Estás leyendo
El threat hunting o caza de amenazas como una actividad de ciberdefensa activa

El threat hunting o caza de amenazas como una actividad de ciberdefensa activa

  • ThreatQuotient patrocina el informe SANS Threat Hunting 2020 que define la importancia de la ciberdefensa activa.
ThreatQuotient apuesta por la efectividad del Threat Hunting

patrocina la nueva edición del informe sobre realizado por el Instituto SANS (SysAdmin Audit, Networking and Security Institute). La compañía apuesta de este modo por demostrar la valía del threat hunting o caza de amenazas como una actividad de , buscando de forma proactiva e iterativa a través de las para detectar y aislar las amenazas avanzadas que evaden las soluciones de existentes, mucho más allá de las tecnologías de detección tradicionales.

Como parte esencial de los servicios del Centro de Operaciones de Seguridad (SOC), el threat hunting debe incorporarse en la fase inicial. Sin embargo, a pesar de que las empresas ya llevan cazando amenazas varios años, y hace ya aproximadamente cinco años que se definió en concreto la labor del ‘threat hunter’, su adopción y uso es hasta ahora un tema pendiente de ser analizado.

Siempre que se introducen nuevas estrategias de threat hunting para encontrar actividades maliciosas, hay varios métodos que las organizaciones pueden utilizar. La encuesta del Instituto SANS concreta que algunas empresas primero definen cómo deben funcionar sus operaciones de caza de amenazas y forman a sus equipos a partir una estrategia clara para cumplir estos objetivos.

Desafortunadamente, el otro enfoque todavía bastante común es llevar a cabo operaciones de threat hunting con las reglas establecidas por defecto que las organizaciones ya tienen en vigor. Si bien este enfoque puede dar resultados, el estudio revela que dichos resultados no serán tan beneficiosos para la organización y su seguridad como podrían serlo de manera concreta y precisada. Desde el Instituto SANS definen este enfoque generalizado en varias de las empresas consultadas, las cuales impulsadas sólo por el cumplimiento de alguna norma regulatoria no actúan de manera más proactiva.

Diferencia entre la caza de amenazas y la respuesta a incidentes

Aunque sin duda hay puntos en común, el threat hunting y la respuesta ante un incidente de ciberataque son procesos diferenciados. Por un lado, la caza de amenazas requiere prever un escenario de ataque que puede suceder en la organización. Ese escenario conduce a una hipótesis que posteriormente debe ser probada. Dicha confirmación requiere un conocimiento íntimo de la ruta de ataque sospechada, así como el manejo de un conjunto de herramientas que aporte la visibilidad adecuada para aceptar o rechazar la hipótesis planteada.

Por otro lado, los especialistas de que responden a los incidentes suelen saber tan sólo que se produjo un ataque, con un conocimiento muy limitado sobre su trayectoria de origen. Esta situación de desconocimiento les hace tener que ampliar sus conocimientos sobre el ataque y establecer una visibilidad no focalizada para investigar más a fondo.

Las herramientas y técnicas para ambos modos de proceder se superponen ampliamente entre la respuesta a incidentes y la caza de amenazas. Por esa razón, suele ser beneficioso utilizar a los especialistas en respuesta a incidentes experimentados cuando se desarrollan operaciones de caza de amenazas, pero siempre con metodologías y herramientas propias del Threat Hunting para conseguir una mayor especialización.

Factores decisivos: falta de automatización y cambio frecuente de aplicaciones

En el informe del Instituto SANS sobre Threat Hunting 2020 también se constató que parece haber una importante brecha en la utilización de herramientas automatizadas para ayudar a la conservación de información útil y aplicable sobre las amenazas. Además, se dio a conocer que la mayoría de threat hunters no se dedican a ello a tiempo completo, sino que tienen otras responsabilidades como parte de sus perfiles técnicos.

Te puede interesar
Ciberseguridad

La tendencia a dotar de personal a las operaciones de caza de amenazas con especialistas en respuesta a incidentes y analistas de un Centro de Operaciones de Seguridad (SOC) también fue una de las conclusiones más destacadas. Si bien los encargados de la respuesta a los incidentes pueden estar muy familiarizados con la tarea de encontrar amenazas nuevas y desconocidas, los analistas SOC pueden tener dificultades para desviarse de su rutina de análisis de alertas para buscar activamente indicios de una infracción de la seguridad.

Además, en el estudio se constató que lo que más les cuesta a los threat hunters son los frecuentes cambios de contexto, ya que sólo unos pocos encuestados dijeron que nunca tienen que cambiar de herramientas mientras hacen su trabajo. Por lo tanto, alternar entre aplicaciones es un área que tiene un enorme potencial de mejora y aumento de la eficiencia.

Lo que también influye en la eficiencia es que una elevada proporción de los encuestados (36,3%) están utilizando manualmente la información sobre amenazas que han recopilado. Una de las razones parece ser que casi la mitad de los encuestados no almacenan la inteligencia sobre amenazas en una plataforma, sino que utilizan métodos tradicionales basados en archivos, como hojas de cálculo o documentos PDFs.

Para avanzar en la utilización del Threat Hunting, necesitamos establecer un entendimiento común, mejorar las herramientas que reducen los cambios de contexto, automatizar el proceso y hacer que la caza de amenazas sea más medible. Lo más fácil para muchos encuestados sería cambiar la gestión de su inteligencia de un sistema basado en documentos a una plataforma de código abierto para que la inteligencia sobre amenazas sea más fácil de consumir, evolucionar y aplicar.Anthony Perridge, VP International de ThreatQuotient,
Utilizamos cookies para facilitar la relación de los visitantes con nuestro contenido y para permitir elaborar estadísticas sobre las visitantes que recibimos. No se utilizan cookies con fines publicitarios ni se almacena información de tipo personal. Puede gestionar las cookies desde aquí.    Ver Política de cookies
Privacidad