¿QUÉ ES THREAT HUNTING?
14 julio, 2022La cacería se puede hacer de forma automatizada.
La cacería de amenazas o “Threat Hunting” es una respuesta de las áreas de ciberseguridad, para detectar amenazas en la seguridad digital de empresas y usuarios. Se define como las actividades proactivas y periódicas, ejecutadas por personas (humanos), para realizar la búsqueda de comportamientos sospechosos, maliciosos o patrones no seguros en los entornos tecnológicos e infraestructuras de las empresas, como podría ser en comunicaciones y conexiones de red, correo electrónico, navegación web, recursos en la nube, a nivel de dispositivos y usuarios finales, entre otros.
Cada día se suman nuevos riesgos cibernéticos como los malware, amenazas de día cero y comportamientos maliciosos que pueden pasar desapercibidos por las empresas, debido a su baja protección de seguridad. Esto, sumado a que son muy pocas las áreas de TI que realizan actividades de cacería de amenazas, ya que desconocen cómo hacerlo, lo que los convierte en empresas vulnerables a todo tipo de ciberdelincuencia.
En la reciente encuesta “Threat Hunting in uncertain times” realizada por SANS, el 24% se consideran maduros en actividades de “Threat Hunting; 75% de las empresas encuestadas prefieren herramientas de detección tradicional como antimalware, SIEM, IPS, para la detección en actividades cacería; 51% realizan el seguimiento de las actividades cacería de forma manual; y que 51% identifican o reconocen la falta de habilidades y entrenamiento de las personas, como la barrera principal para realizar actividades de cacería de forma exitosa.
Dentro del sector empresarial, aún tienen miedo de implementar este tipo de acciones en sus organizaciones, debido al desconocimiento y mitos alrededor del Threat Hunting como:
· La cacería se puede hacer de forma automatizada. Una alerta de una herramienta ciertamente puede brindar un punto de partida para una investigación o informar una hipótesis, pero un analista debe trabajar en una investigación para comprender y ampliar el contexto de lo que se encontró y obtener realmente el valor total de la cacería.
· La cacería solo se puede llevar a cabo con una gran cantidad de datos y herramientas avanzadas. Un analista debe concebir cómo funcionan las herramientas de seguridad para hacer búsquedas avanzadas, entender en dónde buscar, qué buscar, cómo buscar, etc., investigar y definir algunos procesos o técnicas de cacería.
· Threat Hunting es una actividad que preferiblemente deben ejecutar los analistas de élite con muchos años de experiencia y conocimiento. El analista y los equipos deben prepararse para saber qué hacer, definir procedimientos, tener algunas búsquedas base para identificar eventos interesantes, qué hacer con la información o pistas obtenidas, cómo reconocer la presencia o sospecha de una Ciberamaneza y cómo poder definir una estrategia para neutralizarla.
Las empresas deben trabajar en la capacitación, desarrollo de conocimiento y habilidades del equipo de ciberseguridad para realizar actividades de Threat Hunting, gestión de incidentes e investigaciones, tener una buena visibilidad de los eventos de seguridad del ecosistema desde múltiples frentes, a nivel de red, correo, navegación, control de acceso, gestión de identidades, endpoint aplicaciones y bases de datos, etc. Además de que cuenten con las herramientas adecuadas para las actividades de Threat Hunting, en la búsqueda de eventos, comportamientos y patrones sospechosos (SIEM, IPS, IDS, EDR, Antimalware, Gateway de correo, web proxy, etc.), señala Héctor Gática, de Logicalis.
