Cybersecurity Seguridad Tecnologias de la informacion Wynnmex

¿Que es una APT? (5)

Planificación de operaciones de caza de amenazas

La preparación adecuada es esencial para el éxito de cualquier operación. La búsqueda exitosa de amenazas primero depende de la comprensión completa del entorno operativo. Los cazadores de amenazas necesitan tener un conocimiento profundo de los activos autorizados, las configuraciones y los datos críticos ubicados en su red. Los cazadores de amenazas necesitan contar con procesos para garantizar la adquisición y preservación de las líneas de base que documenten las configuraciones y cambios del sistema. Las líneas de base actuales e históricas sirven como un medio para monitorear y comparar los cambios a lo largo del tiempo. Los cazadores de amenazas necesitan automatizar la recopilación y el almacenamiento de esta información, preferentemente en una base de datos para facilitar las consultas y la agregación de datos (Normalmente mediante un SIEM o similar). Finalmente, los cazadores de amenazas deben asegurarse de que la directiva entienda y apruebe el programa de búsqueda. Esto asegurará que las actividades de búsqueda cuenten con el respaldo que requieren y que estén en sintonía con los objetivos y prioridades de la seguridad de la organización.

Análisis de la misión

La caza de amenazas es un proceso impulsado por analistas que está destinado a abordar problemas fuera de lo que una sola alerta o indicador puede revelar. Las Operaciones de Caza de Amenazas deben estar precedidas por un análisis de amenazas.
Para que un adversario sea considerado una amenaza, debe tener tres cosas:

  1. Intención
  2. Capacidad
  3. Oportunidad de causar daño

La caza de amenazas se lleva a cabo sobre la base de que las amenazas de ciberseguridad son fundamentalmente amenazas humanas. La caza efectiva de amenazas implica comprender la amenaza humana. Las Operaciones de Caza de Amenazas deben ir precedidas de una revisión de inteligencia de amenazas, ya sea que eso signifique examinar datos relacionados con incumplimientos / incidentes históricos, revisar registros y alertas o examinar inteligencia de código abierto para amenazas específicas de la organización. Esta información se usa para enfocar a los cazadores de amenazas y finalmente darles la dirección necesaria para cazar a los adversarios que ya están dentro de la red.

Creando una Hipótesis

Transiciones de inteligencia de amenaza como característica definitoria de la caza de amenazas: una hipótesis. Simplemente hablando, la caza de amenazas comienza con una pregunta: ¿qué amenazas pueden existir en la organización? ¿Cómo se infiltraría el adversario en la organización? ¿Cuáles serían los objetivos? Estas preguntas permiten a los Threat Hunters desarrollar una hipótesis específica y cuantificable basada en la comprensión de la amenaza que en última instancia impulsará la operación de búsqueda.

Para que una hipótesis sea efectiva, debe ser comprobable. Una hipótesis podría indicar que la administración ejecutiva tiene un riesgo elevado de compromiso por parte de los actores patrocinados por el estado que buscan información sobre secretos comerciales. Los cazadores de amenazas podrían luego evaluar posibles vectores de amenaza como ”spear phishing.

El phishing, como acción líder de ciber espionaje, ofrece una serie de ventajas, el tiempo de compromiso puede ser extremadamente rápido y los atacantes pueden atacar a personas específicas. Los cazadores de amenazas podrían identificar puntos de apoyo, puntos de pivote y credenciales de usuario potenciales que podrían verse comprometidos después de la intrusión inicial. Esta información culmina al proporcionar a los cazadores de amenazas personas, sistemas y técnicas clave que los adversarios probablemente exploten para completar sus objetivos. El resultado final es que los cazadores de amenazas tienen orientación y dirección específicas para realizar de manera eficiente las operaciones de búsqueda de amenazas.

Deja un comentario