¿Qué es la búsqueda de amenazas?

La búsqueda de amenazas es la práctica de buscar amenazas cibernéticas que, de otro modo, podrían pasar desapercibidas en su red. Según Infosec, “La caza de amenazas cibernéticas puede ser muy similar a la caza en el mundo real. Requiere un profesional excepcionalmente capacitado, con considerable paciencia, pensamiento crítico, creatividad y buen ojo para detectar presas, generalmente en forma de anomalías en el comportamiento de la red”.

Programe una demostración Read Whitepaper

¿Qué es la búsqueda de amenazas?

Es mejor asumir que ha sido comprometido

La caza de amenazas es necesaria simplemente porque ninguna protección de ciberseguridad es siempre 100% efectiva. Se necesita una defensa activa, en lugar de confiar en las herramientas de seguridad 'confiórelo y olvídelo'.

 

Algunas amenazas, como " Envenenar el pozo ", implican que los atacantes trabajen para obtener una mayor persistencia a largo plazo en su aplicación. Permanecer sin ser detectado es vital para el éxito de este ataque. Desafortunadamente, la mayoría de los ataques logran no ser detectados. Un estudio reciente realizado por el Ponemon Institute en nombre de IBM encontró que el tiempo promedio requerido para identificar y contener una violación es de 280 días.

Definición de caza de amenazas

La caza de amenazas implica el uso de técnicas manuales y asistidas por software para detectar posibles amenazas que han eludido otros sistemas de seguridad. Más específicamente, las tareas de caza de amenazas incluyen:

 

  1. En busca de amenazas existentes dentro de su organización, cualquier cosa que un atacante pueda implantar para filtrar información y causar daños
  2. La búsqueda proactiva de amenazas que surgen en cualquier parte del mundo
  3. Poner una trampa y esencialmente esperar a que las amenazas lo perguen

El proceso de caza de amenazas

Para cazar amenazas, necesita:

 

  • Recopile datos de calidad
  • Utilice herramientas para analizarlo
  • Tiene la habilidad de darle sentido a todo

 

El proceso comienza con la recopilación de una cantidad adecuada de datos de alta calidad, ya que la entrada de datos de mala calidad resultará en una búsqueda de amenazas ineficaz. Los datos recopilados pueden incluir archivos de registro, servidores, dispositivos de red (es decir, firewall, conmutadores, enrutadores), bases de datos y terminales.

 

A continuación, los cazadores de amenazas deben buscar patrones e indicadores potenciales de compromiso (IOC). Si está monitoreando, debe tener a alguien mirando los registros. Con demasiada frecuencia, las organizaciones no tienen suficientes recursos y mano de obra para dedicarse al monitoreo continuo de detección de intrusiones. El paso final es responder en consecuencia.

¿Qué está buscando?

Indicadores de compromiso (IOC) : Factores, incluidos los datos forenses y los archivos de registro, que pueden ayudar a identificar posibles actividades maliciosas que ya se han producido 

 

Indicadores de ataque (IOAs) : Si bien hay similitud con los IOC, los IOAs pueden ayudarle a comprender los ataques en curso

 

Artefactos basados en red: busque comunicación de malware utilizando herramientas como grabación de sesiones, captura de paquetes y monitoreo del estado de la red.

 

Artefactos basados en host: busque terminales y busque interacciones de malware dentro del registro, el sistema de archivos y otros lugares.

Encontrar e investigar indicadores de compromiso y ataque

La búsqueda de amenazas requiere un alcance de lo que debe buscar y una manera de identificar cualquier cosa que no encaje, como:

 

  • Tráfico irregular
  • Actividad anormal de la cuenta
  • Cambios en el registro y en el sistema de archivos
  • Comandos utilizados en sesiones remotas que no se habían visto antes

 

Para encontrar anomalías, es importante primero tener una comprensión básica de la actividad regular. Una vez que se detecten los indicadores, siga el rastro. Esto a menudo se hace estableciendo una hipótesis y luego identificando si cada COI es una amenaza. Algunos IOC pueden usar un enfoque contundente y presentar evidencia obvia. Por ejemplo, una mayor cantidad de tráfico a un país con el que la organización no hace negocios. La investigación de los IOC también puede implicar trabajar en un laboratorio para reproducir ciertos tipos de tráfico para examinar su comportamiento en un entorno virtual.

