Ciberseguridad
  • Home
  • Glosario
  • Educación
  • Software
  • Eventos
  • Empresas
  • Profesionales
  • Noticias
No Result
View All Result
  • Home
  • Glosario
  • Educación
  • Software
  • Eventos
  • Empresas
  • Profesionales
  • Noticias
No Result
View All Result
Ciberseguridad
No Result
View All Result
Home Profesionales de ciberseguridad

Cazar amenazas en la red: ¿Cómo hacer threat hunting?

enero 23, 2023
in Profesionales de ciberseguridad
0
Como-hacer-threat-hunting
0
SHARES
56
VIEWS
Share on FacebookShare on Twitter
Lectores: 380

Una vez que sabemos qué es el threat hunting, ahora pasamos a una nueva etapa: ¿Cómo hacer threat hunting?

En un entorno donde los riesgos y amenazas cambian rápidamente, la búsqueda de nuevas formas de protección del sistema crecen. Y ahí es cuando una estrategia efectiva como el threat hunting entra en acción.

Una de las cosas que diferencian al threat hunting de otro tipo de solución tradicional, como los SIEM, es la búsqueda proactiva de la amenaza y el machine learning, acompañado del factor humano en su control.

Los ataques ya no son tan fáciles de detectar como lo eran hace algunos años. La detección mediante firmas ya no funciona en un porcentaje muy alto de los malwares que circulan por la red. 

Cuando queremos comenzar con una estrategia de threat hunting tenemos que asumir que hemos sido atacados. Una vez que tenemos esta mentalidad, comenzaremos la cacería.

Contenidos ocultar
1 Cómo hacer threat hunting: Pasos a seguir
1.1 Elegir el propósito
1.2 Establecer el alcance
1.3 Seleccionar los recursos
1.4 Diseño del plan
1.5 Revisión del plan
1.6 Ejecución del plan
2 A modo de conclusión

Cómo hacer threat hunting: Pasos a seguir

Elegir el propósito

En este primer paso vamos a establecer el propósito u objetivo del threat hunting. Hay que tener en cuenta que el objetivo debe ser seleccionado, también, según los recursos que tenemos a nuestra disposición. 

Es decir, que si queremos encontrar una filtración o poisoning DNS y no contamos con los ficheros de estas plataformas, no coloquemos ese objetivo específico.

Es muy importante en este tipo de cacerías, poder tener los logs de la red en su totalidad y también los endpoints centralizados. De esta manera, poder ver cómo se correlacionan, y así generar datos certeros de importancia en la cacería.

Establecer el alcance

Si queremos realizar una cacería efectiva y, aún más, si estamos en frente de una emergencia, debemos seleccionar el alcance de lo que será nuestra hunt, debido a que no podremos analizar nuestro sistema en su totalidad de una forma rápida y concisa.

De esta manera, podemos hacer un sampling, es decir, elegir una muestra. Buscaremos casos similares del tipo de ataque que asumimos que se está generando en nuestra red. Por ejemplo, buscaremos resoluciones DNS maliciosos que se hayan hecho con frecuencia para poder detectar un posible poisoning o hijacking.

Seleccionar los recursos

Una vez que tenemos nuestro propósito definido y nuestro alcance establecido, debemos seleccionar los recursos que usaremos para llevar a cabo nuestra threat hunting.

Escogeremos todas las tecnologías que tengamos a nuestro alcance. Dentro de estos recursos idealmente deben existir: 

  • DNS lookups logs
  • Firewall Logs
  • Endpoint Logs
  • Correlated logs
  • Web application Firewall logs

Cuando pensamos en un escenario ideal, podemos decir que lo mejor es que todos los mecanismos de respuesta a amenazas estén automatizados. Si esto sucede podrán interconectarse y cruzar datos. Generando así una eficacia mucho mayor que los mecanismos de respuestas individuales.

Así y todo, debemos recordar que el threat hunting tiene un pie muy importante en la búsqueda y el análisis humano.

Debido a esto, asumiremos una desconfianza respecto los resultados generados puramente por software, e iremos controlando y buscando anomalías en los datos seleccionados nosotros mismos.

threat hunting
A la hora de ver cómo realizar un threat hunting debemos primero usar nuestra capacidad analítica para reducir el rango de búsqueda. Un esfuerzo que dará sus frutos.

