¿Qué es la caza de amenazas?

¿Por qué es importante la búsqueda de amenazas?

Dado que las violaciones de datos son cada vez más frecuentes y costosas, un programa de búsqueda de amenazas es una pieza clave de una estrategia de seguridad empresarial moderna, que ofrece a las organizaciones beneficios como:

• Defensa proactiva contra riesgos potenciales y amenazas ocultas,
mejorando la postura general de seguridad y ayudando a mitigar los riesgos antes de que se intensifiquen, previniendo posibles violaciones

Permitir una respuesta acelerada a los incidentes y reducir el tiempo de permanencia de las amenazas mediante la combinación de herramientas automatizadas y experiencia humana para una detección

de amenazas más precisa Reducción del riesgo de daños financieros y de reputación, pérdida de datos y más

ante ataques cada vez más frecuentes y consecuencias más costosas

.

¿Cómo funciona la búsqueda de amenazas?

La búsqueda eficaz de amenazas consiste en la investigación práctica, la prevención y la reducción de riesgos, pero todo ello no puede producirse de manera aislada, sino que se trata de una carrera armamentística contra los malintencionados, que siempre están trabajando para que sus ataques sean más rápidos, más numerosos y más difíciles de detectar. Puede pensar en el proceso básico de búsqueda de amenazas en cuatro partes:

1. Recopilar y analizar datos

Los buscadores de amenazas recopilan grandes cantidades de datos de dentro y fuera de la red de la organización, incluidos registros, datos de tráfico y de puntos finales, y fuentes de inteligencia sobre amenazas. El análisis del comportamiento y el aprendizaje automático ayudan a establecer una línea de base de comportamiento normal a partir de estos datos, y cualquier desviación de la misma podría indicar una amenaza potencial

. 2. Desarrollar una hipótesis

A partir de la información obtenida del análisis de datos, los buscadores de amenazas formulan hipótesis sobre las amenazas potenciales, centrándose en la identificación de anomalías o actividades sospechosas que podrían indicar la presencia de malware u otro incidente de seguridad inminente

. 3 Investigar y validar

Los buscadores de amenazas buscan IOC, indicios de actividad maliciosa o patrones inusuales en los datos examinando el tráfico de la red, revisando los registros, inspeccionando la actividad de los puntos finales, etc. El objetivo es validar si los indicadores apuntan a amenazas auténticas o son meros falsos positivos. La validación es fundamental para que las organizaciones puedan responder a las amenazas con mayor rapidez y eficacia.

4. Mejorar continuamente

Para adaptarse continuamente a la evolución de las amenazas, el proceso de búsqueda es cíclico: los buscadores de amenazas aplican las lecciones aprendidas para perfeccionar sus técnicas, actualizar sus hipótesis, incorporar nueva inteligencia sobre amenazas y soluciones de seguridad, y mucho más para fundamentar mejor su próximo análisis.

Tipos de búsqueda de amenazas

El enfoque que adoptan los buscadores de amenazas depende de la información que tengan inicialmente. Por ejemplo, ¿ha aportado una fuente de amenazas nueva información específica sobre una cepa de malware emergente, como datos de firmas? ¿Observó la organización un repentino aumento del tráfico saliente? La búsqueda de

amenazas basada en pistas (también conocida como búsqueda estructurada) se basa en hipótesis o en IOC específicos que guían la investigación.

Por ejemplo, si los buscadores reciben información específica sobre un malware emergente como el mencionado anteriormente, pueden buscar los signos conocidos de ese malware en su entorno. La búsqueda de amenazas sin pistas (también conocida como búsqueda no estructurada) no depende de pistas

o indicadores específicos. En su lugar, los responsables de la búsqueda de amenazas utilizan el

análisis de datos y técnicas de detección de anomalías para descubrir fenómenos como el mencionado pico de tráfico en la red y, a partir de ahí, investigar la causa de la anomalía. Estos enfoques no son mutuamente excluyentes: los equipos de búsqueda de amenazas

a menudo

necesitan confiar en una combinación de ambos como parte de una metodología de búsqueda exhaustiva. Ventajas de la automatización en la búsqueda de ciberamenazas

