Zpedia 

/ ¿Qué es la búsqueda de amenazas (Threat Hunting)?

¿Qué es la búsqueda de amenazas (Threat Hunting)?

La caza de amenazas es un enfoque proactivo para encontrar amenazas potenciales y vulnerabilidades de ciberseguridad en la red y los sistemas de una organización, que combina analistas de seguridad humanos, inteligencia de amenazas y tecnologías avanzadas que analizan el comportamiento, detectan anomalías e identifican indicadores de compromiso (IOC) para detectar lo que las herramientas de seguridad tradicionales se pueden perder. Los cazadores de amenazas se esfuerzan por detectar y neutralizar las amenazas a tiempo para minimizar su impacto potencial.

¿Por qué es importante la caza de amenazas?

A medida que las infracciones de datos se vuelven más frecuentes y costosas, un programa de búsqueda de amenazas es una pieza clave de una estrategia de seguridad empresarial moderna, que ofrece a las organizaciones los beneficios de:

  • Defensa proactiva frente a riesgos potenciales y amenazas ocultas, mejorando la postura de seguridad general y ayudando a mitigar los riesgos antes de que se intensifiquen, previniendo posibles infracciones.
  • Permitir una respuesta acelerada a incidentes y reducir el tiempo de permanencia de las amenazas mediante la combinación de herramientas automatizadas y experiencia humana para una detección de amenazas más precisa
  • Menor riesgo de daños financieros y de reputación, pérdida de datos, etc. ante ataques cada vez más frecuentes y consecuencias más costosas.

El coste promedio global de una infracción de datos aumentó un 15 % de 2020 a 2023, hasta los 4,45 millones de dólares estadounidenses.

−Informe Coste de una filtración de datos 2023 de IBM

¿Cómo funciona la caza de amenazas?

La búsqueda eficaz de amenazas se basa en la investigación práctica, la prevención y la reducción de riesgos, pero todo esto no puede suceder en el vacío; por el contrario, es una carrera armamentista contra los ciberdelincuentes que siempre están trabajando para hacer que sus ataques sean más rápidos, más numerosos y más difíciles de detectar. Puede pensar en el proceso básico de búsqueda de amenazas en cuatro partes:

1. Recopilar y analizar datos

Los cazadores de amenazas recopilan grandes cantidades de datos dentro y fuera de la red de la organización, incluidos registros, datos de tráfico y puntos finales, y fuentes de inteligencia sobre amenazas. El análisis del comportamiento y el aprendizaje automático ayudan a establecer una línea de base de comportamiento normal a partir de estos datos; cualquier desviación de la misma podría indicar una amenaza potencial.

2. Desarrollar una hipótesis

Basándose en la información obtenida del análisis de datos, los cazadores de amenazas formulan hipótesis sobre amenazas potenciales, centrándose en identificar anomalías o actividades sospechosas que podrían indicar la presencia de malware u otro incidente de seguridad inminente.

3. Investigar y validar

Los cazadores de amenazas buscan IOC, señales de actividad maliciosa o patrones inusuales en los datos examinando el tráfico de la red, revisando registros, inspeccionando la actividad de los puntos finales y más. El objetivo es validar si los indicadores señalan amenazas reales o son simplemente falsos positivos. La validación es fundamental para permitir que las organizaciones respondan a las amenazas con mayor rapidez y eficiencia.

4. Mejorar continuamente

Para adaptarse continuamente a las amenazas en evolución, el proceso de caza es cíclico: los cazadores de amenazas aplican las lecciones aprendidas para perfeccionar sus técnicas, actualizar sus hipótesis, incorporar nueva información de amenazas y soluciones de seguridad, etc., para informar mejor su próximo análisis.

Tipos de caza de amenazas

El enfoque que adoptan los cazadores de amenazas depende de la información que tengan de antemano. Por ejemplo, ¿un canal de amenazas ha proporcionado nueva información específica sobre una cepa de malware emergente, como datos de firmas? ¿La organización ha notado un aumento repentino en el tráfico saliente?

La búsqueda de amenazas basada en pistas (también conocida como búsqueda estructurada) se basa en hipótesis o en IOC específicos que guían la investigación. Por ejemplo, si los cazadores reciben información específica sobre malware emergente como el mencionado anteriormente, pueden buscar señales conocidas de ese malware en su entorno.

