Caza de ciberamenazas: todo lo que debes saber

Una solución EDR activará tu red y puntos finales contra la mayoría de las amenazas de ciberseguridad, pero nadie puede afirmar que una solución de seguridad está 100 % garantizada para detener cada ataque. Un hacker determinado o un actor de amenazas que apunta específicamente a una organización generalmente habrá pasado un tiempo considerable investigando y reconociendo un objetivo potencial. Malware desarrollado por APT (Advanced Persistent Threats) , que tiene la costumbre de filtrarse en el mundo de los ciberdelincuentes, también se puede usar en un intento de evadir las amenazas modernas. programa de seguridad

Una buena postura de seguridad, por lo tanto, requiere que los defensores estén atentos y utilicen un modelo de defensa en capas. En un enfoque de defensa en profundidad, una de esas capas es la caza de ciberamenazas. Si tu equipo de seguridad aún no está buscando amenazas activas, sigue leyendo para conocer los aspectos básicos de la búsqueda de amenazas y cómo puede complementar la estrategia de seguridad de la red de tu organización.

Aquí tienes una completa guía sobre la caza de ciberamenazas.

¿Qué es la caza de ciberamenazas?

La caza de amenazas es la práctica de buscar de manera proactiva amenazas cibernéticas que acechan sin ser detectadas en una red. La búsqueda de amenazas cibernéticas profundiza para encontrar actores maliciosos en su entorno que han superado las defensas de seguridad iniciales de los puntos finales.

Después de infiltrarse, un atacante puede permanecer sigilosamente en una red durante meses mientras recopila datos en silencio, busca material confidencial u obtiene credenciales de inicio de sesión que le permitirán moverse lateralmente por el entorno.

Una vez que un adversario logra evadir la detección y un ataque ha penetrado las defensas de una organización, muchas organizaciones carecen de las capacidades de detección avanzadas necesarias para evitar que las amenazas persistentes avanzadas permanezcan en la red. Es por eso que la caza de amenazas es un componente esencial de cualquier estrategia de defensa.

La caza de amenazas cibernéticas a menudo se compara con la caza tradicional, que es el proceso de rastrear y matar animales salvajes.

Así como los cazadores tradicionales usan el conocimiento de los hábitos y movimientos de los animales para encontrarlos, los cazadores de amenazas cibernéticas usan el conocimiento de cómo operan los piratas informáticos para encontrar signos de un ataque.

Las organizaciones pueden utilizar la búsqueda de amenazas cibernéticas para detectar actividades maliciosas, como infecciones de malware, filtraciones de datos y ataques dirigidos.

Los cazadores de amenazas cibernéticas utilizan una variedad de técnicas para identificar y rastrear amenazas, incluido el análisis de red, el análisis forense y la inteligencia de amenazas.

Técnicas

Hay muchas técnicas diferentes que se pueden utilizar para la caza de ciberamenazas.

Algunas de las técnicas más comunes incluyen el uso de registros y alertas para identificar actividades maliciosas, el uso de datos rojos para identificar actividades anormales y el uso de entornos limitados para analizar archivos sospechosos.

El uso de registros y alertas para identificar actividades maliciosas es una de las técnicas más comunes para la búsqueda de ciberamenazas.

Esta técnica consiste en revisar todos los registros y alertas que han generado los dispositivos de seguridad de la organización, como firewalls, sistemas de detección de intrusos y software antivirus.

Al hacer esto, los analistas pueden identificar cualquier actividad que pueda ser indicativa de actividad maliciosa.

Otra técnica común para la caza de ciberamenazas es el uso de datos de red para identificar actividades anormales.

Esta técnica implica analizar los datos que recopilan las herramientas de monitoreo de red, como los sistemas de detección de intrusos y los firewalls .

Al hacer esto, los analistas pueden identificar cualquier actividad que no sea normal para la red de la organización. Esto puede ayudar a identificar actividades maliciosas que no pueden identificarse mediante la revisión de registros y alertas.

La última técnica común para la caza de amenazas cibernéticas es usar sandboxes para analizar archivos sospechosos. Esta técnica implica ejecutar archivos sospechosos de malware en un entorno de espacio aislado para ver qué acciones tomar.

