ThreatQuotient patrocina la nueva edición del informe sobre Threat Hunting realizado por el Instituto SANS (SysAdmin Audit, Networking and Security Institute). La compañía apuesta de este modo por demostrar la valía del threat hunting o caza de amenazas como una actividad de ciberdefensa activa, buscando de forma proactiva e iterativa a través de las redes para detectar y aislar las amenazas avanzadas que evaden las soluciones de seguridad existentes, mucho más allá de las tecnologías de detección tradicionales.
Como parte esencial de los servicios del Centro de Operaciones de Seguridad (SOC), el threat hunting debe incorporarse en la fase inicial. Sin embargo, a pesar de que las empresas ya llevan cazando amenazas varios años, y hace ya aproximadamente cinco años que se definió en concreto la labor del ‘threat hunter’, su adopción y uso es hasta ahora un tema pendiente de ser analizado.
Siempre que se introducen nuevas estrategias de threat hunting para encontrar actividades maliciosas, hay varios métodos que las organizaciones pueden utilizar. La encuesta del Instituto SANS concreta que algunas empresas primero definen cómo deben funcionar sus operaciones de caza de amenazas y forman a sus equipos a partir una estrategia clara para cumplir estos objetivos.
Desafortunadamente, el otro enfoque todavía bastante común es llevar a cabo operaciones de threat hunting con las reglas establecidas por defecto que las organizaciones ya tienen en vigor. Si bien este enfoque puede dar resultados, el estudio revela que dichos resultados no serán tan beneficiosos para la organización y su seguridad como podrían serlo de manera concreta y precisada. Desde el Instituto SANS definen este enfoque generalizado en varias de las empresas consultadas, las cuales impulsadas sólo por el cumplimiento de alguna norma regulatoria no actúan de manera más proactiva.
Diferencia entre la caza de amenazas y la respuesta a incidentes
Aunque sin duda hay puntos en común, el threat hunting y la respuesta ante un incidente de ciberataque son procesos diferenciados. Por un lado, la caza de amenazas requiere prever un escenario de ataque que puede suceder en la organización. Ese escenario conduce a una hipótesis que posteriormente debe ser probada. Dicha confirmación requiere un conocimiento íntimo de la ruta de ataque sospechada, así como el manejo de un conjunto de herramientas que aporte la visibilidad adecuada para aceptar o rechazar la hipótesis planteada.
Por otro lado, los especialistas de ciberseguridad que responden a los incidentes suelen saber tan sólo que se produjo un ataque, con un conocimiento muy limitado sobre su trayectoria de origen. Esta situación de desconocimiento les hace tener que ampliar sus conocimientos sobre el ataque y establecer una visibilidad no focalizada para investigar más a fondo.
Las herramientas y técnicas para ambos modos de proceder se superponen ampliamente entre la respuesta a incidentes y la caza de amenazas. Por esa razón, suele ser beneficioso utilizar a los especialistas en respuesta a incidentes experimentados cuando se desarrollan operaciones de caza de amenazas, pero siempre con metodologías y herramientas propias del Threat Hunting para conseguir una mayor especialización.
Factores decisivos: falta de automatización y cambio frecuente de aplicaciones
En el informe del Instituto SANS sobre Threat Hunting 2020 también se constató que parece haber una importante brecha en la utilización de herramientas automatizadas para ayudar a la conservación de información útil y aplicable sobre las amenazas. Además, se dio a conocer que la mayoría de threat hunters no se dedican a ello a tiempo completo, sino que tienen otras responsabilidades como parte de sus perfiles técnicos.
La tendencia a dotar de personal a las operaciones de caza de amenazas con especialistas en respuesta a incidentes y analistas de un Centro de Operaciones de Seguridad (SOC) también fue una de las conclusiones más destacadas. Si bien los encargados de la respuesta a los incidentes pueden estar muy familiarizados con la tarea de encontrar amenazas nuevas y desconocidas, los analistas SOC pueden tener dificultades para desviarse de su rutina de análisis de alertas para buscar activamente indicios de una infracción de la seguridad.
Además, en el estudio se constató que lo que más les cuesta a los threat hunters son los frecuentes cambios de contexto, ya que sólo unos pocos encuestados dijeron que nunca tienen que cambiar de herramientas mientras hacen su trabajo. Por lo tanto, alternar entre aplicaciones es un área que tiene un enorme potencial de mejora y aumento de la eficiencia.
Lo que también influye en la eficiencia es que una elevada proporción de los encuestados (36,3%) están utilizando manualmente la información sobre amenazas que han recopilado. Una de las razones parece ser que casi la mitad de los encuestados no almacenan la inteligencia sobre amenazas en una plataforma, sino que utilizan métodos tradicionales basados en archivos, como hojas de cálculo o documentos PDFs.
