La caza de amenazas es un componente esencial de su estrategia de ciberseguridad. Ya sea que esté comenzando o en un estado avanzado, este artículo lo ayudará a aumentar su programa de inteligencia de amenazas.
¿Qué es la caza de amenazas?
La industria de la ciberseguridad está pasando de un enfoque reactivo a uno proactivo. En lugar de esperar las alertas de seguridad cibernética y luego abordarlas, las organizaciones de seguridad ahora están desplegando equipos rojos para buscar activamente infracciones, amenazas y riesgos, para que puedan aislarse. Esto también se conoce como «caza de amenazas».
¿Por qué se requiere la caza de amenazas?
La caza de amenazas complementa los controles de seguridad de prevención y detección existentes. Estos controles son esenciales para mitigar las amenazas. Sin embargo, están optimizados para alertas bajas de falsos positivos. Las soluciones de búsqueda, por otro lado, están optimizadas para un bajo número de falsos negativos. Esto significa que las anomalías y los valores atípicos que se consideran falsos positivos para las soluciones de detección son pistas de búsqueda de soluciones que deben investigarse. Esto permite que la búsqueda de amenazas elimine las brechas existentes entre las soluciones de detección. Una estrategia de seguridad sólida utilizará ambos tipos de soluciones. Tal Darsan, gerente de servicios de seguridad de Cato Networks, agrega: «En general, la búsqueda de amenazas es crucial porque permite a las organizaciones identificar y abordar de manera proactiva las posibles amenazas de seguridad antes de que puedan causar un daño significativo. Estudios recientes muestran que el tiempo de permanencia de una amenaza en un la red de la organización hasta que el actor de la amenaza logre su objetivo final, podría durar de semanas a meses. Por lo tanto, tener un programa activo de búsqueda de amenazas puede ayudar a detectar y responder rápidamente a las amenazas cibernéticas que otros motores o productos de seguridad pasan por alto».
Cómo cazar amenazas
Un cazador de amenazas comenzará realizando una investigación en profundidad de la red y sus vulnerabilidades y riesgos. Para hacerlo, necesitarán una amplia variedad de habilidades tecnológicas de seguridad, incluido el análisis de malware, análisis de memoria, análisis de red, análisis de host y habilidades ofensivas. Una vez que su investigación arroje una «pista», la usarán para desafiar las hipótesis de seguridad existentes y tratar de identificar cómo se puede violar el recurso o el sistema. Para probar/refutar su hipótesis, realizarán campañas iterativas de caza.
Si tienen «éxito» en la infracción, podrían ayudar a la organización a desarrollar métodos de detección y corregir la vulnerabilidad. Los cazadores de amenazas también pueden automatizar parte o la totalidad de este proceso, para que pueda escalar.
Tal Darsan agrega «MDR (detección y respuesta gestionadas) Los equipos desempeñan un papel fundamental para lograr una búsqueda de amenazas eficaz al proporcionar experiencia y herramientas especializadas para monitorear y analizar posibles amenazas de seguridad. La contratación de un servicio de MDR brinda a las organizaciones soporte experto en ciberseguridad, tecnología avanzada, monitoreo las 24 horas, los 7 días de la semana, respuesta rápida a incidentes y rentabilidad. Los proveedores de servicios de MDR tienen experiencia especializada y utilizan herramientas avanzadas para detectar y responder a posibles amenazas en tiempo real».
Dónde buscar amenazas
Un buen cazador de amenazas debe convertirse en un experto en inteligencia de código abierto (OSINT). Al buscar en línea, los cazadores de amenazas pueden encontrar kits de malware, listas de infracciones, cuentas de clientes y usuarios, días cero, TTP y más.
Estas vulnerabilidades se pueden encontrar en la web clara, es decir, la Internet pública que es ampliamente utilizada. Además, en realidad se encuentra mucha información valiosa en la web profunda y la web oscura, que son las capas de Internet debajo de la web clara. Al ingresar a la web oscura, se recomienda enmascarar cuidadosamente su personalidad; de lo contrario, usted y su empresa podrían verse comprometidos.
Se recomienda pasar al menos media hora a la semana en la dark web. Sin embargo, dado que es difícil encontrar vulnerabilidades allí, la mayoría de lo que identifiques probablemente provendrá de las redes profundas y claras.
