Implementar Threat Hunting, una necesidad para la que no todos están preparados

Diego Samuel Espitia    5 marzo, 2020
Implementar Threat Hunting, una necesidad para la que no todos están preparados

El término threat hunter o “cazador de amenazas” no es nuevo y lleva siendo trabajado y mejorado desde hace algunos años en el mundo de la seguridad de la información. Integrando tecnología, procesos y personas, busca detectar y aislar amenazas a través de análisis proactivos de red para aportar valor con técnicas avanzadas que suplan las debilidades de las medidas de seguridad, ya sea por una amenaza externa o interna.

Sin embargo, no todas las organizaciones están preparadas para entrar en este mundo o simplemente no lo necesitan desplegar internamente dentro de sus medidas de protección. Esto es debido a que su despliegue necesita de unos requisitos previos que para nada son un punto de partida en la seguridad de la información y que pueden no aportar nada en el ecosistema de una compañía concreta para la detección y respuesta a los incidentes cibernéticos.

¿Qué debemos tener en cuenta?

Para la implementación de un modelo de Threat Hunting, las empresas deben considerar unas bases tecnológicas, de procesos y de personal con unas capacidades y características mínimas. Por ejemplo, desde el punto de vista tecnológico, se deben tener bien desplegados los elementos para la detección de amenazas, por lo cual es indispensable contar con un buen sistema de EDR (Endpoint Detection & Response), un sistema de IDS (Intrusion Detection System) y un SIEM (Security Information Event Management). Éstos servirán como fuente primordial de la telemetría de la red y de los sucesos que en ella ocurran de manera regular, periódica y/o extraordinaria.

Pero éstas no son las únicas fuentes de datos que se deben tener en cuenta, pues sólo dan una visión interna. Los equipos de Threat Hunting necesitan una visión más completa y que sea manejada a través de herramientas específicas que permitan encontrar de forma ágil y eficiente información relacionada a un posible suceso anómalo o que haya generado un incidente en otras organizaciones. Un ejemplo de estas herramientas es TheTHE, sobre la que ya hemos hablado en otras ocasiones.

En cuanto a los procesos  que se verían afectados en la implementación de un equipo de Threat Hunting, debemos tener claro que los procesos de detección de amenazas son la base sobre la que se sustenta el despliegue, pues un threat hunter viene a cubrir las brechas que dejan los sistemas y procesos tradicionales.

También se deben tener en cuenta las fases de los procesos de detección de amenazas que van a interactuar con los procesos de Threat Hunting, con el objetivo de automatizar todo lo posible la detección y respuesta. Por tanto, el apoyo de un SOAR (Security Orchestation, Automation & Response) permitiría definir responsabilidades de los diferentes equipos que van a interactuar y a retroalimentar las fuentes de información con un conocimiento en profundidad del negocio.

Por último, se debe contemplar el personal que realizará las funciones de Threat Hunting, el cual requiere unas características especiales en su conocimiento técnico y conocimiento de amenazas, como por ejemplo las tecnologías que utiliza la organización, con el fin de poder extraer cualquier dato aprovechable en la detección de las amenazas.

¿Cuándo empieza todo esto a funcionar?

Las organizaciones tienen que entender que los equipos de Threat Hunting necesitan tiempo para generar resultados efectivos, pues tras el entendimiento de los datos recolectados y de las características de comportamiento de la red, deben asociar su conocimiento y datos adquiridos de las posibles amenazas para comenzar con las hipótesis de las amenazas que se van a trazar y cazar.

Podemos comprobar que los requerimientos base para la implementación de un equipo de Threat Hunting dentro de una organización no son sencillos y establecen nuevos paradigmas, como el hecho de suponer que ya se ha sido vulnerado y que se debe encontrar aquello que está afectando a la empresa. Por supuesto, esto sólo es posible cuando el equipo de Threat Hunting se alimenta de toda la información que pueda ser brindada por los equipos de detección tradicionales.

Como hemos visto, el grado de maduración en el manejo de la seguridad de la información debe ser alto dentro de la empresa para poder iniciar una implementación de Threat Hunting, la cual es fundamental en un mundo que cada día se ve más amenazado digitalmente, con una variedad grandísima de amenazas que ya no tiene sólo como objetivo a las empresas grandes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *