La gestión tradicional de amenazas a la seguridad de la información consiste en soluciones automatizadas para evitar que las amenazas ingresen a los componentes de red de la organización, como antivirus y firewalls.
Hoy en día, muchos ciberataques no se pueden detectar únicamente con soluciones automatizadas, por lo que cada vez más empresas utilizan cazadores de amenazas para rastrear y cazar APT (amenazas persistentes avanzadas) y amenazas internas. En este artículo explicamos qué es la búsqueda de amenazas o Threat hunting, lo que hace un cazador de amenazas y te damos algunos consejos y herramientas para la búsqueda de amenazas efectiva.
Indice
¿Qué es Threat Hunting?
La caza de amenazas o threat hunting es una estrategia de defensa activa utilizada por los analistas de seguridad. Consiste en buscar iterativamente a través de redes para detectar indicadores de compromiso (IoC) y amenazas como Advanced Persistent Threats (APT) que eluden su sistema de seguridad existente.
Los analistas rastrean, interceptan y eliminan a los adversarios que acechan en una red. Lo hacen lo antes posible para evitar daños y reducir el tiempo necesario para detectar una amenaza oculta.
Los analistas utilizan software y herramientas de búsqueda de amenazas para buscar e interceptar ataques ocultos.
La caza de amenazas es la práctica de buscar de forma proactiva las amenazas cibernéticas que acechan sin ser detectadas en una red. La caza de amenazas cibernéticas profundiza para encontrar actores maliciosos en tu entorno que hayan superado las defensas de seguridad iniciales de tu punto final.
Después de infiltrarse, un atacante puede permanecer sigilosamente en una red durante meses mientras recopila datos en silencio, busca material confidencial u obtiene credenciales de inicio de sesión que le permitirán moverse lateralmente por el entorno.
Una vez que un adversario logra evadir la detección y un ataque ha penetrado las defensas de una organización, muchas organizaciones carecen de las capacidades de detección avanzadas necesarias para evitar que las amenazas persistentes avanzadas permanezcan en la red. Es por eso que la caza de amenazas es un componente esencial de cualquier estrategia de defensa.
Tipos
Existen dos tipos de caza de amenazas:
- Caza estructurada. Una búsqueda estructurada se basa en la IoA y las tácticas, técnicas y procedimientos (TTP) de un atacante. Todas las búsquedas están alineadas y basadas en los TTP de los actores de la amenaza. Por lo tanto, el cazador generalmente puede identificar a un actor de amenaza incluso antes de que el atacante pueda causar daño al medio ambiente. Este tipo aprovecha el marco MITRE Adversary Tactics Techniques and Common Knowledge (ATT & CK) utilizando tanto PRE-ATT & CK como marcos empresariales.
- Caza no estructurada. Una búsqueda no estructurada se inicia basándose en un disparador. Está más alineado con la caza basada en inteligencia, donde el disparador podría ser cualquiera de los IoC. A menudo, esta es la señal para que un cazador comience a buscar patrones previos y posteriores a la detección. El cazador puede investigar hasta donde lo permitan la retención de datos y los delitos asociados anteriormente. El enfoque del cazador se basa en esta investigación.
Modelos
Destacamos los siguientes modelos de threat hunting:
Caza basada en Intel
Este es un modelo de caza reactiva. Las entradas son los IoC de fuentes de inteligencia de amenazas. A partir de ahí, la búsqueda sigue reglas predefinidas establecidas por el SIEM y la inteligencia de amenazas.
Las búsquedas basadas en Intel utilizan IoC, valores hash, direcciones IP, nombres de dominio y redes o artefactos de host proporcionados por plataformas de intercambio de inteligencia como los equipos de respuesta a emergencias informáticas (CERT).
Una alerta automatizada se puede exportar desde estas plataformas e ingresar al SIEM como expresión de información estructurada de amenazas (STIX) e intercambio automatizado de confianza de información de inteligencia (TAXII). Una vez que el SIEM tiene la alerta basada en un IoC, el cazador de amenazas puede investigar la actividad antes y después de la alerta para identificar cualquier compromiso en el medio ambiente.
Caza de hipótesis utilizando una biblioteca de caza de amenazas
Este es un modelo de caza proactivo. Está alineado con el marco MITRE ATT & CK y aprovecha los manuales de detección global para identificar grupos de amenazas persistentes avanzadas y ataques de malware.
