Thursday, November 21, 2024
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


El proceso de gestión del Threat Hunting: “detectando lo desconocido”

By Javier Peris , in itSMF España , at 29/10/2020 Etiquetas: , , , , ,

Articulo ITSM4Seguridad

Ya no cabe duda de que cada vez es más necesario invertir en ciberseguridad, y así lo hemos ido demostrando en los artículos que hemos publicado desde el grupo de trabajo de itSM4Seguridad.

Es habitual ver en las noticias de todos los medios, siempre alguna noticia que tenga que ver con la ciberseguridad, en la que las organizaciones se ven involucradas perdiendo información, datos sensibles, o lo que es más importante, la credibilidad ante sus clientes. Por esta razón, ya no cabe duda de que cualquier comité de dirección debe tener en su estrategia una partida presupuestaría dedicada a la ciberseguridad.

Pero, como ya se ha demostrado, una estrategia reactiva ya no es suficiente, ya no vale con tener una buena capacidad de detección debemos adelantarnos a los ciberdelincuentes en la medida de lo posible, ya que las amenazas son cada vez más complejas técnicamente y mucho más difíciles de detectar con medios convencionales. En otros artículos hablamos de la necesidad de tener equipos que vigilen la seguridad de nuestras organizaciones en un formato permanente (24x7x365) mediante el uso de complejos centros de operaciones de ciberseguridad  (SOC por sus siglas en inglés) pero estos no sólo deben basarse en la detección de anomalías que puedan determinar que nos encontramos ante una amenaza que se está materializando, debemos cambiar nuestra estrategia y empezar a pensar que ya hemos sido comprometidos y que vamos a tratar de detectar lo desconocido.

¿Qué es el Threat Hunting?

El Threat Hunting puede ayudar a las organizaciones de una forma diferente a como estamos acostumbrados, ya no debemos esperar a que salten las alarmas en nuestros sistemas de monitorización basados en IOC (Indicadores de compromiso), sino que ahora vamos a estudiar cuáles son los TTPs (Tácticas, Técnicas y Procedimientos) usadas por los ciberdelincuentes en sus ataques para conocer mejor cómo detectar cualquier indicio que nos pueda ayudar a saber que estamos siendo atacados o, en la peor situación, que hemos sido comprometidos.

El Threat Hunting, se basa en confiar en que el resto de medidas de seguridad han fallado y no han sido capaces de detectar al ciberatacante. La labor del equipo de “Hunting” es detectar al atacante y “cazarlo” cuanto antes, para evitar que tenga impacto sobre nuestra organización.

Seguramente, al leer esta definición de “Threat Hunting” parezca muy idílico y rápidamente queramos implantar en nuestra organización un equipo de “hunters” que se encarguen de detectar aquellos que nuestras herramientas de SOC no son capaces de hacer pero, ¿realmente estamos preparados y nuestros procesos son suficientemente maduros para poder hacer esto?

Definiendo una estrategia

Antes de empezar a implantar un equipo de Threat Hunting en nuestra organización, lo primero que debemos hacer es preguntarnos si realmente sabemos lo que significa tener un equipo de “Threat Hunters”, para luego pasar a preguntarnos si estamos preparados para poder llevar a cabo este tipo de actividades.

Tratar de montar un equipo de Threat Hunting de la noche a la mañana, sin haber definido una estrategia o ser capaces de medir nuestro nivel de madurez tan sólo nos puede abocar al fracaso o, lo que es peor, no obtener resultados positivos que podamos aportar al C-Level.

La mejor manera de comprobar en qué punto nos encontramos es, por supuesto, midiendo el nivel de madurez de ciberseguridad de nuestra organización. Y para eso podemos apoyarnos en el framework HMM (Hunting Maturity Model).

Una vez aplicado el HMM sobre nuestra organización nos dará un nivel que va del 0 a 4, y ya dependiendo de cuál sea el resultado, seremos capaces de poder determinar qué acciones debemos acometer primero antes de poder llevar a cabo del despliegue de un equipo de Threat Hunting.

  • Nivel 0: en este nivel se considera que una organización no está preparada para poder disponer de un equipo de Threat Hunting, y que debe mejorar todavía sus procesos de ciberseguridad
  • Nivel 1: en este nivel la organización todavía se encuentra en un punto inicial en la detección de alertas de seguridad, por tanto probablemente ni dispongan de las herramientas ni de los datos (logs) necesarios para poder llevar a cabo estas tareas
  • Nivel 2: en este nivel, las organizaciones ya comienzan a tener cierta soltura en la definición y aplicación de procedimientos de seguridad, son capaces de aplicarlos y adaptarlos a sus necesidades y entorno empresarial. En este punto, ya son capaces de recoger mucha información de sus sistemas, y disponen de gran cantidad de datos. Puede ser un buen punto de partida para empezar a experimentar de forma ocasional y puntual en la práctica de la “caza del adversario”.
  • Nivel 3: como es de suponer, llegar a este nivel no es sencillo, llegados a este nivel ya se cuentan con más de una persona que puede dedicarse a este tipo de tareas. Disponen de herramientas avanzadas que, junto con los datos que reciben de los sistemas, pueden empezar a realizar trabajos complejos: identificar actividades maliciosas, analizar y correlar correctamente la información recibida, realizar hipótesis, etc.
  • Nivel 4: básicamente la diferencia entre el punto anterior y este, se diferencia en la capacidad de automatizar diversos procesos. Los analistas ya no tienen que extraer por ellos mismos de forma manual muchos de los datos que van a necesitar, sino que poseen herramientas y procesos automatizados que les ayudan a realizar las tareas de “caza” de forma más eficiente, e incluso pueden dedicar tiempo a la creación y mejor de procedimientos de seguridad de la organización, para mejorar las capacidades de detección.

Conclusión

Diseñar un plan, y seguir un modelo de HMM como el presentado en este artículo puede ser un buen punto de partida para conseguir desplegar adecuadamente una estrategia de Threat Hunting. Pero como en todo proyecto de ciberseguridad, no hay que improvisar; es importante saber en qué punto nos encontramos y a donde queremos llegar.

Alejandro Aliaga Casanova

Team Leader del Grupo ITSM4Seguridad

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad