Descubra qué es threat hunting, qué tipos de caza de amenazas existen y algunos consejos útiles a la hora de aplicar esta estrategia de en su empresa.
Sí, su empresa puede contar con buenas prácticas para prevenir violaciones de la información crítica. Y, el threat hunting es precisamente el proceso que le permitirá ir un paso delante de los ciberdelincuentes y cuidar sus activos digitales ante las ciberamenazas que hoy no perdonan a nadie.
Una buena estrategia de ciberseguridad empresarial debería contar con un proceso de threat hunting o análisis de amenazas y vulnerabilidades que permita identificar y rastrear las vulnerabilidades y peligros, así como establecer protocolos de acción. En este blog de ManageEngine le contaré qué es el threat hunting, qué tipos existen y algunos consejos útiles y básicos para aplicarlo en su compañía.
¿Qué es el threat hunting o la caza de amenazas?
Antes de que entre a explicar que es threat hunting es importante que sepa qué es una cyber threat. Se le conoce como cyber threat (ciberamenaza) a una circunstancia o acto malicioso que puede llegar a comprometer los datos, personas, sistemas o activos, según explica Cybereason.
Mientras que threat hunting es en realidad un proceso de tipo proactivo que se enfoca en buscar e identificar “actividades anormales sobre los activos de una organización, los cuales podrían señalar el compromiso, intrusión o exfiltración de los datos de una empresa”, de acuerdo con Ciberseguridad Tips.
El threat hunting es además un proceso que debe realizarse de manera continua y profunda para lograr identificar o descubrir las amenazas y tiene como bases las capacidades humanas y de software.
Lo que se hace en este proceso es identificar el entorno, el actuar de las posibles amenazas y finalmente analizarlas y generar bases de datos, lo que le permite aprender y generar conocimiento a largo plazo.
Tipos de threat hunting
Existen tres tipos de threat hunting que se basan en una hipótesis sustentada en datos de seguridad o en una amenaza. Estos son según IBM:
Caza no estructurada: se activa por un detonante o IoC
La caza de amenazas de búsqueda no estructurada inicia cuando se activa un indicador de compromiso (IoC), es decir, cuando existe un detonante el cual indica que existe evidencia de una violación de seguridad
De acuerdo con, IBM, por lo general el detonante le proporciona señales al cazador para que revise patrones de detección previos y posteriores. De esta manera se puede llegar a indagar hasta donde lo permitan los datos y los ataques previos lo permitan.
Threat hunting situacional o impulsado por la empresa
Nace de una hipótesis situacional y se aplica al evaluar los riesgos internos de una empresa o cuando se realiza un análisis de tendencias y vulnerabilidades en el entorno de tecnologías de la información (TI).
En este caso, un cazador tiene en cuenta los datos sobre los ataques registrados en múltiples fuentes externas. Esto permite encontrar las últimas tácticas, técnicas y procedimientos (TTP) de las ciberamenazas actuales. A partir de estos patrones se identifican los comportamientos en el entorno propio.
Caza estructurada: cuando el sistema está a punto de ser vulnerado
Es un tipo de búsqueda de amenazas que se ejecuta cuando ya existe o hay un indicador de ataque (IoA); este suele ocurrir antes de una violación de datos. El cazador puede identificar una amenaza antes de que se generen daños y se usa el marco MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK).
Consejos útiles de nuestros expertos a la hora de aplicar threat hunting
Dentro del treat hunting el cazador analiza los datos de seguridad, busca malware u otros tipos de amenazas, además identifica patrones de actividades sospechosas, puede ayudar a parchear el sistema de seguridad de una empresa y evitar que los ataques cibernéticos ocurran de nuevo. Pero, ¿cuáles son los aspectos esenciales que se deberían tener en cuenta para realizar una caza de amenazas exitosa?
De acuerdo Mauricio Londoño, Technical Consultant de ManageEngine Latam, estos son cuatro consejos útiles que se deben tener en cuenta a la hora de hacer un threat hunting:
-
Aplicar la pirámide del dolor
Se trata de una pirámide que por niveles propone generarles a los adversarios una mayor dificultad a la hora de atacar una red. La pirámide tiene “seis capas que a su vez representan los diferentes enfoques que se pueden adoptar, empezando con el más simple al más difícil”, esto según el documento “Caza de amenazas ocultas” de Cisco.
Fuente: David J. Bianca.
Por ejemplo se empieza por la revisión de los archivos que contienen hashes maliciosos, que son los más fáciles de detectar, y luego se va escalando la pirámide. Lo que se persigue con este ejercicio para cazar las amenazas es el descubrir las tácticas técnicas y procedimientos (TTP) del ciberdelincuente o atacante. Estos son los más valiosos porque son difíciles de reemplazar por el atacante.
Cuándo se trabaja con la pirámide se les obliga a los ciberdelincuentes a invertir más recursos en atacar una red. “El objetivo final de la Pirámide del dolor es que, siguiendo sus principios, su red se vuelve tan difícil de hackear que los atacantes se trasladan a otros objetivos más simples. La pirámide permite ir un paso más adelante del delincuente y hacerle más difícil un ataque “, establece el documento.
-
Basarse en las 14 tácticas de Mitre
Mitre tiene 200 tácticas y técnicas adversarias que son clave para entender cómo piensa un delincuente. Pero pues su aplicación depende de las circunstancias, por ello Londoño recomienda no solo conocer, sino empezar por aplicar 14 tácticas de Mitre y monitorearlas.
Uno de los softwares de ManageEngine que ya está alineado con las tácticas de Mitre es EventLog Analyzer. Este software permite el análisis de amenazas con el fin de asegurar la red de una compañía y protegerla contra los intentos de violación no deseados y el robo de datos críticos, entre otras funciones.
-
Tomar acciones y aventurarse a lo desconocido
El experto recomienda tomar acciones para cerrar posibles puertas o puntos ciegos. Estas pueden ir desde la aplicación de work flows hasta la aplicación de scripts preventivos y correctivos.
Por último, aconseja aventurarse a lo desconocido. Es decir, realizar búsquedas en los recursos críticos cuando nada está pasando, como un ejercicio de prevención. ¿Qué se puede buscar?, según Londoño es importante, por ejemplo, revisar movimientos sospechosos y eventos que podrían escaparse del radar de las herramientas tradicionales. “Esto con el fin de identificar brechas de seguridad, ser proactivos y cazar amenazas”, concluyó.
Fuentes consultadas:
Cisco, Caza de amenzas ocultas