Las búsquedas basadas en hipótesis utilizan IoA y TTP de los atacantes. El cazador identifica a los actores de la amenaza en función del entorno, el dominio y los comportamientos de ataque empleados para crear una hipótesis en consonancia con el marco MITRE. Una vez que se identifica un comportamiento, el cazador de amenazas monitoriza las actividades en busca de patrones con el fin de detectar, identificar y aislar la amenaza. De esta manera, el cazador puede detectar de manera proactiva a los actores de amenazas antes de que realmente puedan dañar el medio ambiente.
Caza personalizada
Este modelo se basa en el conocimiento de la situación y los métodos de caza basados en la industria. Identifica anomalías en las herramientas SIEM y EDR y se puede personalizar en función de los requisitos del cliente.
Las búsquedas personalizadas o situacionales se basan en los requisitos recibidos de los clientes o se ejecutan de forma proactiva en función de situaciones, como problemas geopolíticos y ataques dirigidos. Estas actividades de caza pueden basarse en modelos de caza basados en hipótesis e inteligencia utilizando información de IoA e IoC.
¿Qué hace un cazador de amenazas?
Un cazador de amenazas es un analista de seguridad que utiliza técnicas manuales o asistidas por máquinas para detectar, aislar y neutralizar las APT que no son detectadas por las herramientas de seguridad automatizadas. Los cazadores de amenazas suelen informar a un director de seguridad de la información, que en última instancia informa al director de seguridad de la información (CISO). Cuando trabajan en un centro de operaciones de seguridad (SOC), informan al gerente de SOC.
La caza de amenazas implica un ciclo continuo de hipótesis y ensayos. Un cazador de amenazas asume que un atacante ya está en el sistema, formula una hipótesis y trabaja para probarla o refutarla.
Algunas habilidades importantes para un buen cazador de amenazas incluyen:
- Habilidades de análisis de datos y generación de informes, que incluyen reconocimiento de patrones, redacción técnica, ciencia de datos, resolución de problemas e investigación.
- Conocimiento de sistemas operativos y redes: es necesario conocer los entresijos de los sistemas organizativos y la red.
- Experiencia en seguridad de la información, que incluye ingeniería inversa de malware, seguimiento de adversarios y seguridad de terminales. Un cazador de amenazas debe tener una comprensión clara de las tácticas, técnicas y procedimientos (TTP) pasados y actuales utilizados por los atacantes.
- Fluidez en el lenguaje de programación: al menos un lenguaje de programación y un lenguaje compilado es común, aunque las herramientas modernas eliminan cada vez más la necesidad de utilizar el lenguaje de programación.
Las responsabilidades de un cazador de amenazas incluyen:
- Búsqueda de amenazas internas o atacantes externos: los cazadores de amenazas cibernéticas pueden detectar amenazas planteadas por personas internas, generalmente un miembro del personal, o personas externas, como una organización criminal.
- Busca de forma proactiva a adversarios conocidos: un atacante conocido es aquel que figura en los servicios de inteligencia de amenazas o cuyo patrón de código coincide con la lista negra de programas maliciosos conocidos.
- Busca amenazas ocultas para evitar que se produzca el ataque; mediante una supervisión constante, los cazadores de amenazas analizan el entorno informático. Utilizan análisis de comportamiento para detectar anomalías que indiquen una amenaza.
- Ejecuta el plan de respuesta a incidentes: cuando detectan una amenaza, los cazadores recopilan la mayor cantidad de información posible antes de ejecutar el plan de respuesta a incidentes para neutralizarla. Esto se usa para actualizar el plan de respuesta y prevenir ataques similares.
Los analistas buscan tres tipos de hipótesis cuando buscan amenazas:
- Impulsadas por análisis: utiliza el aprendizaje automático (ML) y el análisis de comportamiento de usuarios y entidades ( UEBA ) para desarrollar puntuaciones de riesgo agregadas y formular hipótesis.
- Impulsadas por inteligencia: incluye análisis de malware, escaneos de vulnerabilidades e informes y feeds de inteligencia.
- Promovidas por la conciencia de la situación: evaluaciones de riesgos empresariales y análisis de la joya de la corona (la identificación de los activos digitales críticos para la empresa).
La gran cantidad de datos recopilados significa que los cazadores de amenazas deben automatizar una gran parte del proceso utilizando técnicas de aprendizaje automático e inteligencia de amenazas.
Metodologías de caza de amenazas
Los cazadores de amenazas asumen que ya hay adversarios en el sistema e inician una investigación para encontrar un comportamiento inusual que pueda indicar la presencia de actividad maliciosa. En la búsqueda de amenazas proactiva, esta iniciación de investigación generalmente se divide en tres categorías principales:
1. Investigación basada en hipótesis
Las investigaciones basadas en hipótesis a menudo se desencadenan por una nueva amenaza que se ha identificado a través de una gran cantidad de datos de ataques de colaboración colectiva, lo que brinda información sobre las últimas tácticas, técnicas y procedimientos (TTP) de los atacantes.
