Los cazadores de amenazas logran esto mediante el análisis constante de grandes cantidades de fuentes de datos dispares con el fin de hacer inferencias y correlaciones que en última instancia conduzcan a la identificación de los adversarios avanzados, que de lo contrario es probable que permanezcan sin ser detectados dentro de nuestros sistemas.
Según algunas encuestas “casi el 86% de las organizaciones están involucradas en la caza de amenazas hoy en día, aunque de manera informal, ya que más del 40% no tienen un programa formal de caza de amenazas. Además, de que las organizaciones que realizan caza de amenazas, “menos del 3% siguen una metodología formal, publicada y externa”. Estas cifras indican que las organizaciones entienden el valor ofrecido por Threat Hunters, pero que, sin embargo, están en una fase muy poco madura, integrando la caza de amenazas como una capacidad formal dentro del programa de seguridad de la información.
Sin una metodología probada, verificable y repetible, la caza de amenazas se vuelve mucho menos efectiva y consistente.
Metodología de caza de amenazas
Sqrrl Security Analytics Company (Compañía de seguridad adquirida por Amazon en 2016 para volverla parte de su portafolio de servicios) proporciona un amplio marco para realizar operaciones de búsqueda de amenazas. Este marco incluye cuatro pasos específicos que se realizan cíclicamente:
- Crea una hipótesis
- Investigar a través de herramientas y técnicas
- Descubre nuevos patrones y tácticas, técnicas y procedimientos (TTP)
- Informar y enriquecer los análisis
Estos pasos describen la esencia de la realización de operaciones de búsqueda de amenazas de ciberseguridad, sin embargo, los detalles específicos tales como la planificación, implementación y TTP específicos se dejan por determinar a la organización. A lo largo de la presentación ampliaremos el marco de “Sqrrl Threat Hunting” indicado intentado ofrecer orientación específica sobre la realización de operaciones de búsqueda de amenazas de ciberseguridad.
La siguiente lista muestra esta metodología con tareas específicas que deben realizarse al realizar operaciones de búsqueda de amenazas.
Crear Hipótesis
- Evaluar amenazas y vulnerabilidades
- Formular hipótesis
- Análisis de registro
Investigar a través de herramientas y técnicas
- Análisis de red
- Análisis de host
Descubrir nuevos patrones y TTPs
- Descubrimiento y respuesta de intrusión
- Análisis de árbol de ataque
- Desarrollar técnicas automatizadas de búsqueda
Informar y enriquecer análisis
- Generar inteligencia de amenaza
- Mejora continua de seguridad
Prerrequisitos para la caza de amenazas
La búsqueda de amenazas de ciberseguridad es una práctica avanzada que requiere una inversión importante de personal, equipo y tiempo.
Llevar la caza de amenazas a la madurez requiere una postura de seguridad que incluya las herramientas, las personas, los procesos y la aceptación de los responsables de la toma de decisiones que permiten a los defensores cazar (Lee & Lee, 2016).
Las políticas y prácticas de seguridad fundamentales deberían establecerse exhaustivamente y seguirse de manera rutinaria antes de adoptar la caza de ciberamenazas. Además, los altos directivos deben comprender el valor que la búsqueda de amenazas aporta a una organización y extender su apoyo al programa. Antes de que una organización se comprometa con la caza de ciberamenazas, es necesario evaluar el personal disponible, los activos de seguridad y la madurez de la seguridad de la información.
