El threat hunting, que significa «caza de amenazas cibernéticas«, se ha vuelto una pieza cada vez más vital para las organizaciones. A medida que las empresas buscan herramientas de mayor vanguardia para responder a un ataque potencial, este mecanismo surge como el indicado para encontrar intrusiones y también para prevenirlas. En este artículo te explicamos en detalle qué es el threat hunting y cómo funciona.
¿Qué es el Threat Hunting?
Se conoce como Threat Hunting al proceso continuo e iterativo centrado en la capacidad analítica humana y de software de buscar actividades anormales en los activos de la organización que podrían significar compromiso, intrusión o exfiltración de los datos de una organización. Es un proceso que primero conoce el entorno, luego identifica la forma de actuar entre sí de las posibles amenazas, finalmente analiza las mismas y genera bases de datos.
De esta manera aprende y genera conocimientos a largo plazo.
Proceso de threat hunting
Al igual que un cazador de la antigüedad, conocer el lugar donde se encuentra la presa es fundamental. Por esta razón, el proceso de threat hunting debe analizar el sistema, conocerlo en profundidad, e identificar la actividad anormal, como un verdadero cazador.
Como todo buen cazador, no puede ir con las manos vacías, debe ir con las herramientas e instrumentos necesarios. Ahí es cuando los software antimalware realizan su vital trabajo, en esta asociación para cumplir con los objetivos.
La cacería de amenazas cibernéticas se caracteriza por su proactividad. No es tan solo un detector de amenazas pasivo como un SIEM (Security Information and Event Management) tradicional.
En lo que se centra este nuevo modelo es en adelantarse a las amenazas. Usa mecanismos de predicción, detección y respuesta.
Además de esto, el mecanismo funciona con 6 etapas definidas para su proactividad y eficiencia.
Etapas del threat hunting
- Propósito: Definir que objetivos de ciberseguridad tiene que cumplir la herramienta.
- Alcance: Identifica a los sistemas y las redes que deberá tener como objeto de estudio.
- Equipamiento: Desarrollo del plan de colección y de análisis de los datos. Define que tipo de fuentes de datos, técnicas y procedimientos utilizará.
- Revisión de Plan: Punto de control para que la caza de amenazas pueda cumplir con su objetivo.
- Ejecución: Luego de haber sido revisado y aprobado, comienza a funcionar el threat hunting en sí.
- Feedback: Se analizan todas las etapas que se realizaron durante el procedimiento. Los efectos que tuvieron y de esa manera define que cosas se pueden corregir y mejorar.
Este funcionamiento por etapas y aprendizaje es el principal factor que vuelve a la caza de amenazas cibernéticas una herramienta tan particular respecto a la ciberseguridad en general.
Además de su funcionamiento general, tenemos distintos modelos de threat hunting, mencionados a continuación.
Modelos de caza de amenazas en ciberseguridad
Caza basada en Intel.
La detección basada en Intel es un modelo reactivo de detección que utiliza IoC (lines of code) de fuentes de inteligencia de amenazas. A partir de ahí, la detección sigue reglas predefinidas establecidas por el SIEM y la inteligencia de amenazas.
Caza de hipótesis utilizando una biblioteca de caza de amenazas
La detección de hipótesis es un modelo de detección que utiliza una biblioteca de detección de amenazas. El mismo emplea libros de jugadas de detección global, para identificar grupos de amenazas persistentes avanzadas y ataques de malware.
Caza personalizada
Las detecciones personalizadas o situacionales se basan en los requisitos de los clientes, o se ejecutan de forma proactiva en función de situaciones, como problemas geopolíticos y ataques dirigidos.
Algo que encontraremos en común permanentemente en el threat hunting es la proactividad. Medidas tradicionales como el antivirus, el cortafuegos y el sandboxing, nunca tomarán cartas en los asuntos previamente a que estos realmente sucedan.
Cuando hablamos de proactividad hablamos de aprendizaje y también del planteo de una protección de ciberseguridad que sea no solo defensiva, sino también ofensiva.
Cuando vemos que el cazador de amenazas va aprendiendo de todos sus ejercicios, a prueba y error, lo que tenemos que saber es que mientras más tiempo se le dedique a la caza de amenazas cibernéticas, más eficiente será la misma. Debido a que se podrá ir generando una base de datos y un historial general.
Conclusión
Un intruso que no es detectado y que se infiltra en nuestro sistema puede llegar a pasar meses sin que lo notemos. El threat hunting, es la única herramienta que tiene como característica la proactividad frente a los problemas y, de esa manera, la única que podrá buscar la amenaza y así atacarla, sin necesidad de red flags, ni mayores llamados de atención.
De esta manera, el threat hunting, o caza de amenazas cibernéticas, es un conjunto de metodologías que se presenta como una solución necesaria en momentos en los que las amenazas en la red se están volviendo cada vez más silenciosas y complejas de tratar.
