán las características definidas en los modelos doctrinales de inteligencia.
El documento Joint Doctrine Publication 2-00 establece una serie de características para la definición de requisitos de inteligencia, estos son: específicos, medibles, realistas y oportuno.[4]
El concepto de realista aplica de manera muy relativa en función de la madurez, recursos y alcance del equipo encargado del proceso de inteligencia. Por otra parte, la característica de medible impacta directamente en la necesidad del desarrollo de indicadores del proceso de inteligencia, incluida su propia madurez, por lo que se abordará en un artículo por separado. A continuación, se detallarán las características de especificidad y oportunidad.
Especificidad de un requisito
También en JDP 2-00 se define que un requisito debe identificar claramente la información necesaria en el contexto sobre la intención de la audiencia, es decir, el escenario sobre el cual la inteligencia debe soportar la toma de decisiones.
Dado que el PIR proporciona el alcance, este debe encontrarse lo suficientemente definido como para poder definir la prioridad, el tiempo, el nivel de la inteligencia y la tipología de producto. En el escenario concreto de la inteligencia de amenazas, aunque se debe comprender qué escenario presenta la audiencia, también debe comprenderse la tipología de la audiencia, pues indicará tanto el nivel de inteligencia del producto, como la tipología de producto.
Una misma información puede ser proporcionada a través de diferentes tipos de productos. Por ejemplo, las capacidades de un artefacto pueden ser facilitadas con un formato no accionable para que sea el personal dedicado a Ingeniería de Detección quién ajuste las firmas para el entorno de trabajo o bajo un formato accionable, pudiéndose integrar en procesos machine-to-machine. Esta cuestión resulta de especial complejidad.
La velocidad de actuación dentro del dominio del ciberespacio no permite una actuación directa desde el dominio físico. Es decir, la acción de un adversario se realiza a tal velocidad que sólo puede ser bloqueada en caso de que se disponga de una política implantada previamente a la acción, no existiendo posibilidad de interacción entre dominios, lo que conduce a que las estrategias de prevención y protección sea de especial importancia. En este caso, la producción de inteligencia de carácter accionable supone una ventaja significativa, proporcionando una rápida integración de la inteligencia en las herramientas de seguridad, además del ahorro del tiempo del analista en el proceso de ingesta.
En contraposición, la estrategia de detección y el conocimiento de la infraestructura pertenece a aquellas audiencias técnicas que tengan la responsabilidad de detectar a los adversarios en la organización, por ello, la propia clasificación de código dañino de un patrón de comportamiento no siempre es compartida entre el equipo de inteligencia y la audiencia. En este caso, la labor del equipo de inteligencia estaría en proporcionar el detalle suficiente de las capacidades del adversario y sus TTP sin que el producto sea accionable, delegando la ingeniería de detección a la audiencia.
Este tipo de particularidades hace que cada una de las audiencias sean los que tomen la decisión de qué tipo de producto quieren recibir.
Tiempo de oportunidad
Uno de los elementos que caracterizan es el tiempo de oportunidad (timeliness), el cual representa la ventana temporal durante la cual la inteligencia sigue siendo útil, relevante y accionable para quien la recibe. Una vez pasado ese tiempo crítico, la inteligencia caduca.[5]
Entre las necesidades que comprenden la inteligencia está en que se entregue en tiempo y forma para que pueda tener un impacto significativo en la toma de decisiones, por ejemplo, una protección temprana.
La correcta definición del tiempo de oportunidad permite establecer unas directrices claras, especialmente en la periodicidad de las labores de adquisición, pero también en la priorización de tareas y recursos.
Un ejemplo sería la identificación de PoC de cierto tipo de vulnerabilidades que afecten a cierto tipo de dispositivos de manera proactiva. Pongamos que la audiencia solicita que la notificación no deba superar las 24 horas respecto a la fecha de publicación. Contando que las fases de análisis y producción sea de unas 8 horas, el tiempo máximo desde que se publica la información y el analista adquiere el EEI no debe superar las 16 horas. Esto hace que la labor de adquisición no pueda realizarse una vez al día, pues el 33% de las veces se incumplirá el tiempo de oportunidad y, por tanto, identificando que la periodicidad de la tarea debe ser de dos veces al día.
Derivado del tiempo de oportunidad está la prioridad de las tareas, característica que también debe ser indicado en la especificación del requisito es la prioridad de las tareas. La priorización es uno de los diez principios de inteligencia definidos en Joint Publication 2-0 y es una característica que debe integrarse dentro de la definición de cada Prioritity Intelligence Requirements, pues ofrece un mecanismo para asignar y gestionar las tareas de mayor importancia, aplicando los recursos disponibles en ellas.
Los distintos requisitos de inteligencia pueden disponer de procesos que se solapen en el tiempo cuestión que, en caso de disponer de recursos limitados, debe tomarse la decisión de qué tarea debe realizarse en lugar de otra. Para ello, debe relacionarse cada requisito de inteligencia con una prioridad.
Por ejemplo, en caso de disponer de un requisito de inteligencia para la generación de detección de ataques contra dispositivos perimetrales, debido al inmediato impacto, deberá priorizarse el satisfacer dicho requisito respecto al conocimiento de objetivos, dado que se trata de una acción que podría tener un impacto inmediato en caso de no disponer de su bloqueo. Tiempo de oportunidad y prioridad son dos conceptos que están vinculados y donde la caracterización de uno afectará al otro.
A lo largo del artículo se ha definido un modo preciso para que el equipo de inteligencia de amenazas disponga del contexto suficiente para desarrollar los procesos de forma óptima, permitiendo asignar las tareas, recursos y capacidades para maximizar su eficiencia o la adecuación de los productos en la toma de decisiones de la audiencia. Sin embargo, esta definición debe cristalizar en procesos que afecten al resto de etapas del ciclo de inteligencia. En el siguiente artículo se definirán modelos que permitirán la correcta asignación de tareas para la fase de adquisición.
[1] FIRST Cyber Threat Intelligence SIG. (s. f.). Priority Intelligence Requirement (PIR). Forum of Incident Response and Security Teams (FIRST). Recuperado de https://www.first.org/global/sigs/cti/curriculum/pir
[2] NATO. (2011). Joint Doctrine Publication 2‑00: Intelligence, Counter‑intelligence and Security Support to Joint Operations (4th ed.)
[3] Ministry of Defence. (2023). Joint Doctrine Publication 2‑00: Intelligence, Counter‑intelligence and Security Support to Joint Operations (4th ed.). UK Ministry of Defence. Recuperado de https://assets.publishing.service.gov.uk/media/653a4b0780884d0013f71bb0/JDP_2_00_Ed_4_web.pdf
[4] [4] Ministry of Defence. (2023). Joint Doctrine Publication 2‑00: Intelligence, Counter‑intelligence and Security Support to Joint Operations (4th ed.). UK Ministry of Defence. Recuperado de https://assets.publishing.service.gov.uk/media/653a4b0780884d0013f71bb0/JDP_2_00_Ed_4_web.pdf
[5] Ministry of Defence. (2011, August 1; updated 2023, August 17). Joint Doctrine Publication 2‑00: Intelligence, Counter‑intelligence and Security Support to Joint Operations (4th ed.). UK Ministry of Defence. Recuperado de https://assets.publishing.service.gov.uk/media/653a4b0780884d0013f71bb0/JDP_2_00_Ed_4_web.pdf
Speak Your Mind