Al hacer esto, los analistas pueden determinar si los archivos son maliciosos o no. Esto puede ayudar a identificar malware que no puede haber sido identificado por otras técnicas.

Si bien existen muchas técnicas diferentes que se pueden usar para la búsqueda de amenazas cibernéticas, estas tres son algunas de las más comunes. Mediante el uso de estas técnicas, los analistas pueden identificar actividades maliciosas en la red de una organización.

Metodología

Los cazadores de amenazas asumen que los adversarios ya están en el sistema e inician una investigación para encontrar un comportamiento inusual que pueda indicar la presencia de actividad maliciosa. En la búsqueda proactiva de amenazas, este inicio de investigación generalmente se divide en tres categorías principales:

Investigación basada en hipótesis

Las investigaciones basadas en hipótesis a menudo se desencadenan por una nueva amenaza que se identificó a través de una gran cantidad de datos de ataques de colaboración colectiva, lo que brinda información sobre las últimas tácticas, técnicas y procedimientos (TTP) de los atacantes. Una vez que se ha identificado un nuevo TTP, los cazadores de amenazas buscarán descubrir si los comportamientos específicos del atacante se encuentran en su propio entorno.

Investigación basada en Indicadores de Compromiso o Indicadores de Ataque conocidos

Este enfoque de la caza de amenazas implica aprovechar la inteligencia de amenazas tácticas para catalogar los IOC e IOA conocidos asociados con nuevas amenazas. Estos luego se convierten en disparadores que los cazadores de amenazas usan para descubrir posibles ataques ocultos o actividad maliciosa en curso.

Investigaciones avanzadas de análisis y aprendizaje automático

El tercer enfoque combina un potente análisis de datos y aprendizaje automático para filtrar una gran cantidad de información a fin de detectar irregularidades que puedan sugerir una posible actividad maliciosa. Estas anomalías se convierten en pistas de caza que son investigadas por analistas expertos para identificar amenazas sigilosas.

Los tres enfoques son un esfuerzo humano que combina recursos de inteligencia de amenazas con tecnología de seguridad avanzada para proteger de manera proactiva los sistemas y la información de una organización.

Pasos

El proceso de búsqueda proactiva de amenazas cibernéticas generalmente implica tres pasos: un disparador, una investigación y una resolución.

Disparador

Cuando los métodos de detección avanzados detectan actividades inusuales que podrían indicar actividad maliciosa, los cazadores de amenazas se dirigen a un sistema o zona particular de la red para un estudio más detallado.

Una hipótesis sobre un nuevo peligro puede ser la inspiración para una investigación proactiva. Un equipo de seguridad puede buscar amenazas excesivas que utilicen tecnologías como malware sin archivos para violar las medidas de seguridad existentes.

Investigación

Durante esta segunda fase de la investigación, el cazador de amenazas utiliza herramientas como EDR (Detección y respuesta de punto final) para buscar en profundidad la posible toma de control del sistema malicioso.

La investigación continúa hasta que se confirma la actividad benigna o se establece un cuadro completo de las acciones malévolas.

Resolución

Como hemos visto, la inteligencia de amenazas se trata de identificar patrones en los datos/información que indican actividad sospechosa y luego compartir esos hallazgos con los equipos de seguridad cibernética de la organización para que puedan responder rápidamente con la acción adecuada.

Los datos adquiridos de actividades dañinas y benignas pueden incorporar una tecnología automatizada para aumentar su eficacia sin necesidad de más intervención humana.

Durante todo este procedimiento de ejercicio, los investigadores de amenazas cibernéticas recopilarán la mayor cantidad de datos posibles sobre las acciones, técnicas y objetivos de un atacante.

También analizan la información recopilada revelada para tendencias relacionadas con la seguridad en el entorno de una organización, eliminar las vulnerabilidades existentes y hacer predicciones para mejorar la seguridad en el futuro cercano.

Marcos

Hay dos marcos proactivos de búsqueda de amenazas cibernéticas comúnmente utilizados: Modelo de amenazas prospectivas (FLTM) y Método de investigación de intrusiones (IIM).

Estos marcos siguen un enfoque organizado para la búsqueda de amenazas que, de otro modo, podrían pasar desapercibidas.

El FLTM es un marco estructurado que incluye seis fases distintas de actividad.

Este marco fue diseñado por John Pirc, quien actualmente trabaja para IBM. Mediante el uso de este marco, los analistas pueden identificar actividades sospechosas en la red de su organización.

El marco IIM utiliza cuatro pasos principales para buscar amenazas en el entorno de una organización.

Durante estas cuatro etapas, las organizaciones utilizan conjuntos de herramientas automatizadas para recopilar datos sobre cualquier comportamiento preocupante antes de investigarlo. Esto permite a los cazadores automatizar la mayor parte del proceso y operar en las actividades más críticas.

Las organizaciones también han podido crear sus propios marcos proactivos de búsqueda de ciberamenazas.

Por ejemplo, el modelo de ocho fases de Cisco incluye pasos como identificar nuevas amenazas y mitigarlas mediante la actualización de políticas y conjuntos de herramientas o la eliminación de dispositivos de la red cuando sea necesario.

Tipos

Hay varios tipos diferentes de caza de amenazas cibernéticas, incluidos los siguientes:

Simulación adversaria

Se basa en la investigación adversaria que puede emular a los atacantes del mundo real.

Al crear un entorno simulado, las organizaciones pueden identificar vulnerabilidades potenciales en sus sistemas de seguridad antes de que sean explotadas por atacantes genuinos.

Monitorización de red

Estas herramientas monitorizan la actividad anormal de los usuarios dentro de la red de una organización para que pueda detectar rápidamente comportamientos sospechosos e informarlos a los equipos de seguridad.

Ejemplos comunes de estos incluyen tecnologías de prevención de pérdida de datos (DLP) y sistemas de detección/prevención de intrusiones (IDS/IPS).

Análisis avanzado

Estas tecnologías usan algoritmos complejos para revelar información sobre los patrones de actividad de la red de una organización, se pueden usar para fortalecer las defensas existentes y para hacer predicciones sobre amenazas futuras.

Intercambio de inteligencia sobre amenazas

Esto implica el intercambio de código abierto de datos sobre amenazas entre los equipos de seguridad con un enfoque en la experiencia del «mundo real» obtenido de ataques anteriores en ese campo.

Análisis de datos

Estas herramientas utilizan tecnologías de procesamiento de lenguaje natural y aprendizaje automático para obtener información sobre los datos históricos de una organización a fin de revelar cualquier patrón o anomalía, comprender el comportamiento del usuario, brindar orientación para los planos de respuesta y predecir eventos futuros.

Recopilación de inteligencia/adquisición de atributos

Las plataformas de inteligencia de amenazas recopilan información aportada de forma anónima desde múltiples fuentes para que las organizaciones puedan detectar nuevas amenazas rápidamente.

También recopilan información de forma anónima sobre las tácticas, técnicas y procedimientos (TTP) de los actores maliciosos para que las organizaciones puedan ayudar a defenderse de ellos lo más rápido posible.

¿Qué es la caza cibernética de malware?

La búsqueda de malware cibernético es la identificación proactiva de software malicioso en los sistemas de una organización.

Esto implica el uso de una combinación de técnicas de análisis manuales y automatizadas para buscar malware en dispositivos, redes y cuentas de usuario.

Al igual que otras formas de búsqueda de amenazas, la búsqueda de malware cibernético utiliza inteligencia de código abierto como punto de partida antes de usar análisis e indicadores de compromiso (IOC) para enfocar la búsqueda.

¿Qué es un modelo de búsqueda de ciberamenazas?

El modelo de búsqueda de amenazas cibernéticas es un proceso de cuatro fases que utiliza la automatización para brindar resultados precisos y oportunos de todas las fuentes de datos disponibles.

El modelo clave en el estándar de caza de amenazas cibernéticas que se sigue incluye:

1. Definición del objetivo de la búsqueda

Antes de comenzar cualquier tipo de programa proactivo de ciberseguridad, es importante definir claramente las metas y objetivos de la organización.

Esto incluye determinar lo que se debe corregir o mejorar dentro del sistema de seguridad de una organización, así como la rapidez con la que se deben realizar estas mejoras.

2. Obtener visibilidad de su red

Una vez que una organización ha establecido sus objetivos, puede usar conjuntos de herramientas automatizadas para comenzar a obtener visibilidad del entorno para poder identificar las amenazas.

Esto incluye comprender la actividad normal en la red, así como identificar cualquier anomalía.

3. Búsqueda de amenazas

Después de ganar visibilidad, es hora de comenzar a buscar amenazas activas y potenciales en todo el entorno.

Esto incluye el uso de técnicas manuales y automatizadas para identificar malware, actividad de usuario sospechoso y otros indicadores de compromiso.

4. Actuar sobre los resultados

La fase final del modelo de búsqueda de amenazas cibernéticas es tomar medidas sobre los resultados de la búsqueda.

Esto puede incluir la reparación de vulnerabilidades que se identificaron, la eliminación de dispositivos de la red que se considera de alto riesgo o el intercambio de información con otras organizaciones para ayudar a defenderse de ataques similares.

Herramientas

Hay una serie de herramientas diferentes que se pueden usar para la búsqueda de amenazas cibernéticas, pero el factor más importante es que el conjunto de herramientas puede recopilar y actuar rápidamente sobre todos los datos disponibles.

Esto incluye el uso de la automatización para recopilar datos de una variedad de fuentes, dispositivos incluidos, redes, actividad del usuario e inteligencia de código abierto.

El conjunto de herramientas también debe incluir la capacidad de analizar rápidamente todos estos datos para que las amenazas potenciales puedan identificarse y actuar en consecuencia.

Algunas herramientas populares para la caza de amenazas cibernéticas son:

Cyberstalker

Cyberstalker es una herramienta de análisis de malware que ayuda a identificar el antivirus de un sistema informático.

Esto se hace realizando escaneos profundos tanto de las unidades locales como de los recursos compartidos de red. También ofrece soporte de depuración integrada para rastrear muestras de malware escritas en Delphi.

Maltego

Maltego “transforma tus datos en un gráfico, que puede usarse para descubrir relaciones entre entidades en Internet.

Con Maltego, puedes recopilar fácilmente información sobre una persona o empresa, como su nombre, direcciones de correo electrónico, perfiles de redes sociales, etc.

HUNT

La herramienta HUNT «fue diseñada para administradores de sistemas, respondedores de incidentes, analistas de seguridad e investigadores forenses que necesitan encontrar rápidamente códigos maliciosos y comprender cómo se relacionan con otros programas maliciosos».

¿Con qué frecuencia debe buscar amenazas?

Algunas empresas optan por buscar nuevas amenazas solo de forma ad hoc. Esto puede ocurrir cuando se activa un determinado evento (p. ej., un intento de acceso a un servicio o ubicación de archivo particularmente confidencial) o simplemente cuando el personal tiene tiempo libre disponible para otras tareas. Si bien la búsqueda ad hoc permite que las organizaciones con personal y presupuestos restringidos participen en esta capa adicional de defensa, tiene el inconveniente de que solo permite búsquedas mínimas para un conjunto limitado de comportamientos y es la forma menos efectiva de emplear la estrategia.

La búsqueda de amenazas programada, en la que se dedica tiempo al personal para realizar búsquedas a intervalos regulares, es una mejora y puede permitir que las organizaciones prioricen las búsquedas en diferentes momentos y mejoren la eficiencia. Sin embargo, la caza de amenazas programada tiene el inconveniente de que ofrece una cierta cantidad de tiempo de permanencia para que los ataques avanzados intenten operar entre esos intervalos, por lo que cuanto más corto sea el intervalo, mejor.

Idealmente, las organizaciones con el personal y el presupuesto suficientes deberían participar en una búsqueda continua de amenazas en tiempo real en la que la red y los puntos finales participen de manera proactiva para descubrir ataques en la red como parte de un esfuerzo sostenido.

¿Qué hacen los cazadores de ciberamenazas?

Los cazadores de ciberamenazas ayudan a encontrar y combatir los ataques basados ​​en la red contra una organizacion.

