La búsqueda de amenazas es importante porque las amenazas sofisticadas pueden superar las medidas de ciberseguridad automatizadas. Si bien las herramientas de seguridad automatizadas y los analistas de centros de operaciones de seguridad (SOC) de nivel 1 y 2 deberían ser capaces de lidiar con alrededor del 80 % de las amenazas, aún queda un 20 % por resolver. Este 20 % restante es más probable que incluya amenazas sofisticadas que pueden provocar daños significativos. Con el tiempo y los recursos suficientes, penetrarán en cualquier red y evitarán su detección durante una media de hasta 280 días. Una búsqueda de amenazas eficaz contribuye a reducir el tiempo entre la intrusión y su detección, mitigando así el daño causado por los atacantes.
Los atacantes a menudo acechan durante semanas, o incluso meses, antes de ser descubiertos. Esperan pacientemente para extraer datos y destapar información confidencial o credenciales suficientes que les permitan obtener un mayor acceso y, así, preparar el terreno para una vulneración de datos significativa. ¿Cuánto daño pueden causar las amenazas potenciales? De acuerdo con el "Informe sobre el coste de una vulneración de datos," puede suponer a una empresa un promedio de casi 4 millones de dólares estadounidenses. Además, las consecuencias negativas de una vulneración pueden persistir durante años. Cuanto más tiempo pase entre el error de sistema y la respuesta implementada, mayor puede ser su coste para una organización.
Un programa de búsqueda de amenazas eficiente se basa en la fertilidad de los datos de un entorno. En otras palabras, una organización primero debe contar con un sistema de seguridad empresarial que recopile datos. La información recopilada proporciona pistas valiosas para los cazadores de amenazas.
Los cazadores de ciberamenazas aportan un elemento humano a la seguridad empresarial, que complementa a los sistemas automatizados. Son profesionales expertos en seguridad de TI que buscan, registran, supervisan y neutralizan amenazas antes de que causen problemas graves. Lo ideal es que sean analistas de seguridad del departamento de TI de una empresa que conocen bien sus operaciones, aunque a veces son analistas externos.
El arte de buscar amenazas encuentra las incógnitas del entorno. Va más allá de las tecnologías de detección tradicionales, como la gestión de eventos e información de seguridad (SIEM) o la detección y respuesta de endpoints (EDR), entre otras. Los cazadores de amenazas peinan los datos de seguridad. Buscan malware o atacantes ocultos y patrones de actividad sospechosa que un sistema podría no haber detectado o considerado resueltos sin estarlo. También ayudan a poner parches en el sistema de seguridad de una empresa para impedir que ese tipo de ciberataque se repita.
Los cazadores empiezan con una hipótesis basada en datos de seguridad o un desencadenante. La hipótesis o el desencadenante sirven como trampolín para una investigación más exhaustiva sobre los riesgos potenciales. Estas investigaciones se clasifican en búsqueda situacional, estructurada y no estructurada.
Una búsqueda estructurada se basa en un indicador de ataque (IoA) y en las tácticas, técnicas y procedimientos (TTP) de un atacante. Todas las búsquedas se alinean y se basan en los TTP de los actores de las amenazas. Por tanto, el cazador normalmente es capaz de identificar a un actor de amenaza incluso antes de que el atacante pueda causar daños al entorno. Este tipo de búsqueda utiliza el marco MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK) (enlace externo a ibm.com), recurriendo a marcos empresariales y PRE-ATT&CK.
Una búsqueda no estructurada se inicia a partir de un desencadenante, uno de los muchos indicadores de compromiso (IoC). Este desencadenante a menudo indica a un cazador que busque patrones previos y posteriores a la detección. Siguiendo su enfoque, el cazador puede investigar hasta donde lo permitan la retención de datos y los delitos previamente asociados.
Una hipótesis situacional proviene de la evaluación de riesgos internos de una empresa o de un análisis de tendencias y vulnerabilidades exclusivo de su entorno de TI. Las pistas orientadas a la entidad proceden de datos de ataque de origen público que, cuando se revisan, revelan los TTP más recientes de las ciberamenazas actuales. Entonces, un cazador de amenazas puede buscar estos comportamientos específicos en el entorno.
La búsqueda basada en inteligencia es un modelo de búsqueda reactivo (enlace externo a ibm.com) que utiliza IoC de fuentes de inteligencia de amenazas. A partir de ahí, la búsqueda sigue reglas predefinidas, establecidas por la inteligencia de amenazas y SIEM.
La búsqueda basada en inteligencia puede utilizar IoC, valores hash, direcciones IP, nombres de dominio, redes o artefactos de host proporcionados por plataformas de intercambio de inteligencia, como equipos de respuesta a emergencias informáticas (CERT). Se puede exportar una alerta automatizada desde estas plataformas e introducirla en SIEM como expresión de información de amenaza estructurada (STIX) (enlace externo a ibm.com) e intercambio automatizado fiable de información de inteligencia (TAXII) (enlace externo a ibm.com). Una vez que SIEM dispone de la alerta basada en un IoC, el cazador de amenazas puede investigar la actividad maliciosa antes y después de la alerta para identificar cualquier riesgo en el entorno.
La búsqueda de hipótesis es un modelo de búsqueda proactivo que utiliza una biblioteca de amenazas. Está alineado con el marco MITRE ATT&CK y utiliza guías de estrategias de detección globales para identificar grupos de amenazas persistentes avanzadas y ataques de malware.