Una vez que se ha identificado un nuevo TTP, los cazadores de amenazas buscarán descubrir si los comportamientos específicos del atacante se encuentran en su propio entorno.
2. Investigación basada en indicadores de compromiso o indicadores de ataque conocidos
Este enfoque para la búsqueda de amenazas implica aprovechar la inteligencia de amenazas tácticas para catalogar los IOC e IOA conocidos asociados con nuevas amenazas. Estos luego se convierten en disparadores que los cazadores de amenazas utilizan para descubrir posibles ataques ocultos o actividad maliciosa en curso.
3. Investigaciones avanzadas de análisis y aprendizaje automático
El tercer enfoque combina un potente análisis de datos y aprendizaje automático para examinar una gran cantidad de información con el fin de detectar irregularidades que puedan sugerir una posible actividad maliciosa. Estas anomalías se convierten en pistas de búsqueda que son investigadas por analistas expertos para identificar amenazas furtivas.
Los tres enfoques son un esfuerzo impulsado por humanos que combina recursos de inteligencia de amenazas con tecnología de seguridad avanzada para proteger de manera proactiva los sistemas y la información de una organización.
Pasos para la búsqueda de amenazas
El proceso de búsqueda proactiva de amenazas cibernéticas generalmente implica tres pasos: un disparador, una investigación y una resolución.
El disparador
Un disparador señala a los cazadores de amenazas a un sistema o área específica de la red para una mayor investigación cuando las herramientas de detección avanzadas identifican acciones inusuales que pueden indicar actividad maliciosa.
A menudo, una hipótesis sobre una nueva amenaza puede ser el detonante de una caza proactiva. Por ejemplo, un equipo de seguridad puede buscar amenazas avanzadas que utilizan herramientas como malware sin archivos para evadir las defensas existentes.
Investigación
Durante la fase de investigación , el cazador de amenazas utiliza tecnología como EDR (Endpoint Detection and Response) para profundizar en el potencial compromiso malicioso de un sistema. La investigación continúa hasta que la actividad se considere benigna o se haya creado una imagen completa del comportamiento malicioso.
Resolución
La fase de resolución implica comunicar la inteligencia de actividad maliciosa relevante a los equipos de operaciones y seguridad para que puedan responder al incidente y mitigar las amenazas. Los datos recopilados sobre actividades tanto maliciosas como benignas se pueden introducir en tecnología automatizada para mejorar su eficacia sin más intervención humana.
A lo largo de este proceso, los cazadores de amenazas cibernéticas recopilan la mayor cantidad de información posible sobre las acciones, los métodos y los objetivos de un atacante. También analizan los datos recopilados para determinar las tendencias en el entorno de seguridad de una organización, eliminar las vulnerabilidades actuales y hacer predicciones para mejorar la seguridad en el futuro.
Consejos para mejorar tu búsqueda de amenazas
Las filtraciones de datos y los ciberataques cuestan a las organizaciones millones de dólares al año. Los siguientes consejos pueden ayudar a tu organización a detectar mejor estas amenazas:
Conoce qué es normal para tu organización
Los cazadores de amenazas deben examinar las actividades anómalas y reconocer las amenazas reales, por lo que comprender cuáles son las actividades operativas normales de la organización es crucial. Para lograr esto, el equipo de búsqueda de amenazas colabora con personal clave dentro y fuera de TI para recopilar información valiosa y conocimientos para decidir qué es una amenaza y qué es una actividad inusual pero normal.
Observar, orientar, decidir, actuar
Los cazadores de amenazas utilizan esta estrategia, tomada de los militares, en la guerra cibernética. OODA significa:
- Observar : recopilar de forma rutinaria registros de los sistemas de seguridad y de TI.
- Orientar: cotejar los datos con la información existente. Analiza y busca señales de un ataque, como señales de mando y control.
- Decidir: identificar el curso de acción correcto de acuerdo con el estado del incidente.
- Actuar: en caso de un ataque, ejecutar el plan de respuesta a incidentes. Toma medidas para prevenir ataques similares en el futuro.
Disponer de recursos adecuados y suficientes
Un equipo de caza de amenazas debería tener suficiente:
- Personal: un equipo de caza de amenazas que incluye al menos un cazador de amenazas cibernéticas experimentado.
