¿Qué es la búsqueda de amenazas?

Autor

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es la búsqueda de amenazas?

La búsqueda de amenazas, también conocida como búsqueda de ciberamenazas, es un enfoque proactivo para identificar ciberamenazas previamente desconocidas o en curso en la red de una organización.

La búsqueda de amenazas es importante porque ayuda a las organizaciones a reforzar su posición de seguridad contra el ransomware, las amenazas internas y otros ciberataques que, de otro modo, podrían pasar desapercibidos.

Aunque las herramientas de seguridad automatizadas y los analistas vigilantes del centro de operaciones de seguridad (SOC) pueden detectar la mayoría de las amenazas de ciberseguridad antes de que causen daños importantes, algunas amenazas sofisticadas pueden eludir estas defensas.

Cuando un actor malicioso logra introducirse en un sistema, puede acechar durante semanas o incluso meses antes de ser descubierto. Según el informe "Cost of a Data Breach" de IBM, se tarda una media de 181 días en identificar que se ha producido una vulneración de datos. Mientras tanto, los atacantes desvían datos y roban credenciales para desbloquear más accesos. 

¿Cuánto daño pueden causar estas amenazas potenciales? Según el informe "Cost of a Data Breach", la vulneración de datos cuesta de media a una empresa 4,88 millones de dólares. Cuanto más tiempo transcurra entre el acceso inicial y la contención, más puede costarle a una organización.  

La búsqueda eficaz de amenazas implica que los equipos de seguridad busquen de forma proactiva estas amenazas ocultas. Como resultado, las organizaciones pueden descubrir intrusiones e implementar mitigaciones mucho más rápidamente, lo que reduce el daño que pueden causar los atacantes.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Cómo funciona la búsqueda de ciberamenazas

Los buscadores de ciberamenazas son profesionales expertos en ciberseguridad. Suelen ser analistas de seguridad del departamento de TI de una empresa que conocen bien las operaciones de la organización, pero a veces son analistas externos. Los equipos de búsqueda de amenazas utilizan la automatización de la seguridad para ayudar a buscar, registrar, monitorizar y neutralizar las amenazas antes de que puedan causar problemas graves.

Los programas de búsqueda de amenazas se basan en datos, específicamente, en los conjuntos de datos recopilados por los sistemas de detección de amenazas de una organización y otras soluciones de seguridad empresarial.  

Durante el proceso de búsqueda de amenazas, los buscadores de amenazas analizan estos datos de seguridad en busca de malware, atacantes sigilosos y cualquier otro signo de actividad sospechosa que los sistemas automatizados puedan haber pasado por alto.  

Cuando los buscadores de amenazas encuentran algo, entran en acción, erradicando la amenaza y apuntalando las defensas para asegurarse de que no vuelva a ocurrir.

Tipos de búsqueda de amenazas

Los buscadores comienzan con una hipótesis basada en sus observaciones, datos de seguridad o algún otro desencadenante. La hipótesis sirve como trampolín para una investigación más profunda de las amenazas potenciales.  

Las investigaciones generalmente toman una de tres formas: búsqueda estructurada, búsqueda no estructurada o búsqueda situacional.

Búsqueda estructurada

Los marcos formales, como el marco de técnicas tácticas y conocimiento común de adversarios MITRE (ATT&CK), guían las búsquedas estructuradas. Buscan indicadores definidos de ataque (IoA) y las tácticas, técnicas y procedimientos (TTP) de actores de amenazas conocidos.  
Búsqueda no estructurada

Una búsqueda no estructurada es más reactiva que una búsqueda estructurada. A menudo se desencadena por el descubrimiento de un indicador de compromiso (IoC) en el sistema de una organización. Luego, los profesionales buscan qué causó el IoC y si todavía está en libertad en la red.  
Búsqueda situacional o basada en entidades

Una caza situacional es una respuesta a la situación única de una organización. Suele estar impulsado por los resultados de una evaluación de riesgos interna o un análisis de tendencias y vulnerabilidades del entorno de TI.  

Las búsquedas impulsadas por entidades se centran específicamente en los activos y sistemas críticos de una red. Los buscadores de amenazas identifican las ciberamenazas que podrían suponer un riesgo para estas entidades y buscan indicios de compromisos en curso.  

