Activos y capacidades de seguridad de la información
Las organizaciones deben asegurarse de contar con activos de seguridad adecuados para respaldar la búsqueda de amenazas. Los cazadores necesitan los datos que les permitan manejar desde datos individuales en enlaces y correlaciones que finalmente revelarán la amenaza concreta. La búsqueda exitosa de amenazas requiere una gran variedad de herramientas y sensores para recopilar, agregar y analizar datos en busca de indicadores de compromiso. La recopilación de datos debe ampliarse para incluir tantas fuentes de datos como sea posible, desde netflow a registros DNS, además de fuentes de enriquecimiento de datos como la inteligencia de amenazas.
El éxito de la búsqueda de amenazas es proporcional a la cantidad de datos que los cazadores de amenazas pueden aprovechar para perseguir a los adversarios, así como el acceso que se les brinda. Los cazadores de amenazas requieren grandes cantidades de información derivada de los registros, sensores, etc. y también requieren acceso sin inhibiciones para examinar los sistemas en busca de indicadores de compromiso. Como mínimo, los Threat Hunters necesita plataformas que faciliten el registro centralizado, la supervisión de la actividad de la red, la protección del end point, la recopilación y agregación de datos.
Madurez organizacional
Para que los cazadores de amenazas sean efectivos, tienen que dedicarse a la caza de amenazas regularmente. Necesitan llegar al punto en que tengan las habilidades y la capacidad para lanzar cacerías de forma automática y de forma regular, sin esperar primero a ver una intrusión.
Este estado final requiere un programa maduro de seguridad de la información. Para evaluar la madurez, las organizaciones deben examinar los Controles de Seguridad Críticos para una Defensa Cibernética Efectiva (Center for Internet Security, 2015).
Los “Critical Security Controls” ofrecen una lista completa de las tareas que se deben realizar para crear un programa de seguridad de la información robusto y eficaz. Una vez que estas tareas se ejecutan de manera rutinaria y efectiva, las organizaciones pueden considerar agregar la “caza de amenazas” como una capacidad adicional para mejorar aún más la seguridad.
Controles de seguridad críticos de CIS para una defensa cibernética efectiva:
CSC 1: Inventario de dispositivos autorizados y no autorizados
CSC 2: Inventario de software autorizado y no autorizado
CSC 3: Configuraciones seguras para hardware y software en laptops, estaciones de trabajo y servidores de dispositivos móviles
CSC 4: Evaluación continua de la vulnerabilidad y remediación
CSC 5: Uso controlado de privilegios administrativos
CSC 6: Mantenimiento, monitoreo y análisis de registros de auditoría
CSC 7: Protecciones de correo electrónico y navegador web
CSC 8: Defensas de malware
CSC 9: Limitación y control de puertos de red, protocolos y servicios
CSC 10: Capacidad de recuperación de datos
CSC 11: Configuraciones seguras para dispositivos de red como routers , firewalls y switches
CSC 12: Defensa de “límites”
CSC 13: Protección de Datos
CSC 14: Acceso controlado basado en la necesidad
CSC 15: Control de acceso inalámbrico
CSC 16: Control y monitorización de cuenta
CSC 17: Evaluación de habilidades de seguridad y capacitación adecuada para llenar vacíos no seguros
CSC 18: Seguridad del software de la aplicación
CSC 19: Respuesta y manejo de incidentes
CSC 20: Pruebas de penetración y ejercicios de red team