Esto incluye el uso de una combinación de técnicas manuales y automatizadas para identificar proactivamente las amenazas dentro de su entorno antes de que los atacantes puedan aprovecharlas.

Los empleados en este rol deben tener excelentes habilidades para resolver problemas y la capacidad de analizar datos de manera efectiva, razón por la cual muchos requisitos requieren que los cazadores de amenazas cibernéticas tengan al menos una licencia en informática, seguridad de la información o un campo relacionado.

Como implica el título del trabajo, hay muchas responsabilidades diferentes asociados con ser un cazador de amenazas cibernéticas, que incluyen:

  • Determinar qué pasos se deben tomar si se descubre actividad sospechosa.
  • Monitorización de registros en múltiples áreas de forma continua en busca de signos de actividad sospechosa.
  • Desarrollar y mantener procesos para la mejora continua de la postura de seguridad de la organización.
  • Asociarse con otros departamentos como TI, legal, marketing y gestión ejecutiva para garantizar una visión holística de la postura de seguridad de la organización.

Cyber ​​Hunt Team

Un equipo de caza cibernética está compuesto por profesionales de seguridad dedicados que tienen la tarea de buscar amenazas a través de un proceso manual continuo.

También son responsables de crear y mantener los procesos utilizados para identificar amenazas continuamente potenciales dentro de su entorno de forma regular.

El equipo recopila información sobre qué amenazas están actualmente activas en el panorama de la red de tu organización (usando técnicas automáticas y manuales) y utiliza estos datos para determinar las mejores formas de proteger tu organización de estas amenazas.

La caza de ciberamenazas no debe confundirse con actividades como el análisis de vulnerabilidades y las pruebas de penetración, que normalmente se utilizan para identificar vulnerabilidades específicas que pueden aprovechar los atacantes.

La búsqueda de amenazas cibernéticas se centra en encontrar amenazas que ya han pasado por alto los controles de seguridad y están explotando activamente la red.

¿Debes contratar un servicio gestionado de caza de amenazas?

Si bien el concepto de caza de amenazas es claro, el desafío consiste en contratar personal que pueda realizar el ejercicio correctamente. Los mejores cazadores de amenazas son aquellos que están probados en batalla con una amplia experiencia en la lucha contra los ciberadversarios.

Desafortunadamente, existe una gran escasez de habilidades en la industria de la seguridad cibernética cuando se trata de la caza de amenazas, lo que significa que los cazadores experimentados no son baratos. Es por eso que muchas organizaciones recurren a los servicios administrados, que pueden brindar una gran experiencia y vigilancia las 24 horas del día, los 7 días de la semana a un coste más asequible.

A continuación, exploremos qué buscar en un servicio de caza de amenazas.

¿Qué se requiere para iniciar la caza de amenazas?

Un servicio de caza de amenazas superior adopta un enfoque triple para la detección de ataques. Junto con profesionales de seguridad calificados, incluye otros dos componentes necesarios para una búsqueda exitosa: vastos datos y análisis poderosos.

Capital Humano

Cada nueva generación de tecnología de seguridad puede detectar una mayor cantidad de amenazas avanzadas, pero el motor de detección más eficaz sigue siendo el cerebro humano. Las técnicas de detección automatizadas son intrínsecamente predecibles, y los atacantes de hoy son muy conscientes de esto y desarrollan técnicas para eludir, evadir u ocultarse de las herramientas de seguridad automatizadas. Los cazadores de amenazas humanos son un componente absolutamente crítico en un servicio eficaz de caza de amenazas.

Dado que la búsqueda proactiva depende de la interacción y la intervención humanas, el éxito depende de quién está buscando a través de los datos. Los analistas de intrusiones deben tener experiencia para identificar ataques dirigidos sofisticados y también deben tener los recursos de seguridad necesarios para responder a cualquier descubrimiento de comportamiento inusual.

Una gran cantidad de datos

El servicio también debe tener la capacidad de recopilar y almacenar datos granulares de eventos del sistema para brindar una visibilidad absoluta de todos los puntos finales y activos de la red. Con el uso de una infraestructura de nube escalable, un buen servicio de seguridad agrega y realiza análisis en tiempo real en estos grandes conjuntos de datos.

