Informar y enriquecer los análisis
Una característica que define al equipo de CyberThreat Hunting es que, la caza exitosa
será la base para informar y enriquecer el análisis automatizado y por ende tener una garantía dentro de nuestros servicios sabiendo que nuestra seguridad contará con una frecuente actualización y optimización como parte de sus procesos de mejora continua
Como los cazadores de amenazas descubren métodos efectivos para identificar TTPs de los adversarios durante las cacerías, deberían desarrollar soluciones automatizadas para contrarrestar los TTP en toda la red de la organización. Hay muchas maneras en que esto se puede hacer, incluido el desarrollo de búsqueda guardada para ejecutar regularmente, creando nuevos análisis utilizando herramientas como “Apache Spark”, o “Python”, o incluso al proporcionar retroalimentación a un algoritmo de aprendizaje automático supervisado confirmando que un patrón identificado es malicioso. Esto permite a los cazadores de amenazas continuar realizando operaciones para descubrir nuevos adversarios de TTPs.
Los cazadores de amenazas también deberían contribuir al cuerpo de inteligencia de amenaza. Como amenaza los “exámenes” de los cazadores revelan nuevas TTP adversas, necesitando alimentar los hallazgos en sistemas de monitorización existentes. A medida que este proceso continúa, los cazadores de Amenazas maduran más allá de la caza genérica impulsada por hipótesis a cacerías impulsadas por inteligencia de amenazas. Esto resulta en cacerías más eficientes y una mayor seguridad organizacional.
Conclusión
Las soluciones defensivas tradicionales basadas en reglas no son suficientes para permitir a los defensores identificar rápidamente y responder a las amenazas persistentes avanzadas. Mientras que las defensas tradicionales en las prácticas de profundidad son importantes para salvaguardar la red y los servicios, no abordan el problema de adversarios latentes que permanecen en la red de nuestra organización. El Cyber Threat Hunting tiene como objetivo abordar el problema de la identificación de adversarios avanzados mediante la adopción de ejemplos preventivos y una metodología deliberada de búsqueda rutinaria de intrusión en la red.
El 40% de una encuesta de no tienen una metodología formal de caza de amenazas.
Los cuatro roles definidos anteriormente se desarrollan en un equipo funcional de Threat Hunters después de evaluar cuidadosamente los activos existentes y la madurez de la organización. Fundamentalmente, los cazadores de amenazas requieren grandes cantidades de información para aprovechar analíticas, visualizaciones y aprendizaje automático para descubrir amenazas avanzadas en la red. Los cazadores de amenazas comienzan a operar después de realizar dicho análisis. Empezando por varias preguntas y con una hipótesis: ¿dónde estaría un adversario dentro de la red? ¿Cuál sería su objetivo?
Esta hipótesis debe basarse en el análisis de riesgos, inteligencia de amenazas, y las prioridades organizacionales, con una hipótesis documentada. Tras ello, los Threat Hunters comienzan la caza mediante la investigación a través de herramientas y técnicas.
Estos roles se desarrollan en un equipo funcional de Threat Hunters después de evaluar cuidadosamente los activos existentes y la madurez de la organización. Fundamentalmente, los cazadores de amenazas requieren grandes cantidades de información para aprovechar analíticas, visualizaciones y aprendizaje automático para descubrir amenazas avanzadas en la red. Los cazadores de amenazas comienzan a operar después de realizar dicho análisis. Empezando por varias preguntas y con una hipótesis: ¿dónde estaría un adversario dentro de la red? ¿Cuál sería su objetivo?
Esta hipótesis debe basarse en el análisis de riesgos, inteligencia de amenazas, y las prioridades organizacionales, con una hipótesis documentada. Tras ello, los Threat Hunters comienzaran la caza mediante la investigación a través de herramientas y técnicas.
Durante esta fase, los Threat Hunters dividen las responsabilidades entre Host y Network Threat Hunters, y un analista de inteligencia de amenazas. Como estos cazadores de amenazas operan, se enfocan en identificar adversarios y descubrir nuevos patrones y TTPs. Sus hallazgos se retroalimentan en el ciclo de búsqueda de amenazas, que tiene el efecto de informar y enriquecer. A medida que los cazadores de amenazas descubren técnicas exitosas, crean soluciones automatizadas que se pueden implementar en toda la empresa. El ciclo entonces cierra el círculo, ya que el resultado de la búsqueda anterior informa y enriquece al siguiente.
La caza de amenazas puede ser un método viable para reducir el tiempo que se tarda en identificar los adversarios en la red. Al realizar la búsqueda de amenazas deliberada e iterativa, las organizaciones mantienen un estado de preparación más alto y potencialmente mejoran drásticamente su postura de seguridad de la información.
Nosotros en Wynnmex contamos con un grupo de expertos en diferentes áreas de conocimiento de la cyberseguridad, permitenos ayudarte a mejorarla!
Escribenos a info@wynnmex.com