La automatización es esencial para una búsqueda de amenazas

eficaz, junto con el pensamiento lateral y la creatividad humana. Los malintencionados explotarán cualquier ventaja que puedan, lo que hoy en día significa que utilizan cada vez más la inteligencia artificial y la automatización para potenciar sus ataques. En otras palabras, es un ejemplo clásico de combatir el fuego con fuego. La automatización acelera la detección de amenazas y la respuesta

al recopilar, correlacionar e identificar anomalías en grandes

cantidades de datos en tiempo real de manera mucho más eficiente de lo que pueden hacerlo los humanos. A su vez, los analistas humanos disponen de más tiempo y atención para centrarse en incidentes que requieren una toma de decisiones contextual matizada o que carecen de datos de seguridad históricos para que las herramientas automatizadas puedan tomar determinaciones.

Modelos y metodologías de búsqueda de amenazas

Varios modelos y metodologías de búsqueda de amenazas ayudan a los buscadores a identificar, investigar y mitigar las amenazas centrándose en diferentes aspectos, en función de lo que se adapte a la naturaleza de su equipo o de la propia amenaza. Algunos modelos comunes son:

Marco MITRE ATT&CK

Es una base de conocimientos de las TTP conocidas de los adversarios que permite estandarizar la categorización y el análisis de los comportamientos de las amenazas en las distintas fases de un ataque, lo que ayuda a los buscadores de amenazas a alinear sus esfuerzos de detección y respuesta.

Lockheed Martin Cyber Kill Chain

Este modelo desglosa siete etapas de un ciberataque, desde el reconocimiento hasta la exfiltración, para ayudar a los esfuerzos proactivos de búsqueda de amenazas mediante la identificación de vulnerabilidades y las posibles estrategias de mitigación eficaces en diferentes puntos de la cadena de ataque.

Cyber Threat Intelligence Life Cycle

Este proceso continuo de recopilación, análisis y difusión de inteligencia sobre amenazas ayuda a los cazadores de amenazas a integrar información oportuna y relevante sobre amenazas en sus esfuerzos de detección y respuesta, lo que permite a las organizaciones anticiparse a las amenazas emergentes.

Lea más en nuestro artículo dedicado, ¿Qué es la inteligencia sobre amenazas?

Observe, oriente, decida, actúe (OODA)

Este marco de cuatro pasos desarrollado originalmente para las Fuerzas Aéreas de los EE. UU. ayuda a los buscadores de amenazas a contextualizar la información sobre las amenazas en evolución con el fin de adaptarse más rápidamente a las situaciones cambiantes, tomar decisiones informadas y emprender acciones eficaces.

Modelo Diamante de Análisis de Intrusiones

Este marco de atribución de ciberamenazas define las cuatro características fundamentales de la actividad de intrusión (adversario, infraestructura, víctima y capacidad) y sus relaciones para ayudar a los buscadores de amenazas a comprender el quién, el qué, el dónde y el cómo de un ataque.

Herramientas de búsqueda de amenazas

Así como existen muchas metodologías de búsqueda, también hay muchas herramientas en el kit de herramientas del buscador de ciberamenazas. Estas son algunas de las tecnologías comunes:

• Las herramientas de gestión de eventos e información de seguridad (SIEM) recopilan y analizan datos de registro de la red de una organización y proporcionan una plataforma central de supervisión y alertas.
• Las herramientas de análisis de tráfico de red (NTA) analizan los patrones y comportamientos del tráfico de red para detectar actividades sospechosas e identificar amenazas potenciales.
• Las herramientas de detección y respuesta de puntos finales (EDR) supervisan y detectan actividades sospechosas en puntos finales en tiempo real mientras ofrecen investigación, búsqueda de amenazas, clasificación y remediación.
• Las plataformas de inteligencia de amenazas (TIP) agregan, correlacionan, analizan y enriquecen la inteligencia de amenazas de diversas fuentes para ayudar a los analistas y sus herramientas a tomar decisiones informadas.
• Las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) automatizan y organizan tareas de respuesta a incidentes, lo que permite una mitigación de amenazas más rápida y eficiente.
• Las herramientas de escaneo de vulnerabilidades respaldan la administración de parches y la evaluación de riesgos al escanear los entornos y las aplicaciones de una organización para identificar las vulnerabilidades que los atacantes podrían aprovechar.
• Las herramientas de gestión de la superficie de ataque (ASM) brindan visibilidad de la superficie de ataque de una organización, lo que ayuda a reducirla al identificar, supervisar y mitigar vulnerabilidades y posibles vectores de ataque.
• Los entornos limitados de malware aíslan y analizan archivos y programas sospechosos en un entorno controlado. Se utilizan para identificar el comportamiento del malware y evaluar amenazas potenciales.
• Las herramientas de emulación de amenazas y Red-Teaming simulan ciberataques del mundo real para ayudar a las organizaciones a evaluar su postura de seguridad e identificar vulnerabilidades.
• La tecnología del engaño implementa señuelos en una red junto con activos reales para atraer a los atacantes y generar alertas de alta fidelidad que reducen el tiempo de permanencia y aceleran la respuesta a incidentes.

¿Quién debería participar en la búsqueda de amenazas?

Los analistas de seguridad versados en herramientas de detección y búsqueda de amenazas son los actores más esenciales en sus esfuerzos de búsqueda de amenazas, ya que toman la iniciativa en la supervisión y análisis de alertas, el seguimiento de comportamientos sospechosos, la identificación de indicadores de ataque (IOA) y más. Las organizaciones más pequeñas pueden emplear solo un analista a tiempo completo, mientras que las más grandes pueden tener equipos de centros de operaciones de seguridad (SOC) o servicios administrados de gran tamaño.

Otras personas importantes suelen ser:

• Analistas de inteligencia de amenazas para sintetizar la inteligencia de amenazas en contextos críticos e indicadores de compromiso.
• Equipos legales y de cumplimiento para ayudar con el cumplimiento de los requisitos legales y reglamentarios.
• Ejecutivos y miembros de la junta directiva para tomar decisiones de alto nivel sobre estrategia, recursos humanos y presupuesto.

¿Qué necesita para empezar a buscar amenazas?

Su organización necesita cuatro elementos clave para detectar amenazas de manera eficaz:

1. Un equipo de buscadores y analistas cualificados. Si tiene un equipo de seguridad interno, invierta en capacitación y desarrollo continuos para ayudarlos a proteger su organización contra amenazas sofisticadas y en evolución.
2. La combinación adecuada de tecnologías de búsqueda de amenazas y herramientas automatizadas, incluidas plataformas SIEM, soluciones EDR, herramientas NTA y plataformas de inteligencia sobre amenazas.
3. Acceso a registros, datos de tráfico de red, datos de comportamiento, entre otros, para garantizar que sus buscadores de amenazas tengan una visión completa del panorama de amenazas.
4. Un marco estratégico claro para la búsqueda de amenazas, con objetivos y estrategias definidos que se alineen con su tolerancia al riesgo y su postura de seguridad.

El papel de Zscaler en la búsqueda de amenazas

Los expertos en búsqueda de amenazas de Zscaler ThreatLabz están atentos a las anomalías dentro de los 500 billones de puntos de datos que atraviesan la nube de seguridad más grande del mundo, identificando y detectando actividad maliciosa y amenazas emergentes.

Zscaler ThreatLabz utiliza inteligencia de amenazas y herramientas patentadas para buscar de manera proactiva tácticas, herramientas y procedimientos (TTP) reveladores de amenazas que van desde los grupos de adversarios más sofisticados hasta el malware básico, lo que permite una cobertura integral de las amenazas actuales.

Estos puntos de datos también se utilizan para entrenar modelos de aprendizaje automático para detecciones más rápidas y amplias. Este enfoque proactivo contribuye a identificar y bloquear 9 mil millones de amenazas potenciales diariamente, antes de que puedan afectar a nuestros clientes o causar daño.