 

En entornos controlados, como SCADA, es más fácil detectar algo fuera de lo común. Mientras que los entornos empresariales a menudo tienen tráfico diverso, lo que hace que la detección sea un desafío mayor. Las soluciones de seguridad, como elmalware, son más efectivas contra códigos maliciosos que ya han sido mapeados y analizados, mientras que un código completamente nuevo es más difícil de detectar.

 

Si bien un exceso de herramientas puede complicar la búsqueda de amenazas, la gestión de eventos e información de seguridad (SIEM) y las herramientas de correlación de eventos ayudan. Por otro lado, también pueden obstaculizar su capacidad para ver detalles. Lo ideal es un enfoque unificado para la seguridad en la nube .

Consejos para la caza de amenazas

Las reglas de YARA le permiten crear conjuntos de reglas para ayudar a encontrar y reconocer malware. "Con YARA puedes crear descripciones de familias de malware (o lo que quieras describir) basadas en patrones textuales o binarios".

 

El malware sofisticado a menudo se esconde dentro de otra cosa para infiltrarse en los hosts de servicios, como los procesos de Windows que su sistema siempre está ejecutando. Si logran inyectar código malicioso, pueden realizar operaciones maliciosas de una manera indetectable. El registro de Windows es otra ubicación clave donde puede esconderse el malware. Compare con el registro del sistema predeterminado e investigue cualquier cambio.

 

El nivel de detalle al que vaya depende de las prioridades de su organización y del nivel de libertad que tenga cada sistema. Verificar la integridad de los procesos críticos del sistema que siempre están activos es una parte importante del lado forense de la caza de amenazas.

Equipos eficaces

Infosec afirma: “La caza puede implicar técnicas manuales y basadas en máquinas. A diferencia de otros sistemas automatizados, como SIEM, la caza implica capacidades humanas para cazar amenazas con más sofisticación”.

 

Un atributo importante de un equipo eficaz de caza de amenazas es la comunicación. Los cazadores de amenazas también deben ser expertos en la redacción de informes y en educar a otros sobre amenazas y riesgos. Para ayudar a la gerencia a tomar buenas decisiones basadas en sus hallazgos, los equipos deben ser capaces de hablar sobre lo que han encontrado en términos generales. En general, la caza es más un papel de analista, en lugar de ingeniero.

La búsqueda de amenazas debe ser parte de un enfoque unificado para la seguridad en la nube

CloudGuard Intelligence and Threat Hunting, parte de la plataforma CloudGuard Cloud Native Security, proporciona análisis forense de seguridad de amenazas nativas en la nube a través de una visualización rica de aprendizaje automático, brindando un contexto en tiempo real de las amenazas y anomalías en su entorno de múltiples nubes.

 

CloudGuard ingiere datos de eventos y registros nativos de la nube, brindando visualizaciones contextualizadas de toda su infraestructura de nube pública y análisis de seguridad en la nube, lo que ayuda a mejorar:

 

  • Respuesta a incidentes (análisis forense en la nube): alertas sobre la actividad de la red y el comportamiento de la cuenta.
  • Solución de problemas de red: configuración en tiempo real y monitoreo de tráfico en VPC y VNET, incluidos los servicios ephemeral y componentes de plataforma nativos de la nube de Amazon AWS, Microsoft Azure y Google Cloud Platform.
  • Cumplimiento: notificaciones instantáneas sobre infracciones reglamentarias y auditorías de ace
x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing.Al seguir usando este sitio web, usted acepta el uso de cookies.Para obtener más información, lea nuestro Aviso de cookies.
Aceptar