Inteligencia de amenazas

Por último, una solución de búsqueda de amenazas debe ser capaz de hacer referencias cruzadas de los datos organizacionales internos con la inteligencia de amenazas más reciente sobre tendencias externas e implementar herramientas sofisticadas para analizar y correlacionar acciones maliciosas de manera efectiva.

Todo esto requiere tiempo, recursos y dedicación, y la mayoría de las organizaciones no cuentan con el personal y el equipo adecuados para montar una operación continua de búsqueda de amenazas las 24 horas del día, los 7 días de la semana. Afortunadamente, existen soluciones de seguridad administrada que cuentan con los recursos adecuados (las personas, los datos y las herramientas analíticas necesarias) para buscar de manera eficaz actividades inusuales en la red y amenazas ocultas.

¿Es la caza de amenazas cibernéticas una práctica realista con Internet de las cosas (IoT)?

La respuesta corta es sí, la caza de amenazas cibernéticas es una práctica real con IoT. Sin embargo, es importante tener en cuenta que elIoT plantea un conjunto único y formidable de desafíos cuando se trata de identificar amenazas potenciales.

Un desafío es que hay muchos más dispositivos para monitorizar (en comparación con los entornos de TI tradicionales) y esto puede dificultar la comprensión de qué actividad se considera normal y qué podría estar asociado con una amenaza potencial.

Otro desafío es la gran variedad de dispositivos que ahora pueden conectarse a tu entorno de TI, incluidos dispositivos domésticos inteligentes como televisores, hornos, refrigeradores e incluso bombillas.

Junto con tecnología portátil como relojes inteligentes y rastreadores de actividad física; y también vehículos que ahora están equipados con tecnologías IoT.

Esto dificulta el desarrollo de un único proceso o herramienta que puedas usar para identificar posibles amenazas en toda la organización.

Es importante contar con una variedad de procesos y herramientas que se pueden usar para diferentes tipos de dispositivos y entornos.

Certificación de Caza de Amenazas Cibernéticas

La siguiente certificación está dirigida a los cazadores de amenazas cibernéticas que buscan obtener los conocimientos necesarios para identificar amenazas dentro de sus redes.

El especialista certificado en caza de amenazas cibernéticas (CCTHS) proporciona contenido líder en la industria en uno de tres formatos diferentes: en línea, dirigido por un instructor o un híbrido de ambas opciones de capacitación.

La pista final certificará a los estudiantes en el arte de las operaciones de los miembros del equipo de caza cibernética.

Para obtener esta certificación, deberás completar con éxito la opción de capacitación 1 o 2, que obtuvo el trabajo del curso además de aprobar un examen que prueba tu capacidad para usar de manera efectiva técnicas manuales y automatizadas al buscar amenazas potenciales.

Los candidatos también deben demostrar que tienen experiencia en el registro de actividades relevantes en una gestión de registros segura.

La capacitación de CCTHS está diseñada para especialistas de ciberseguridad con experiencia que desean ampliar su conjunto de habilidades y poder asumir el rol de un cazador de amenazas cibernéticas.

¿Cuánto gana un analista de amenazas cibernéticas?

El salario medio de un analista de ciberamenazas es de 67.815 dólares al año. Los salarios para esta función suelen oscilar entre $ 39.900 y $ 104.395 por año.

Los que más ganan dentro de la industria incluyen a aquellos que trabajan como analistas de amenazas cibernéticas en grandes corporaciones como Goldman Sachs e IBM (típicamente a través de On-Demand Security) donde los salarios pueden alcanzar hasta $157,000 por año (para profesionales de seguridad experimentados).

Conclusión

La caza de ciberamenazas es una nueva forma de ciberseguridad que combina el aprendizaje automático y la inteligencia humana.

Los defensores se encuentran en una carrera armamentista con los atacantes cibernéticos que tienen más herramientas a su disposición que nunca.

Sin embargo, la buena noticia es que los defensores ahora también tienen la misma cantidad de armas para luchar contra estas amenazas.

Es importante estar informado acerca de cómo tu equipo de seguridad puede ser proactivo cuando se trata de proteger los datos de actores maliciosos en el otro lado del mundo o al lado. ¡Mantente a salvo!