Análisis de red
El enfoque de los Network Threat Hunters es el monitoreo y análisis de la actividad de la red. El análisis de red plantea desafíos debido al cifrado, el ancho de banda, el almacenamiento y las limitaciones de procesamiento, y un adversario cada vez más astuto. A pesar de estas limitaciones, el análisis de red ofrece a los Threat Hunters un medio escalable para identificar y reaccionar ante adversarios avanzados en la red. Cuando se utilizan junto con el análisis de registros y de host, los Threat Hunters puede lograr un examen integral y completo de los sistemas para detectar la presencia del adversario.
Los cazadores de amenazas de red analizan un conjunto diverso de actividades de red, como capturas de paquetes y flujo de red, alertas IDS / IPS de red y registros de dispositivos de red. Aunque los requisitos organizativos dictarán las fuentes específicas de información de red, los cazadores de amenazas deberían centrar su análisis en examinar cuatro características clave de la red:
- El número de conexiones de red salientes
- La duración de las conexiones
- La cantidad de datos intercambiados
- La frecuencia de las conexiones
Cuando un host se ve comprometido, estas características casi siempre se desviarán de la actividad normal del usuario de una manera significativa. Usando capacidades tales como análisis de flujo de red, análisis de protocolo y análisis estadístico, los Threat Hunters pueden visualizar e identificar hosts anómalos en la red en función de la forma en que se comunican. Esto puede servir como un trampolín para permitir que los cazadores de amenazas identifiquen los hosts comprometidos y por extensión los adversarios en su red. Las direcciones IP sospechosas pueden correlacionarse con los hallazgos de los Host Threat Hunters y de la red en general.
Análisis de host
Los Host Threat Hunters se enfocan en examinar el comportamiento y la configuración de los sistemas host. Esto se logra comparando las configuraciones con las líneas base establecidas, revisando las alertas de soluciones de seguridad como antivirus y host IDS / IPS, y verificando la integridad del sistema de archivos. Los cazadores de amenazas verifican continuamente el estado de estos conjuntos de datos y los comparan con los informes históricos, preferiblemente de una manera que admita la visualización de datos.
Como se indica en la sección análisis de registro, los adversarios inevitablemente modifican los usuarios / grupos de un sistema, los procesos y las conexiones de red. Los Host Threat Hunters deben centrarse en estas áreas comparando las configuraciones actuales con líneas de base y normas establecidas. Junto con las comparaciones históricas, los Host Threat Hunters deben monitorear de cerca y analizar el estado y las actividades de los usuarios y grupos privilegiados. Por ejemplo, los Host Threat Hunters deben observar los períodos de inicio de sesión de los usuarios con privilegios y buscar anomalías que se desvíen del comportamiento tradicional del usuario.
Descubrir nuevos patrones y TTPs
Los equipos de Threat Hunt deben inclinarse a enfocar sus esfuerzos en la búsqueda de indicadores de compromiso como hashes maliciosos, direcciones IP y exploits del sistema de archivos.
Si bien esto puede dar como resultado algunas victorias rápidas, es trivial para los adversarios avanzados modificar estos indicadores. En su lugar, los cazadores de amenazas deberían concentrarse en comprender las TTP globales que se producen en el indicador a través de un proceso conocido como análisis de árbol de ataque. El análisis del árbol de ataque implica modelar qué pasos puede realizar un adversario para violar los sistemas de la organización. Modelos como la cadena de muerte cibernética (Cyber Kill Chain) de Lockheed Martin o el ciclo de vida de ataque de Mandiant pueden ser útiles para determinar en qué parte del árbol de ataque se produjeron las actividades de los adversarios.
| Técnica de ataque de hackers | Remediación |
| Técnica del adversario | Tácticas y procedimientos |
| Reconocimiento | Escaneo de puertos, recolección de direcciones de correo electrónico, etc. |
| Explotación | Aprovechamiento de acoplamiento con puerta trasera en carga útil liberable |
| Entrega | Entregando paquete armado al correo electrónico de la víctima, web, USB, etc. |
| Entregando paquete armado al correo electrónico de la víctima, web, USB, etc. | Explotar una vulnerabilidad para ejecutar código en la víctima sistema |
| Instalación | Instalación de malware en el activo |
| Command and Control | Canal de comando para la manipulación remota de la víctima |
| Acciones en objetivos | Los intrusos logran su objetivo original |
Al determinar dónde encaja un indicador dentro del árbol de ataque, los cazadores pueden identificar el lenguaje de información y luego intentar resolverlas a través de técnicas de investigación adicionales. A medida que los cazadores de amenazas descubren el árbol de ataque del adversario, logran una visión holística de los TTP de los adversarios, lo que aumenta la continuación de las cacerías y mejora la postura general de seguridad de la información de la organización.
Los cazadores de amenazas reciben el mayor rendimiento de sus esfuerzos centrándose en descubriendo adversarios mediante TTPs.
Las TTP reflejan el comportamiento de un atacante, y el comportamiento requiere de un tiempo significativo e inversión monetaria para modificarse.
En la práctica, esto se traduce en técnicas de detección y combate como los ataques “Pass-the-Hash” en lugar de descubrir incidentes sobre los adversarios que llevan a cabo esos ataques. Al enfocarse en detectar y responder a los TTPs de los adversarios, los cazadores de amenazas obtienen una ventaja operando directamente en el comportamiento de los adversarios, en lugar del conjunto de herramientas de los mismos.
Descubrir nuevos patrones y TTPs permite a los cazadores de amenazas evolucionar los procesos de seguridad de la información, así como el programa de búsqueda de amenazas en sí. Como defensores, catalogar las observaciones sobre los TTPs de los atacantes, puntos débiles en las defensas y cualquier obstrucción en el flujo de trabajo de investigación, pudiendo agilizar los tiempos de respuesta y compensación. A medida que los cazadores de amenazas continúan descubriendo nuevos TTPs, los resultados retroalimentan sus procesos y sistemas existentes, refinando la detección, acciones de respuesta y eficiencia. Cuando se incorpora con la visualización de datos, la inteligencia de amenazas y las técnicas de aprendizaje automático, permite al proceso de los cazadores de amenazas estar un paso por delante de los atacantes.
