Personal para la caza de amenazas de ciberseguridad
Las organizaciones deben evaluar a su personal y determinar cómo pueden asignar personal a la caza de amenazas de ciberseguridad. Solo el 28% de las organizaciones tienen un programa de caza de amenazas con personal asignado y dedicado en exclusiva. En algunas organizaciones existe personal de áreas tales como Equipos de Respuesta a Incidentes de Seguridad Informática o Centros de Operaciones de Seguridad, pero no dedicados en exclusiva. Las organizaciones deben planificar en torno a un marco de capacidades y aplicarlo en función del tamaño de su red y los números y la experiencia del personal. En términos generales, los equipos de caza de amenazas se pueden caracterizar por cuatro roles clave con conjuntos de habilidades como apoyo y conocimientos complementarios:
- Supervisión
El rol de supervisión sirve como el punto primario del equipo de búsqueda de amenazas y control, responsable de la planificación y ejecución de las operaciones de búsqueda de amenazas. Este rol se relaciona con el liderazgo, lleva a cabo la planificación de la misión y prioriza y sincroniza las tareas de los cazadores de amenazas subordinados o curritos.
- Host Hunter
Los cazadores de host examinan los sistemas de información y endpoints en busca de indicadores de compromiso. Los cazadores anfitriones se beneficiarán de equipos con experiencia y habilidades diversas en áreas tales como análisis de intrusión de host, administración de sistemas, respuesta a incidentes y análisis de malware.
- Cazadores de red
Los cazadores de red es la contraparte basada en la red de Host Hunters. Los Network Hunters se centran en examinar la actividad de la red a través de flujo de red, análisis de paquetes y registros de dispositivos de red. El cazador de red tendrá experiencia en análisis de intrusiones de red, administración de dispositivos de red, respuesta a incidentes y Network IDS / IPS.
- Analista de inteligencia de amenazas
El analista de inteligencia de amenazas consumirá y generará inteligencia de amenazas para impulsar las operaciones de búsqueda. Los analistas de inteligencia de amenazas son fundamentales para el éxito de una operación de búsqueda de amenazas. En esencia, el Analista de Inteligencia de Amenazas examinará la inteligencia de amenazas de fuentes privadas y públicas e identificará amenazas que son relevantes para la organización. Esta información se suministrará a los cazadores de amenazas de ciberseguridad para centrar los esfuerzos y aumentar la probabilidad de identificar intrusos en la red. Durante las operaciones de búsqueda de amenazas, el Threat Intelligence Analyst rastreará y correlacionará los indicadores de compromiso encontrados por el personal de análisis de Host y Network Hunt. También consolidarán los resultados de las búsquedas y producir un producto coherente que documente los resultados del equipo de búsqueda de amenazas y al mismo tiempo enriquezca el análisis de inteligencia de amenaza existente.
Un problema al que se enfrentan los nuevos equipos de búsqueda de amenazas es que el personal se retira de puestos existentes, como TI / seguridad o respuesta a incidentes. Para obtener el mayor rendimiento de la inversión, las organizaciones deben utilizar personal cuya principal responsabilidad es la caza de amenazas. Si bien esto requiere una mayor inversión de la organización, el personal dedicado se asegura de que las operaciones de búsqueda de amenazas se ejecuten de manera rutinaria con una calidad constante. Además, la búsqueda de amenazas es una actividad que se vuelve más efectiva con el tiempo a medida que los cazadores de amenazas obtienen una mayor percepción e intuición con respecto a las actividades en la red. Las organizaciones deben evitar asignar amenazas a otros miembros del personal de TI o de seguridad ya que “estos defensores agregan más valor cuando están obsesionados con amenazas reales y no se limitan a responder alertas o problemas de mantenimiento de la red como parches de vulnerabilidades.