- Sistemas: una infraestructura básica de búsqueda de amenazas que recopila y organiza incidentes y eventos de seguridad.
- Herramientas: software diseñado para identificar anomalías y rastrear atacantes.
¿Dónde encaja la caza de amenazas?
La búsqueda de amenazas es muy complementaria al proceso estándar de detección, respuesta y corrección de incidentes. A medida que las tecnologías de seguridad analizan los datos sin procesar para generar alertas, la búsqueda de amenazas funciona en paralelo, utilizando consultas y automatización, para extraer pistas de búsqueda de los mismos datos.
Las pistas de caza son luego analizadas por cazadores de amenazas humanas, que son expertos en identificar los signos de actividad del adversario, que luego pueden gestionarse a través de la misma canalización.
¿Debería contratar un servicio de búsqueda de amenazas administrado?
Aunque el concepto de búsqueda de amenazas es claro, el desafío viene con la contratación de personal que pueda realizar el ejercicio correctamente. Los mejores cazadores de amenazas son aquellos que han sido probados en batalla y tienen una amplia experiencia en la lucha contra los adversarios cibernéticos.
Desafortunadamente, existe una gran escasez de habilidades en la industria de la ciberseguridad cuando se trata de la caza de amenazas, lo que significa que los cazadores experimentados no son baratos. Es por eso que muchas organizaciones recurren a servicios administrados, que pueden brindar una gran experiencia y vigilancia 24 × 7 a un coste más asequible.
A continuación, exploremos qué buscar en un servicio de búsqueda de amenazas:
¿Qué se requiere para iniciar la búsqueda de amenazas?
Un servicio de búsqueda de amenazas superior adopta un enfoque de tres frentes para la detección de ataques. Junto con profesionales de seguridad capacitados, incluye otros dos componentes necesarios para una búsqueda exitosa: datos extensos y análisis de gran alcance.
Capital humano
Cada nueva generación de tecnología de seguridad es capaz de detectar un mayor número de amenazas avanzadas, pero el motor de detección más eficaz sigue siendo el cerebro humano. Las técnicas de detección automatizadas son inherentemente predecibles, y los atacantes de hoy son muy conscientes de esto y desarrollan técnicas para eludir, evadir o esconderse de las herramientas de seguridad automatizadas.
Los cazadores de amenazas humanas son un componente absolutamente crítico en un servicio de búsqueda de amenazas eficaz.
Dado que la caza proactiva depende de la interacción y la intervención humanas, el éxito depende de quién esté buscando a través de los datos. Los analistas de intrusiones deben tener experiencia para identificar ataques dirigidos sofisticados y también deben tener los recursos de seguridad necesarios para responder a cualquier descubrimiento de comportamiento inusual.
Una gran cantidad de datos
El servicio también debe tener la capacidad de recopilar y almacenar datos granulares de eventos del sistema para proporcionar una visibilidad absoluta de todos los puntos finales y activos de la red. Con el uso de una infraestructura de nube escalable, un buen servicio de seguridad luego agrega y realiza análisis en tiempo real sobre estos grandes conjuntos de datos.
Inteligencia de amenazas
Por último, una solución de búsqueda de amenazas debería poder hacer referencias cruzadas de los datos internos de la organización con la inteligencia de amenazas más reciente sobre tendencias externas e implementar herramientas sofisticadas para analizar y correlacionar acciones maliciosas de manera efectiva.
Todo esto requiere tiempo, recursos y dedicación, y la mayoría de las organizaciones no cuentan con el personal y el equipo necesarios para montar una operación continua de búsqueda de amenazas 24 horas al día, 7 días a la semana.
Afortunadamente, existen soluciones de seguridad administradas que tienen los recursos adecuados (las personas, los datos y las herramientas analíticas necesarias) para buscar de manera efectiva la actividad inusual de la red y las amenazas ocultas.
Herramientas de búsqueda de amenazas
Los cazadores de amenazas utilizan software y herramientas para encontrar actividades sospechosas. Hay tres categorías principales de soluciones y herramientas:
- Herramientas de monitorización de seguridad: herramientas como firewalls, antivirus y soluciones de seguridad para terminales recopilan datos de seguridad y monitorean la red.
- Soluciones SIEM: gestión de eventos e información de seguridad (SIEM) ayudan a gestionar los datos de seguridad sin procesar y proporcionan análisis en tiempo real de las amenazas a la seguridad.
- Herramientas de análisis: software de análisis estadístico y de inteligencia. Estas herramientas proporcionan un informe visual a través de cuadros y gráficos interactivos, lo que facilita la correlación de entidades y la detección de patrones.