Las búsquedas basadas en hipótesis utilizan los IoA y los TTP de los atacantes. El cazador identifica a los actores de amenazas en función del entorno, el dominio y los comportamientos de ataque empleados para crear una hipótesis alineada con el marco MITRE. Una vez que se identifica un comportamiento, el cazador de amenazas supervisa los patrones de actividad para detectar, identificar y aislar la amenaza. Así, el cazador puede detectar a los actores de amenazas de forma proactiva antes de que dañen un entorno.
La búsqueda personalizada se basa en la conciencia situacional y en metodologías de búsqueda del sector. Identifica anomalías en las herramientas SIEM y EDR, y se puede personalizar en función de los requisitos del cliente.
Las búsquedas personalizadas o situacionales se basan en los requisitos de los clientes o se ejecutan de forma proactiva en función de las situaciones, como problemas geopolíticos y ataques dirigidos. Para estas actividades de detección se pueden emplear modelos basados tanto en inteligencia como en hipótesis, utilizando información de IoA e IoC.
Los cazadores utilizan datos de herramientas de analítica de seguridad, SIEM y MDR como base para la búsqueda. También pueden utilizar otras herramientas, como analizadores de paquetes, para ejecutar búsquedas basadas en red. Sin embargo, el uso de herramientas SIEM y MDR requiere la integración de todas las fuentes y herramientas esenciales en un entorno. Esta integración garantiza que las pistas de IoA e IoC proporcionen la dirección de búsqueda adecuada.
MDR aplica inteligencia de amenazas y detección de amenazas proactiva para identificar y corregir amenazas avanzadas. Este tipo de solución de seguridad puede ayudar a reducir el tiempo de permanencia de los ataques y a responder de forma rápida y decisiva a los ataques dentro de la red.
La gestión de sucesos e información de la seguridad (SIEM) combina gestión de la información de seguridad (SIM) y gestión de sucesos de seguridad (SEM) para ofrecer supervisión y análisis de sucesos en tiempo real, además de seguimiento y registro de datos de seguridad. SIEM puede descubrir anomalías en el comportamiento de los usuarios y otras irregularidades que proporcionan pistas esenciales para una investigación más exhaustiva.
El análisis de seguridad trata de ir más allá de los sistemas de SIEM básicos para ofrecer una visión más profunda de sus datos de seguridad. La analítica de seguridad combina el big data recopilado por la tecnología de seguridad con un machine learning y una IA más rápidos, sofisticados e integrados para acelerar las investigaciones de amenazas con datos de observabilidad detallados que faciliten la búsqueda de ciberamenazas.
La inteligencia de amenazas es un conjunto de datos sobre intentos de intrusiones o intrusiones exitosas, generalmente recopilado y analizado por sistemas de seguridad automatizados con machine learning e IA.
La búsqueda de amenazas utiliza esta información para realizar un rastreo exhaustivo de actores nocivos en todo el sistema. En otras palabras, la búsqueda de amenazas comienza donde termina la inteligencia de amenazas. Aún más, una búsqueda de amenazas eficiente puede identificar amenazas que aún no se han detectado en el entorno.
Además, utiliza indicadores de amenazas como pista o hipótesis para una búsqueda. Los indicadores de amenazas son huellas digitales virtuales que dejan un malware o un atacante, una dirección IP extraña, correos electrónicos de phishing u otro tráfico de red inusual.
Mejore significativamente los índices de detección y acelere los procesos de detección, investigación y corrección de amenazas. Descubra cómo iniciar su propio programa de búsqueda de ciberamenazas.
IBM Security Managed Detection and Response (MDR) ofrece una innovadora funcionalidad de prevención, detección y respuesta ante amenazas continuas. Los cazadores de amenazas proactivos de IBM trabajan con organizaciones para identificar sus activos más importantes y preocupaciones fundamentales.
Cree su base de SIEM y desarrolle un programa integral que se pueda ampliar en función de los tiempos cambiantes. Identifique las amenazas internas, realice el seguimiento de endpoints, proteja el cloud y gestione la conformidad con IBM Security.
La detección de amenazas representa solo la mitad de la ecuación de la seguridad. Para mejorar su centro de operaciones de seguridad (SOC), también debe considerar la respuesta a incidentes inteligente y una única plataforma integrada de orquestación, automatización y respuesta de seguridad (SOAR) con servicios gestionados.
Encuentre y corrija las vulnerabilidades conocidas y desconocidas más críticas con X-Force® Red. Este equipo autónomo de hackers veteranos trabaja con IBM para probar su seguridad y descubrir las debilidades que los atacantes delincuentes podrían utilizar en su propio beneficio.
Lea artículos sobre la búsqueda de ciberamenazas, inteligencia de amenazas, nuevas tácticas y defensas.
¿Qué es MDR y cómo alinear su equipo de seguridad con las mejores prácticas? Conozca cómo un servicio de MDR efectivo ayuda a las organizaciones a lograr sus objetivos, incluida la búsqueda de amenazas enfocada.
Conozca los riesgos de un ciberataque gracias a una visión global del panorama de las amenazas
El informe sobre el coste de una vulneración de datos analiza las consecuencias financieras y las medidas de seguridad que pueden ayudar a su organización a evitar este tipo de ataques o, en caso de que se produzcan, a mitigar sus costes.
Conozca cómo Dairy Gold mejoró su seguridad con el despliegue de IBM® QRadar para sus prestaciones de integración y detección, e IBM BigFix para la detección y gestión de endpoints.