Consideraciones para su programa de inteligencia de amenazas
Establecer un programa de inteligencia de amenazas es un proceso importante, que no debe tomarse a la ligera. Por lo tanto, es esencial investigar a fondo y planificar el programa antes de comenzar la implementación. Aquí hay algunas consideraciones a tener en cuenta.
1. Pensamiento de «joya de la corona»
Al desarrollar su estrategia de caza de amenazas, el primer paso es identificar y proteger sus propias joyas de la corona. Lo que consiste como activos de misión crítica difiere de una organización a otra. Por lo tanto, nadie puede definirlos por usted.
Una vez que haya decidido cuáles son, utilice un Equipo Púrpura para probar si se puede acceder a ellos y cómo violarlos. Al hacerlo, podrá ver cómo pensaría un atacante para que pueda implementar controles de seguridad. Verifique continuamente estos controles.
2. Elegir una estrategia de caza de amenazas
Hay muchas estrategias diferentes de caza de amenazas que puede implementar en su organización. Es importante asegurarse de que su estrategia aborde los requisitos de su organización. Las estrategias de ejemplo incluyen:
- Construir un muro y bloquear el acceso por completo, para garantizar que todo lo relacionado con el acceso inicial y la ejecución estén bloqueados.
- Construir un campo minado, suponiendo que el actor de amenazas ya está dentro de su red
- Priorizar por dónde empezar de acuerdo con el marco MITRE
3. Cuándo usar la automatización de inteligencia de amenazas
La automatización impulsa la eficiencia, la productividad y la reducción de errores. Sin embargo, la automatización no es imprescindible para la caza de amenazas. Si decide automatizar, se recomienda asegurarse de:
- Tener el personal para desarrollar, mantener y apoyar la herramienta/plataforma
- Haber completado las tareas básicas de limpieza para identificar y asegurar las joyas de la corona. Preferiblemente, automatice cuando esté en un nivel de madurez avanzado
- Que los procesos sean fácilmente repetibles.
- Puede monitorear de cerca y optimizar la automatización para que continúe generando valor relevante
El modelo de madurez de la caza de amenazas
Como cualquier otra estrategia comercial implementada, existen varios niveles de madurez que las organizaciones pueden alcanzar. Para la caza de amenazas, las diferentes etapas incluyen:
- Etapa 0: respuesta a las alertas de seguridad
- Etapa 1 – Incorporación de indicadores de inteligencia de amenazas
- Etapa 2: análisis de datos de acuerdo con procedimientos creados por otros
- Etapa 3 – Creación de nuevos procedimientos de análisis de datos
- Etapa 4 – Automatización de la mayoría de los procedimientos de análisis de datos
Mejores prácticas de inteligencia de amenazas
Ya sea que esté creando su programa desde cero o iterando para mejorar el que ya tiene, estas son las mejores prácticas que pueden ayudarlo a impulsar sus actividades de búsqueda de amenazas:
1. Defina lo que es importante
Determine los activos importantes en su espacio de amenazas. Tenga en cuenta el pensamiento de la «joya de la corona» que recomienda crear un inventario de sus activos de misión crítica, verificar el panorama de riesgos, es decir, cómo se pueden violar y luego protegerlos.
2. Automatizar
Automatice todos los procesos que pueda, si puede. Si no puedes, también está bien. Llegarás allí a medida que seas más maduro.
3. Construya su red
Protegerse de los ciberataques es muy difícil. Nunca puedes equivocarte, mientras que los atacantes solo necesitan tener éxito una vez. Además de eso, no cumplen con ninguna regla. Por eso es importante construir su red y obtener (y proporcionar) información de otros jugadores y partes interesadas en la industria. Esta red debe incluir compañeros de otras empresas, personas influyentes, grupos y foros en línea, empleados de su empresa de otros departamentos, líderes y sus proveedores.
4. Piense como un criminal y actúe como un actor de amenazas
La caza de amenazas significa cambiar de una forma de pensar reactiva a una proactiva. Puede fomentar esta forma de pensar analizando la información sobre amenazas, rastreando grupos, probando herramientas y aprovechando Purple Teaming para las pruebas. Si bien esto puede parecer contrario a la intuición, tenga en cuenta que esta es la forma de proteger su organización. Recuerda, eres tú o el atacante.
Para obtener más información sobre los diferentes tipos de prácticas de ciberseguridad y cómo aprovecharlas para proteger su organización, La serie de clases magistrales de seguridad cibernética de Cato Networks está disponible para su visualización.