Modelos de búsqueda

Búsqueda basada en Intel

La búsqueda basada en Intel se basa en IoC de fuentes de inteligencia de amenazas. Los cazadores de amenazas utilizan herramientas como los sistemas de gestión de eventos e información de seguridad (SIEM) para supervisar los IoC conocidos, como los valores hash, las direcciones IP, los nombres de dominio y los artefactos del host. Cuando se descubren IoC, los cazadores investigan la posible actividad maliciosa examinando el estado de la red antes y después de la alerta.

Búsqueda basada en hipótesis

La búsqueda basada en hipótesis se guía por los IoA conocidos registrados en marcos como MITRE ATT&CK. Las búsquedas basadas en hipótesis exploran si los atacantes pueden usar ciertos TTP para obtener acceso a una red en particular. Cuando se identifica un comportamiento, los buscadores de amenazas pueden monitorizar los patrones de actividad para detectar, identificar y aislar cualquier amenaza que utilice ese comportamiento.  

Debido a su naturaleza proactiva, las búsquedas basadas en hipótesis pueden ayudar a identificar y detener las amenazas persistentes avanzadas (APT) antes de que causen daños importantes.

Búsqueda personalizada

La búsqueda personalizada se basa en el contexto de una organización: incidentes de seguridad anteriores, problemas geopolíticos, ataques dirigidos, alertas de los sistemas de seguridad y otros factores. Las búsquedas personalizadas pueden combinar las cualidades de las metodologías de búsqueda basadas en inteligencia y en hipótesis.  

Herramientas de búsqueda de amenazas

Los equipos de seguridad utilizan varias herramientas para ayudar en la búsqueda de amenazas. Algunos de los más comunes incluyen:

Gestión de información y eventos de seguridad (SIEM)

SIEM es una solución de seguridad que ayuda a las organizaciones a reconocer y abordar las amenazas y vulnerabilidades antes de que tengan la oportunidad de interrumpir las Operaciones empresariales. Los SIEM pueden ayudar a detectar ataques antes y reducir el número de falsos positivos que los cazadores de amenazas deben investigar.

Ejecución y detección de endpoints (EDR) 

Software EDR utiliza análisis en tiempo real y automatización impulsada por IA para proteger a los usuarios finales, los dispositivos de endpoints y los activos de TI de una organización contra las ciberamenazas que superan las herramientas tradicionales de seguridad de endpoints.

Detección y respuesta gestionadas (MDR) 

MDR es un servicio de ciberseguridad que supervisa, detecta y responde a las amenazas en tiempo real. Combina tecnología avanzada y análisis de experto para impulsar la búsqueda de amenazas, permitir respuestas eficaces a incidentes y realizar una rápida corrección de amenazas.

Análisis de seguridad

Estos sistemas ofrecen una visión más profunda de los datos de seguridad mediante la combinación de big data con sofisticadas herramientas de machine learning e inteligencia artificial. El análisis de seguridad puede acelerar la búsqueda de ciberamenazas al proporcionar datos detallados de observabilidad.

Búsqueda de amenazas frente a inteligencia de amenazas

La inteligencia de amenazas, también llamada "inteligencia de ciberamenazas", es información detallada y que se puede ejecutar que las organizaciones pueden utilizar para prevenir y combatir las amenazas de ciberseguridad.

La inteligencia de amenazas ofrece a las organizaciones conocimiento sobre las últimas amenazas que afectan a sus redes y el panorama más amplio. 

Los buscadores de amenazas utilizan la inteligencia de amenazas para realizar búsquedas exhaustivas en todo el sistema en busca de malos actores. En otras palabras, la búsqueda de amenazas comienza donde termina la inteligencia de amenazas. Convierte los conocimientos de la inteligencia de amenazas en acciones concretas necesarias para erradicar las amenazas existentes y prevenir futuros ataques.
Soluciones relacionadas
Servicios de gestión de amenazas

Pronostique, prevenga y responda a las amenazas modernas, aumentando la resiliencia de su empresa.

 

 Explore los servicios de gestión de amenazas
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.

 Explore las soluciones de detección de amenazas
Soluciones de defensa contra amenazas móviles (MTD)

Proteja su entorno móvil con las completas soluciones de defensa frente a amenazas móviles de IBM MaaS360.

 Explore las soluciones de defensa frenta a amenazas móviles
Dé el siguiente paso

Obtenga soluciones integrales de gestión de amenazas para proteger de forma experta a su empresa de los ciberataques.

 Explore los servicios de gestión de amenazas Concierte una sesión informativa centrada en las amenazas