Diseño del plan

Aquí simplemente estableceremos y documentaremos de forma procedimental como haremos esta cacería. Buscando sentar precedentes y datos que luego puedan ser revisados.

Revisión del plan

Cuando hablamos de cómo hacer threat hunting, en general hablamos de un equipo completo que se dedica a esto. 

La revisión del plan que se presenta antes de ser ejecutado, debe ser inspeccionada y aprobada por el supervisor del equipo. Este determinará si los objetivos y recursos son alcanzables.

Además de esto, el supervisor debe asegurarse que la cacería no resultará en una auditoría de políticas, por ejemplo, de firewall, ni tampoco en un examen de penetración del sistema.

Ejecución del plan

Aquí es cuando llega la hora de poner en marcha el plan que se diseñó en las etapas anteriores. 

Es de vital importancia poder documentar todo el procedimiento que se realizará, para luego poder tener datos que puedan ser comparados. De esta manera, podremos hacer un balance y generar una base de datos.

Una vez finalizado este ciclo de threat hunting, lo que se recomienda es dejar asentado lo siguiente:

  • Determinar prácticas inseguras identificadas.
  • Enumerar los hallazgos detectados y su severidad.
  • Identificar los hosts y activos atacados.
  • Establecer el tiempo de permanencia de los compromisos identificados.
  • GAPS identificados en las herramientas de visibilidad, logueo y detecciones ya presentes.

A modo de conclusión

Este proceso de cómo hacer threat hunting, si bien requiere de gran capacidad analítica y técnica, es el indicado cuando lo que buscamos es ser proactivos en nuestra defensa de la red. Recuerda que existen múltiples herramientas para realizar estas tareas, como OSINT Framework, que hemos reseñado en nuestro blog. 

Una vez comprendido el ciclo de cómo hacer cacería cibernética en su totalidad, podrá sentirse mucho más preparado para realizar una cacería y defenderse ante la próxima amenaza que detecte en su red.

Anterior

Conoce los 5 mejores Antimalwares de este 2023

Siguiente

Qué es un Firewall: su definición y características

Related Posts

Mujer analizando evidencia en dispositivos electrónicos.
Profesionales de ciberseguridad

¿Qué son las evidencias digitales y para qué sirven?

abril 10, 2023
9
En la imagen se ve el logo de MITRE ATT&CK
Profesionales de ciberseguridad

Guía de introducción a MITRE ATT&CK ¿Qué es? ¿Cuáles son las fases de este framework?

abril 10, 2023
55
Vemos la mano de una persona usando su celular y un emoticon de cerebro al lado, en referencia a los usos del comportamiento biométrico en la autenticación de identidad.
Profesionales de ciberseguridad

Comportamiento biométrico y su uso para prevenir fraudes

abril 10, 2023
13
En la imagen se ve una representación de que es iam
Profesionales de ciberseguridad

Gestión de Accesos e Identidades (IAM) ¿Qué es? ¿Por qué debes implementarlo en tu empresa? 

marzo 14, 2023
56
En la imagen se ve una representación de la técnica humint
Profesionales de ciberseguridad

Casi un espía ¿Sabes qué es HUMINT? Entérate como puede mejorar tus habilidades de inteligencia

marzo 1, 2023
29
Siguiente
que es un firewall

Qué es un Firewall: su definición y características

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Premium Content

En la imagen se ve el logo de rootedcon 2023

Agenda el 9 y 11 de marzo para el RootedCON 2023

marzo 14, 2023
717
El doxing puede ser peligroso para personas individuales y para empresas.

Doxing: Qué es y cuáles son sus peligros

septiembre 9, 2022
36
mejores DNS para México

Mejores DNS para México | PS4,PS5, Xbox y Nintendo Switch

diciembre 15, 2022
5.6k

Browse by Category

  • Educación en ciberseguridad
  • Empresas de ciberseguridad
  • Eventos de ciberseguridad
  • Glosario de ciberseguridad
  • Noticias
  • Profesionales de ciberseguridad
  • Software de ciberseguridad

Browse by Tags

Conferencia Congreso Encuentro Entrevista Finalizados Jornada Reseña
  • Contacto
  • Home
No Result
View All Result
  • Home
  • Glosario
  • Educación
  • Eventos
  • Software