Una vez que sabemos qué es el threat hunting, ahora pasamos a una nueva etapa: ¿Cómo hacer threat hunting?
En un entorno donde los riesgos y amenazas cambian rápidamente, la búsqueda de nuevas formas de protección del sistema crecen. Y ahí es cuando una estrategia efectiva como el threat hunting entra en acción.
Una de las cosas que diferencian al threat hunting de otro tipo de solución tradicional, como los SIEM, es la búsqueda proactiva de la amenaza y el machine learning, acompañado del factor humano en su control.
Los ataques ya no son tan fáciles de detectar como lo eran hace algunos años. La detección mediante firmas ya no funciona en un porcentaje muy alto de los malwares que circulan por la red.
Cuando queremos comenzar con una estrategia de threat hunting tenemos que asumir que hemos sido atacados. Una vez que tenemos esta mentalidad, comenzaremos la cacería.
Cómo hacer threat hunting: Pasos a seguir
Elegir el propósito
En este primer paso vamos a establecer el propósito u objetivo del threat hunting. Hay que tener en cuenta que el objetivo debe ser seleccionado, también, según los recursos que tenemos a nuestra disposición.
Es decir, que si queremos encontrar una filtración o poisoning DNS y no contamos con los ficheros de estas plataformas, no coloquemos ese objetivo específico.
Es muy importante en este tipo de cacerías, poder tener los logs de la red en su totalidad y también los endpoints centralizados. De esta manera, poder ver cómo se correlacionan, y así generar datos certeros de importancia en la cacería.
Establecer el alcance
Si queremos realizar una cacería efectiva y, aún más, si estamos en frente de una emergencia, debemos seleccionar el alcance de lo que será nuestra hunt, debido a que no podremos analizar nuestro sistema en su totalidad de una forma rápida y concisa.
De esta manera, podemos hacer un sampling, es decir, elegir una muestra. Buscaremos casos similares del tipo de ataque que asumimos que se está generando en nuestra red. Por ejemplo, buscaremos resoluciones DNS maliciosos que se hayan hecho con frecuencia para poder detectar un posible poisoning o hijacking.
Seleccionar los recursos
Una vez que tenemos nuestro propósito definido y nuestro alcance establecido, debemos seleccionar los recursos que usaremos para llevar a cabo nuestra threat hunting.
Escogeremos todas las tecnologías que tengamos a nuestro alcance. Dentro de estos recursos idealmente deben existir:
- DNS lookups logs
- Firewall Logs
- Endpoint Logs
- Correlated logs
- Web application Firewall logs
Cuando pensamos en un escenario ideal, podemos decir que lo mejor es que todos los mecanismos de respuesta a amenazas estén automatizados. Si esto sucede podrán interconectarse y cruzar datos. Generando así una eficacia mucho mayor que los mecanismos de respuestas individuales.
Así y todo, debemos recordar que el threat hunting tiene un pie muy importante en la búsqueda y el análisis humano.
Debido a esto, asumiremos una desconfianza respecto los resultados generados puramente por software, e iremos controlando y buscando anomalías en los datos seleccionados nosotros mismos.
Diseño del plan
Aquí simplemente estableceremos y documentaremos de forma procedimental como haremos esta cacería. Buscando sentar precedentes y datos que luego puedan ser revisados.
Revisión del plan
Cuando hablamos de cómo hacer threat hunting, en general hablamos de un equipo completo que se dedica a esto.
La revisión del plan que se presenta antes de ser ejecutado, debe ser inspeccionada y aprobada por el supervisor del equipo. Este determinará si los objetivos y recursos son alcanzables.
Además de esto, el supervisor debe asegurarse que la cacería no resultará en una auditoría de políticas, por ejemplo, de firewall, ni tampoco en un examen de penetración del sistema.
Ejecución del plan
Aquí es cuando llega la hora de poner en marcha el plan que se diseñó en las etapas anteriores.
Es de vital importancia poder documentar todo el procedimiento que se realizará, para luego poder tener datos que puedan ser comparados. De esta manera, podremos hacer un balance y generar una base de datos.
Una vez finalizado este ciclo de threat hunting, lo que se recomienda es dejar asentado lo siguiente:
- Determinar prácticas inseguras identificadas.
- Enumerar los hallazgos detectados y su severidad.
- Identificar los hosts y activos atacados.
- Establecer el tiempo de permanencia de los compromisos identificados.
- GAPS identificados en las herramientas de visibilidad, logueo y detecciones ya presentes.
A modo de conclusión
Este proceso de cómo hacer threat hunting, si bien requiere de gran capacidad analítica y técnica, es el indicado cuando lo que buscamos es ser proactivos en nuestra defensa de la red. Recuerda que existen múltiples herramientas para realizar estas tareas, como OSINT Framework, que hemos reseñado en nuestro blog.
Una vez comprendido el ciclo de cómo hacer cacería cibernética en su totalidad, podrá sentirse mucho más preparado para realizar una cacería y defenderse ante la próxima amenaza que detecte en su red.
