La caza de amenazas es un componente esencial de su estrategia de ciberseguridad. Ya sea que est\u00e9 comenzando o en un estado avanzado, este art\u00edculo lo ayudar\u00e1 a aumentar su programa de inteligencia de amenazas.<\/em><\/p>\n La industria de la ciberseguridad est\u00e1 pasando de un enfoque reactivo a uno proactivo. En lugar de esperar las alertas de seguridad cibern\u00e9tica y luego abordarlas, las organizaciones de seguridad ahora est\u00e1n desplegando equipos rojos para buscar activamente infracciones, amenazas y riesgos, para que puedan aislarse. Esto tambi\u00e9n se conoce como “caza de amenazas”. <\/p>\n La caza de amenazas complementa los controles de seguridad de prevenci\u00f3n y detecci\u00f3n existentes. Estos controles son esenciales para mitigar las amenazas. Sin embargo, est\u00e1n optimizados para alertas bajas de falsos positivos. Las soluciones de b\u00fasqueda, por otro lado, est\u00e1n optimizadas para un bajo n\u00famero de falsos negativos. Esto significa que las anomal\u00edas y los valores at\u00edpicos que se consideran falsos positivos para las soluciones de detecci\u00f3n son pistas de b\u00fasqueda de soluciones que deben investigarse. Esto permite que la b\u00fasqueda de amenazas elimine las brechas existentes entre las soluciones de detecci\u00f3n. Una estrategia de seguridad s\u00f3lida utilizar\u00e1 ambos tipos de soluciones. Tal Darsan, gerente de servicios de seguridad de Cato Networks, agrega: “En general, la b\u00fasqueda de amenazas es crucial porque permite a las organizaciones identificar y abordar de manera proactiva las posibles amenazas de seguridad antes de que puedan causar un da\u00f1o significativo. Estudios recientes muestran que el tiempo de permanencia de una amenaza en un la red de la organizaci\u00f3n hasta que el actor de la amenaza logre su objetivo final, podr\u00eda durar de semanas a meses. Por lo tanto, tener un programa activo de b\u00fasqueda de amenazas puede ayudar a detectar y responder r\u00e1pidamente a las amenazas cibern\u00e9ticas que otros motores o productos de seguridad pasan por alto”.<\/p>\n Un cazador de amenazas comenzar\u00e1 realizando una investigaci\u00f3n en profundidad de la red y sus vulnerabilidades y riesgos. Para hacerlo, necesitar\u00e1n una amplia variedad de habilidades tecnol\u00f3gicas de seguridad, incluido el an\u00e1lisis de malware, an\u00e1lisis de memoria, an\u00e1lisis de red, an\u00e1lisis de host y habilidades ofensivas. Una vez que su investigaci\u00f3n arroje una “pista”, la usar\u00e1n para desafiar las hip\u00f3tesis de seguridad existentes y tratar de identificar c\u00f3mo se puede violar el recurso o el sistema. Para probar\/refutar su hip\u00f3tesis, realizar\u00e1n campa\u00f1as iterativas de caza.<\/p>\n Si tienen “\u00e9xito” en la infracci\u00f3n, podr\u00edan ayudar a la organizaci\u00f3n a desarrollar m\u00e9todos de detecci\u00f3n y corregir la vulnerabilidad. Los cazadores de amenazas tambi\u00e9n pueden automatizar parte o la totalidad de este proceso, para que pueda escalar.<\/p>\n Tal Darsan agrega “MDR (detecci\u00f3n y respuesta gestionadas)<\/b><\/a> Los equipos desempe\u00f1an un papel fundamental para lograr una b\u00fasqueda de amenazas eficaz al proporcionar experiencia y herramientas especializadas para monitorear y analizar posibles amenazas de seguridad. La contrataci\u00f3n de un servicio de MDR brinda a las organizaciones soporte experto en ciberseguridad, tecnolog\u00eda avanzada, monitoreo las 24 horas, los 7 d\u00edas de la semana, respuesta r\u00e1pida a incidentes y rentabilidad. Los proveedores de servicios de MDR tienen experiencia especializada y utilizan herramientas avanzadas para detectar y responder a posibles amenazas en tiempo real”.<\/p>\n Un buen cazador de amenazas debe convertirse en un experto en inteligencia de c\u00f3digo abierto (OSINT). Al buscar en l\u00ednea, los cazadores de amenazas pueden encontrar kits de malware, listas de infracciones, cuentas de clientes y usuarios, d\u00edas cero, TTP y m\u00e1s.<\/p>\n Estas vulnerabilidades se pueden encontrar en la web clara, es decir, la Internet p\u00fablica que es ampliamente utilizada. Adem\u00e1s, en realidad se encuentra mucha informaci\u00f3n valiosa en la web profunda y la web oscura, que son las capas de Internet debajo de la web clara. Al ingresar a la web oscura, se recomienda enmascarar cuidadosamente su personalidad; de lo contrario, usted y su empresa podr\u00edan verse comprometidos.