Cuando hablamos de ciberseguridad, siempre es mejor ser el cazador que el cazado.
Estamos seguros de que nos hubiésemos ahorrado muchas lagrimas y sufrimiento si los protagonistas de nuestras historias favoritas hubiesen hecho una búsqueda exhaustiva de sus enemigos, incluso cuando todo parecía que estaba bien.
Probablemente los rebeldes de Star Wars hubiesen detectado la trampa a tiempo y no en medio de la batalla. Quizá si Gollum hubiese sido eliminado desde el principio, la destrucción del anillo del poder no hubiese tomado tanto tiempo. Y es mejor que no hablemos sobre cómo el final de Game of Thrones hubiese sido algo completamente diferente si muchos hubiesen sabido interpretar claras señales de peligro antes de que fuera muy tarde.
Pero cazar antes de ser cazado no es algo que solamente podríamos usar para evitar los sufrimientos que nos provocan nuestras historias favoritas. También podemos ahorrarnos dolores de cabeza en el trabajo a la hora de proteger nuestra red de cibercriminales si solo somos más proactivos.
Y lo podemos hacer a través del Threat Hunting.
¿Qué es el Threat Hunting?
El Threat Hunting (o caza de amenazas) es la práctica de buscar proactivamente las ciberamenazas que están al acecho sin ser detectadas en una red. Con esto se busca encontrar invasores maliciosos que se han colado y han logrado sobrepasar tus defensas iniciales de seguridad.
Después de colarse, un atacante puede permanecer silenciosamente en una red durante meses mientras recopila discretamente datos, busca material confidencial u obtiene credenciales de acceso que le permitan moverse libremente por el entorno.
Si tu invasor es listo y logra pasar sin ser detectado, evadiendo las defensas de tu empresa, quizá no sea extraño que tu equipo y tú carezcan de las capacidades de detección avanzadas necesarias para impedir que las amenazas persistentes avanzadas permanezcan en la red. Por eso el Threat Hunting es un componente esencial de cualquier estrategia de defensa.
¿Cómo funciona?
Todo cazador debe asumir que los criminales ya están en su sistema, y así iniciar la investigación para encontrar un comportamiento inusual que pueda indicar la presencia de actividad maliciosa. En el Threat Hunting, este inicio de la investigación se divide normalmente en tres categorías principales:
1. Investigación basada en hipótesis
Estas investigaciones suelen ser producto de una nueva amenaza que ha sido identificada a través de un gran conjunto de datos de ataques de origen colectivo, lo que permite conocer las últimas tácticas, técnicas y procedimientos (TTP) de los atacantes. Una vez que se ha identificado una nueva TTP, los cazadores de amenazas buscarán descubrir si los comportamientos específicos del atacante se encuentran en su propio entorno.
2. Investigación basada en indicadores
Este enfoque implica el aprovechamiento de la inteligencia táctica sobre amenazas para catalogar los Indicadores de compromiso e Indicadores de ataques conocidos asociados a las nuevas amenazas. Estos se convierten entonces en las pistas que los cazadores de amenazas utilizan para descubrir posibles ataques ocultos o actividades maliciosas.
3. Análisis avanzado e investigaciones de machine learning
El tercer enfoque combina un potente análisis de datos y el machine learning para tamizar una cantidad masiva de información con el fin de detectar irregularidades que puedan sugerir una posible actividad maliciosa. Estas anomalías se convierten en pistas de caza que son investigadas por analistas cualificados para identificar amenazas furtivas.
Los tres enfoques son un esfuerzo humano que combina recursos de inteligencia de amenazas con tecnología de seguridad avanzada para proteger proactivamente los sistemas y la información de tu organización.
¿Cómo se hace?
La forma de hacerlo suele cambiar dependiendo del ecosistema digital, la red, y las necesidades de cada compañía. Como norma general, cualquier cacería de amenazas puede tener 3 pasos:
Paso 1: Un desencadenante
Un desencadenante dirige a los cazadores de amenazas a un sistema o área específica de la red para una mayor investigación cuando las herramientas de detección avanzadas identifican que algo no está bien, y por tanto hay probabilidad de una amenaza.
A menudo, una hipótesis sobre una nueva amenaza puede ser el desencadenante de la caza proactiva. Por ejemplo, un equipo de ciberseguridad puede buscar amenazas avanzadas que utilicen herramientas como el malware sin archivos para evadir tus defensas.
Paso 2: Investigación
Durante la fase de investigación, el cazador de amenazas utiliza tecnología como EDR (Endpoint Detection and Response, o Detección y respuesta de puntos finales) para profundizar en el posible quiebre de seguridad. La investigación continúa hasta que la actividad se considera benigna o se crea una imagen completa del comportamiento malicioso.
Paso 3: Resolución
Esta fase consiste en comunicar la información relevante a los equipos de operaciones y seguridad para que puedan responder al incidente y mitigar las amenazas. Los datos recopilados sobre la actividad maliciosa y benigna pueden introducirse en la tecnología automatizada para mejorar su eficacia.
¿Qué se necesita para poder empezar a hacer Threat Hunting?
Un equipo de caza de amenazas de primera categoría adopta un enfoque triple para la detección de ataques. Además de los profesionales de seguridad cualificados (de los que existe una crisis de demanda global), incluye otros dos componentes necesarios para el éxito de la caza: una gran cantidad de datos y un potente análisis.
Capital humano: Cada nueva generación de tecnología de seguridad es capaz de detectar un mayor número de amenazas avanzadas, pero el detector más eficaz sigue siendo el cerebro humano. Las técnicas de detección automatizadas son predecibles, y los atacantes actuales son muy conscientes de ello, por eso desarrollan técnicas para eludir, evadir o esconderse de las herramientas de seguridad automatizadas.
Cada nueva generación de tecnología de seguridad es capaz de detectar un mayor número de amenazas avanzadas, pero el detector más eficaz sigue siendo el cerebro humano. Las técnicas de detección automatizadas son predecibles, y los atacantes actuales son muy conscientes de ello, por eso desarrollan técnicas para eludir, evadir o esconderse de las herramientas de seguridad automatizadas.
Una gran cantidad de datos: Tus herramientas de defensa deben tener la capacidad de recopilar y almacenar muchos datos de eventos del sistema para proporcionar una visibilidad absoluta de todos los puntos finales y activos de la red. Con el uso de una infraestructura escalable en la nube, el equipo de seguridad agrega y realiza análisis en tiempo real sobre estos grandes conjuntos de datos.
Inteligencia sobre amenazas: Tus cazadores deben ser capaces de cruzar los datos internos de la organización con la inteligencia de amenazas más reciente sobre las tendencias externas y desplegar herramientas sofisticadas para analizar y correlacionar eficazmente.
Todo esto requiere tiempo, recursos y dedicación, y la mayoría de las organizaciones no cuentan con el personal y los equipos adecuados para montar una operación continua de caza de amenazas las 24 horas del día.
Afortunadamente, existen soluciones de seguridad gestionada que cuentan con los recursos adecuados -el personal, los datos y las herramientas analíticas necesarias- para buscar eficazmente actividades inusuales en la red y amenazas ocultas. Consúltalas en línea.
Con un servicio enfocado en ciberseguridad y Threat Hunting, podrás garantizar que seas el cazador antes de convertirte en una presa.🕵️
Escrito por: BBB
Nada fuera de lo anormal, como tú, vamos. ;)
Suscríbete al #Blog
Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
