Encontrar actores de amenazas antes de que lo encuentren es clave para reforzar sus defensas cibernéticas. Cómo hacerlo de manera eficiente y efectiva no es una tarea fácil, pero con una pequeña inversión de tiempo, puede dominar la búsqueda de amenazas y ahorrar millones de dólares a su organización.
Considere esta asombrosa estadística. Cybersecurity Ventures estima que el delito cibernético tendrá un costo de $ 10,5 billones en la economía global para 2025. Midiendo esta cantidad como país, el costo del delito cibernético equivale a la tercera economía más grande del mundo después de EE. UU. y China. Pero con una búsqueda de amenazas efectiva, puede evitar que los malos actores causen estragos en su organización.
Este artículo ofrece una explicación detallada de la búsqueda de amenazas: qué es, cómo hacerlo de manera exhaustiva y efectiva, y cómo la inteligencia de amenazas cibernéticas (CTI) puede reforzar sus esfuerzos de búsqueda de amenazas.
¿Qué es la caza de amenazas?
La caza de ciberamenazas consiste en recopilar pruebas de que se está materializando una amenaza. Es un proceso continuo que lo ayuda a encontrar las amenazas que representan el riesgo más significativo para su organización y le permite a su equipo detenerlas antes de que se lance un ataque.
Proteja a su organización de los costosos delitos cibernéticos con el último informe completo titulado ‘Caza de amenazas para una ciberseguridad eficaz.’ Descárguelo ahora para aprender a planificar, ejecutar y evaluar de manera eficiente la caza de amenazas, asegurándose de que sus sistemas estén reforzados contra el panorama en evolución de las ciberamenazas.
Caza de amenazas en seis partes
A lo largo de la caza, la planificación cuidadosa y la atención a los detalles son esenciales, así como garantizar que todos los miembros del equipo sigan el mismo plan. Para mantener la eficiencia, documente cada paso para que otros en su equipo puedan repetir fácilmente el mismo proceso.
1 — Organiza la caza.
Asegúrese de que su equipo esté preparado y organizado mediante el inventario de sus activos críticos, incluidos puntos finales, servidores, aplicaciones y servicios. Este paso lo ayuda a comprender lo que está tratando de proteger y las amenazas a las que son más propensos. A continuación, determine la ubicación de cada activo, quién tiene acceso y cómo se realiza el aprovisionamiento del acceso.
Finalmente, defina sus requisitos de inteligencia prioritarios (PIR) haciendo preguntas sobre amenazas potenciales basadas en el entorno y la infraestructura de su organización. Por ejemplo, si tiene una fuerza laboral remota o híbrida, estas preguntas pueden incluir:
¿A qué amenazas son más vulnerables los dispositivos remotos?
- ¿Qué tipo de evidencia dejarían esas amenazas?
- ¿Cómo determinaremos si un empleado está comprometido?
2 — Planifica la caza.
En esta fase, establecerá los parámetros necesarios a través de lo siguiente:
Indique su propósito, incluido por qué la caza es necesaria y en qué amenazas debe concentrarse, según lo determinen sus PIR. (Por ejemplo, una fuerza laboral remota puede ser más propensa a ataques de phishing bajo un modelo BYOD).
- Defina el alcance: identifique sus suposiciones y establezca su hipótesis en función de lo que sabe. Puede reducir su alcance al comprender qué evidencia surgirá si se lanza la amenaza que está buscando.
- Comprenda sus limitaciones, como a qué conjuntos de datos puede acceder, qué recursos debe analizar y cuánto tiempo tiene.
- Establezca el marco de tiempo con una fecha límite realista.
- Determine qué entornos excluir y busque relaciones contractuales que puedan impedirle realizar la caza en entornos específicos.
- Comprenda las restricciones legales y reglamentarias que debe seguir. (No se puede infringir la ley, ni siquiera cuando se busca a los malos).