<\/p>\n Se recomienda pasar al menos media hora a la semana en la dark web. Sin embargo, dado que es dif\u00edcil encontrar vulnerabilidades all\u00ed, la mayor\u00eda de lo que identifiques probablemente provendr\u00e1 de las redes profundas y claras.<\/p>\n Establecer un programa de inteligencia de amenazas es un proceso importante, que no debe tomarse a la ligera. Por lo tanto, es esencial investigar a fondo y planificar el programa antes de comenzar la implementaci\u00f3n. Aqu\u00ed hay algunas consideraciones a tener en cuenta.<\/p>\n Al desarrollar su estrategia de caza de amenazas, el primer paso es identificar y proteger sus propias joyas de la corona. Lo que consiste como activos de misi\u00f3n cr\u00edtica difiere de una organizaci\u00f3n a otra. Por lo tanto, nadie puede definirlos por usted.<\/p>\n Una vez que haya decidido cu\u00e1les son, utilice un Equipo P\u00farpura para probar si se puede acceder a ellos y c\u00f3mo violarlos. Al hacerlo, podr\u00e1 ver c\u00f3mo pensar\u00eda un atacante para que pueda implementar controles de seguridad. Verifique continuamente estos controles.<\/p>\n Hay muchas estrategias diferentes de caza de amenazas que puede implementar en su organizaci\u00f3n. Es importante asegurarse de que su estrategia aborde los requisitos de su organizaci\u00f3n. Las estrategias de ejemplo incluyen:<\/p>\n La automatizaci\u00f3n impulsa la eficiencia, la productividad y la reducci\u00f3n de errores. Sin embargo, la automatizaci\u00f3n no es imprescindible para la caza de amenazas. Si decide automatizar, se recomienda asegurarse de:<\/p>\n Como cualquier otra estrategia comercial implementada, existen varios niveles de madurez que las organizaciones pueden alcanzar. Para la caza de amenazas, las diferentes etapas incluyen:<\/p>\n Ya sea que est\u00e9 creando su programa desde cero o iterando para mejorar el que ya tiene, estas son las mejores pr\u00e1cticas que pueden ayudarlo a impulsar sus actividades de b\u00fasqueda de amenazas:<\/p>\n Determine los activos importantes en su espacio de amenazas. Tenga en cuenta el pensamiento de la “joya de la corona” que recomienda crear un inventario de sus activos de misi\u00f3n cr\u00edtica, verificar el panorama de riesgos, es decir, c\u00f3mo se pueden violar y luego protegerlos.<\/p>\n Automatice todos los procesos que pueda, si puede. Si no puedes, tambi\u00e9n est\u00e1 bien. Llegar\u00e1s all\u00ed a medida que seas m\u00e1s maduro.<\/p>\n Protegerse de los ciberataques es muy dif\u00edcil. Nunca puedes equivocarte, mientras que los atacantes solo necesitan tener \u00e9xito una vez. Adem\u00e1s de eso, no cumplen con ninguna regla. Por eso es importante construir su red y obtener (y proporcionar) informaci\u00f3n de otros jugadores y partes interesadas en la industria<\/b><\/a>. Esta red debe incluir compa\u00f1eros de otras empresas, personas influyentes, grupos y foros en l\u00ednea, empleados de su empresa de otros departamentos, l\u00edderes y sus proveedores.<\/p>\n La caza de amenazas significa cambiar de una forma de pensar reactiva a una proactiva. Puede fomentar esta forma de pensar analizando la informaci\u00f3n sobre amenazas, rastreando grupos, probando herramientas y aprovechando Purple Teaming para las pruebas. Si bien esto puede parecer contrario a la intuici\u00f3n, tenga en cuenta que esta es la forma de proteger su organizaci\u00f3n. Recuerda, eres t\u00fa o el atacante.<\/p>\n Para obtener m\u00e1s informaci\u00f3n sobre los diferentes tipos de pr\u00e1cticas de ciberseguridad y c\u00f3mo aprovecharlas para proteger su organizaci\u00f3n, La serie de clases magistrales de seguridad cibern\u00e9tica de Cato Networks est\u00e1 disponible para su visualizaci\u00f3n<\/b>.<\/a><\/p>\n <\/p>\n\u00bfQu\u00e9 es la caza de amenazas?<\/h2>\n
\u00bfPor qu\u00e9 se requiere la caza de amenazas?<\/h2>\n
C\u00f3mo cazar amenazas<\/h2>\n
D\u00f3nde buscar amenazas<\/h3>\n
Consideraciones para su programa de inteligencia de amenazas<\/h2>\n
1. Pensamiento de “joya de la corona”<\/h3>\n
\n<\/ol>\n
2. Elegir una estrategia de caza de amenazas<\/h3>\n
\n<\/ol>\n
\n
3. Cu\u00e1ndo usar la automatizaci\u00f3n de inteligencia de amenazas<\/h3>\n
\n<\/ol>\n
\n
El modelo de madurez de la caza de amenazas<\/h2>\n
\n
Mejores pr\u00e1cticas de inteligencia de amenazas<\/h2>\n
1. Defina lo que es importante<\/h3>\n
\n<\/ol>\n
2. Automatizar<\/h3>\n
\n<\/ol>\n
3. Construya su red<\/h3>\n
4. Piense como un criminal y act\u00fae como un actor de amenazas<\/h3>\n
\n<\/ol>\n