Threat Hunting!
La caza de amenazas (aka Threat Hunting) es la última munición en el arsenal de las personas dedicadas a la seguridad cibernética. Las brechas de seguridad han sacudido las salas de juntas y en consecuencia, la industria ve con más atención el asunto y nos enfocamos cada vez mas en la eficacia de la ciberseguridad.
La popularidad de los servicios de Threat Hunting es consecuencia de detectar ataques cada vez más persistentes con una duración cada vez más dilatada en el tiempo. Los cibercriminales tienen en mente maneras de evadir las medidas de defensa tradicionales. De manera que, además de detectar los ataques, es cada vez más importante tratar de adelantarse a los ciberataques para que el tiempo de detección se reduzca todo lo posible.
En el pasado, las organizaciones se centraban en herramientas automatizadas para la detección y la protección contra intrusiones. Pero los expertos en ciberseguridad hemos sido testigos de que en el pasado los enfoques adoptados no son lo suficientemente fuertes como para resistir la persistencia de los atacantes.
El proceso de búsqueda de amenazas, ayuda a las organizaciones a incluir el elemento humano en actividades ya automatizadas de detección, monitoreo e inteligencia de amenazas. El proceso de inteligencia de amenazas recopila los últimos datos de amenazas de diversas fuentes.
Estos datos se incorporan en los sistemas internos para correlacionar amenazas potenciales y poner en escena un plan para mitigarlas. La búsqueda de amenazas puede iniciarse con o sin inteligencia y ayuda en la detección proactiva de cualquier peligro real o materializado en el ecosistema organizacional.
La búsqueda de amenazas le ayuda a identificar actividades maliciosas o riesgosas que pueden haber evadido las herramientas automatizadas, a través de la búsqueda proactiva utilizando métodos impulsados por el hombre, que serán asociados con inteligencia y correlación adicionales, detonando en un profesional inteligente de búsqueda de amenazas.
Entendido así, el “Threat hunting” o la caza de amenazas; es un proceso continuo y tiene como características la búsqueda de lo malo (Incumplimientos / Incidentes), localizar las cosas malas más rápido la próxima vez y finalmente; estudiar la cadena de muerte de las amenazas cibernéticas.
El entendimiento de que cualquier amenaza cibernética tiene un ciclo de vida o una cadena de muertes desde su origen hasta la ejecución exitosa del ataque inicia con la fase de reconocimiento, desde donde se recopila y compila información sobre el objetivo y se finaliza al lograr con éxito los objetivos de ataque (por ejemplo, transferencia de fondos fraudulentos o extracción de datos) y finaliza con la armamentización (por ejemplo, un correo electrónico malicioso, un malware), la entrega, la explotación, la instalación y la comunicación a los servidores de comando y control de la cadena.
El Threat Hunting debe centrarse en descubrir un incidente o incumplimiento no detectado tan pronto como sea posible y antes de completar la cadena de destrucción de la amenaza cibernética.
Como prioridad, siempre es mejor buscar una amenaza que esté cerca de los últimos eslabones de la cadena. En general, se trata de detectar cualquier comunicación con los servidores de comando y control o buscar cualquier síntoma que indique los objetivos del ataque que se está materializando (por ejemplo, extraer datos o ejecutar una transacción).
Otros enlaces de la cadena también deben ser investigados o localizados para buscar de pruebas de manera programada, para que cada caza se pueda detectar los incidentes a un ritmo más rápido que la caza anterior.
En el proceso de caza de amenazas, debemos construir una hipótesis (suposiciones o conjeturas), que den forma a la búsqueda de amenazas, incidentes y/o violaciones. Debemos investigar con las herramientas y técnicas adecuadas, a través de las cuales podamos detectar y explorar eventos que pasaron inadvertidos por las soluciones automatizadas (el framework de Metasploit o herramientas que analicen comportamiento, serian valiosas)
Puede descubrir nuevos patrones de ataques, tácticas, técnicas y procedimientos (TTP). Informe los hallazgos a las partes y sistemas relevantes, e impida la ejecución del ataque en el futuro con un ejercicio de búsqueda de amenazas más informado.
La caza de amenazas es un proceso continuo y necesita mejoras continuas para obtener el mejor resultado. Los niveles de madurez comienzan desde una etapa no existente (Inicial) hasta un nivel completamente maduro, donde el análisis de datos se automatiza y el proceso está completamente implementado, para detectar incidentes de manera muy proactiva.
Esta revolucionaria anticipación a las posibles brechas de seguridad es usada por grandes empresas que entregan productos al mercado y mantienen programas de incentivos para quienes logran demostrar la existencia de posibles fallas de seguridad.
Fuente: Secure Reading (https://securereading.com)