3 — Utilice las herramientas adecuadas para el trabajo.
Existen muchas herramientas para la caza de amenazas, según su inventario de activos y su hipótesis. Por ejemplo, si está buscando un riesgo potencial, SIEM y las herramientas de investigación pueden ayudarlo a revisar los registros y determinar si hay alguna fuga. La siguiente es una lista de muestra de opciones que pueden mejorar significativamente la eficiencia de la búsqueda de amenazas:
- Inteligencia de amenazas: específicamente, fuentes automatizadas y portales de investigación que obtienen inteligencia de amenazas de la web profunda y oscura.
- Motores de búsqueda y arañas web
- Información de proveedores de ciberseguridad y antivirus
- Recursos gubernamentales
- Medios públicos: blogs de seguridad cibernética, sitios de noticias en línea y revistas
- SIEM, SOAR, herramientas de investigación y herramientas OSINT
4 — Ejecutar la caza.
Al ejecutar la búsqueda, es mejor mantenerlo simple. Sigue tu plan punto por punto para mantener el rumbo y evitar desvíos y distracciones. La ejecución se lleva a cabo en cuatro fases:
- Recolectar: esta es la parte más laboriosa de una búsqueda de amenazas, especialmente si utiliza métodos manuales para recopilar información sobre amenazas.
- Proceso: recopile datos y procéselos en un formato organizado y legible para que otros analistas de amenazas los entiendan.
- Analizar: determine lo que revelan sus hallazgos.
- Conclusión: si encuentra una amenaza, ¿tiene datos que respalden su gravedad?
5 — Concluir y evaluar la cacería.
Evaluar su trabajo antes de comenzar la próxima cacería es imperativo para ayudarlo a mejorar a medida que avanza. A continuación se presentan algunas preguntas a considerar en esta fase:
- ¿La hipótesis elegida era apropiada para la caza?
- ¿Era el alcance lo suficientemente estrecho?
- ¿Recopiló inteligencia útil, o algunos procesos podrían realizarse de manera diferente?
- ¿Tenías las herramientas adecuadas?
- ¿Todos siguieron el plan y el proceso?
- ¿Se sintió el liderazgo capacitado para abordar las preguntas en el camino y tuvo acceso a toda la información necesaria?
6 — Informe y actúe sobre sus hallazgos.
Al concluir la búsqueda, puede ver si sus datos respaldan su hipótesis y, si es así, alertará a los equipos de ciberseguridad y respuesta a incidentes. Si no hay evidencia del problema específico, deberá evaluar los recursos y asegurarse de que no haya lagunas en el análisis de datos. Por ejemplo, puede darse cuenta de que revisó sus registros en busca de un compromiso pero no verificó los datos filtrados en la web oscura.
Lleve la caza de amenazas al siguiente nivel con CTI
CTI puede ser un componente efectivo de su programa de búsqueda de amenazas, particularmente cuando los datos de inteligencia de amenazas son completos e incluyen el contexto comercial y la relevancia para su organización. Cybersixgill elimina la barrera de acceso a las fuentes más valiosas de CTI y brinda capacidades de investigación profunda para ayudar a su equipo a buscar las ciberamenazas potenciales de mayor prioridad.
Nuestro portal de investigación le permite compilar, administrar y monitorear su inventario completo de activos en la web profunda, oscura y clara. Esta inteligencia lo ayuda a identificar los riesgos y la exposición potenciales, comprender las posibles rutas de ataque y los TTP de los actores de amenazas para exponer y prevenir proactivamente los ataques cibernéticos emergentes antes de que se conviertan en armas.
Para obtener más información, descargue mi último informe Caza de amenazas para una ciberseguridad eficaz. Para programar una demostración, visite https://cybersixgill.com/book-a-demo.
Nota: Michael-Angelo Zummo, analista sénior de inteligencia sobre ciberamenazas de Cybersixgill, escribió y contribuyó de manera experta.