Intelligence-Driven Incident Response: CTI aplicado a IR

Sinopsis

Intelligence-Driven Incident Response: Outwitting the Adversary (Scott Roberts y Rebekah Brown, O'Reilly, 2017) es el libro que conecta dos disciplinas que tradicionalmente operaban separadas: threat intelligence y incident response. Argumenta que IR sin CTI es reactivo (apagar fuegos), mientras que IR informado por CTI es proactivo (anticipar y prepararse).

Público objetivo

Analistas SOC/IR que quieren integrar CTI en su proceso. Analistas CTI que quieren que su inteligencia sea operativa, no decorativa. Managers que construyen equipos de seguridad.

Lo que aprenderás

F3EAD cycle: Find, Fix, Finish, Exploit, Analyze, Disseminate. Framework militar adaptado a cyber IR. Kill Chain aplicada: cómo usar la Kill Chain para estructurar tanto la respuesta como la inteligencia. Diamond Model en IR: usar los 4 vértices para guiar la investigación durante un incidente. Intelligence lifecycle: cómo producir, consumir y retroalimentar inteligencia durante y después de un incidente. Métricas de CTI: cómo medir si tu programa de inteligencia está funcionando.

Puntos fuertes

El puente CTI-IR. Es el único libro que aborda la integración operativa de CTI en IR. La mayoría de libros tratan cada disciplina por separado. Frameworks prácticos. F3EAD y Kill Chain aplicados con ejemplos reales, no solo teoría. Escrito por practicantes. Roberts y Brown trabajaron en IR y CTI en GitHub y otros. Experiencia real.

Puntos débiles

Publicado en 2017. No cubre herramientas modernas de automatización (SOAR, MISP automation, OpenCTI). Los frameworks son atemporales, las herramientas necesitan actualización. Puede ser abstracto para analistas junior que aún no dominan los fundamentos de IR.

Veredicto

El libro que necesitas si tienes un equipo de CTI que produce informes que nadie lee, o un equipo de IR que responde a incidentes sin contexto de quién los ataca. La integración CTI-IR que describe es la diferencia entre un SOC reactivo y uno que anticipa amenazas.