La búsqueda de amenazas sin pistas (también conocida como búsqueda no estructurada) no depende de pistas o indicadores específicos. En cambio, los cazadores de amenazas utilizan técnicas de análisis de datos y detección de anomalías para descubrir situaciones como el pico de tráfico de red mencionado anteriormente y luego investigan la causa de la anomalía a partir de ahí.

Estos enfoques no son mutuamente excluyentes: los equipos de búsqueda de amenazas a menudo necesitan confiar en una combinación de ambos como parte de una metodología de búsqueda integral.

Beneficios de la automatización en la búsqueda de ciberamenazas

La automatización es esencial para una búsqueda eficaz de amenazas, combinada con el pensamiento lateral y la creatividad humana. Los ciberdelincuentes aprovecharán cualquier ventaja que puedan, lo que hoy significa que utilizan cada vez más la inteligencia artificial y la automatización para impulsar sus ataques. En otras palabras, es un ejemplo clásico de combatir fuego con fuego.

La automatización acelera la detección y respuesta ante amenazas al recopilar, correlacionar e identificar anomalías en grandes cantidades de datos en tiempo real de manera mucho más eficiente que los humanos. A su vez, los analistas humanos tienen más tiempo y atención para centrarse en incidentes que requieren una toma de decisiones contextualizada y matizada o carecen de datos de seguridad históricos para que las herramientas automatizadas tomen determinaciones.

Modelos y metodologías de búsqueda de amenazas

Varios modelos y metodologías de detección de amenazas ayudan a los analistas a identificar, investigar y mitigar las amenazas con un enfoque en diferentes aspectos, según lo que se adapte a la naturaleza de su equipo o la amenaza en sí. Algunos modelos comunes son:

Marco MITRE ATT&CK

Una base de conocimiento de TTP adversarios conocidos, el marco MITRE ATT&CK proporciona una forma estandarizada de categorizar y analizar los comportamientos de amenazas en las distintas etapas de un ataque, lo que ayuda a los analistas de amenazas a alinear sus esfuerzos de detección y respuesta.

Cadena de ataque cibernético de Lockheed Martin

Este modelo desglosa siete etapas de un ciberataque, desde el reconocimiento hasta la exfiltración, para ayudar en los esfuerzos de búsqueda proactiva de amenazas mediante la identificación de vulnerabilidades y posibles estrategias de mitigación efectivas en diferentes puntos de la cadena de ataque.

Ciclo de vida de la inteligencia de amenazas cibernéticas

Este proceso continuo de recopilación, análisis y difusión de inteligencia sobre amenazas ayuda a los analistas de amenazas a integrar información sobre amenazas oportuna y relevante en sus esfuerzos de detección y respuesta, lo que permite a las organizaciones mantenerse a la vanguardia de las amenazas emergentes.

Para obtener más información, lea nuestro artículo: ¿Qué es la inteligencia de las amenazas?

Ciclo Observar, Orientar, Decidir, Actuar (OODA)

Este marco de cuatro pasos desarrollado originalmente para la Fuerza Aérea de EE. UU. ayuda a los cazadores de amenazas a contextualizar la información sobre las amenazas en evolución para adaptarse más rápidamente a situaciones cambiantes, tomar decisiones informadas y emprender acciones efectivas.

Modelo de diamante para el análisis de intrusiones

Este marco de atribución de ciberamenazas define las cuatro características principales de la actividad de intrusión (adversario, infraestructura, víctima y capacidad) y sus relaciones para ayudar a los cazadores de amenazas a comprender el quién, qué, dónde y cómo de un ataque.

Herramientas de búsqueda de amenazas

Así como existen numerosas metodologías de caza, también existen muchas herramientas en el conjunto de herramientas del cazador de ciberamenazas. Algunas de las tecnologías comunes:

  • Las herramientas de gestión de eventos e información de seguridad (SIEM) recopilan y analizan datos de registro de la red de una organización y proporcionan una plataforma central de supervisión y alerta.
  • Las herramientas de análisis de tráfico de red (NTA) analizan patrones y comportamientos del tráfico de red para detectar actividad sospechosa e identificar amenazas potenciales.
  • Las herramientas de detección y respuesta de terminales (EDR) supervisan y detectan actividades sospechosas en terminales en tiempo real mientras brindan investigación, búsqueda de amenazas, clasificación y corrección.
  • Las plataformas de inteligencia de amenazas (TIP) agregan, correlacionan, analizan y enriquecen la información de amenazas de diversas fuentes para ayudar a los analistas y sus herramientas a tomar decisiones informadas.
  • Las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) automatizan y orquestan las tareas de respuesta a incidentes, lo que permite una mitigación de amenazas más rápida y eficiente.
  • Las herramientas de análisis de vulnerabilidades respaldan la gestión de revisiones y la evaluación de riesgos al analizar los entornos y las aplicaciones de una organización para identificar vulnerabilidades que los atacantes podrían explotar.
  • Las herramientas de gestión de la superficie de ataque (ASM) brindan visibilidad de la superficie de ataque de una organización, lo que ayuda a reducirla identificando, supervisando y mitigando vulnerabilidades y posibles vectores de ataque.
  • Los entornos sandbox para malware aíslan y analizan archivos y programas sospechosos en un entorno controlado. Se utilizan para identificar el comportamiento del malware y evaluar las amenazas potenciales.
  • Las herramientas de emulación de amenazas y de formación de equipos rojos simulan ciberataques del mundo real para ayudar a las organizaciones a evaluar su postura de seguridad e identificar vulnerabilidades.
  • La tecnología de engaño implementa señuelos en una red junto con activos reales para atraer a los atacantes y generar alertas de alta fidelidad que reducen el tiempo de permanencia y aceleran la respuesta a incidentes.

¿Quién debería participar en la búsqueda de amenazas?

Los analistas de seguridad expertos en herramientas de detección y búsqueda de amenazas son los elementos más esenciales en sus esfuerzos de búsqueda de amenazas, tomando la iniciativa en la supervisión y el análisis de alertas, el seguimiento de comportamientos sospechosos, la identificación de indicadores de ataque (IOA), etc. Las organizaciones más pequeñas pueden emplear sólo un analista a tiempo completo, mientras que las más grandes pueden tener equipos de centros de operaciones de seguridad (SOC) de tamaño considerable o servicios administrados.

Otro personal de apoyo importante suele incluir:

  • Analistas de inteligencia de amenazas para analizar la información de amenazas en un contexto crítico e indicadores de compromiso.
  • Equipos jurídicos y de cumplimiento para ayudar con el cumplimiento de los requisitos legales y reglamentarios.
  • Ejecutivos y miembros de la junta para tomar decisiones de alto nivel sobre estrategia, recursos humanos y presupuestos.

¿Qué necesita para empezar a cazar amenazas?

Su organización necesita cuatro elementos clave para detectar amenazas de manera eficaz:

  1. Un equipo de detección y análisis habilidoso. Si cuenta con un equipo de seguridad interno, invierta en capacitación y desarrollo continuos para ayudarles a proteger su organización contra amenazas sofisticadas y en constante evolución.
  2. La combinación adecuada de tecnologías de búsqueda de amenazas y herramientas automatizadas, incluidas plataformas SIEM, soluciones EDR, herramientas NTA y plataformas de inteligencia de amenazas.
  3. Acceso a registros, datos de tráfico de red, datos de comportamiento, etc. para garantizar que sus detectores de amenazas tengan una visión completa del panorama de amenazas.
  4. Un marco estratégico claro para la búsqueda de amenazas, con objetivos y estrategias definidos que se alinean con su tolerancia al riesgo y su postura de seguridad.

El papel de Zscaler en la caza de amenazas

Los expertos en búsqueda de amenazas de Zscaler ThreatLabz están atentos a anomalías dentro de los 500 billones de puntos de datos que recorren la mayor nube de seguridad del mundo, identificando y detectando actividad maliciosa y amenazas emergentes.

Zscaler ThreatLabz utiliza inteligencia sobre amenazas y herramientas patentadas para buscar de forma proactiva las tácticas, las herramientas y los procedimientos (TTP) reveladores de amenazas que van desde los grupos adversarios más sofisticados hasta el malware común, lo que permite una cobertura integral de las amenazas actuales.

Estos puntos de datos también se utilizan para entrenar modelos de aprendizaje automático a fin de realizar detecciones más rápidas y amplias. Este enfoque proactivo contribuye a identificar y bloquear 9 mil millones de amenazas potenciales diariamente, antes de que puedan afectar a nuestros clientes o causar daños.

Nuestros experimentados cazadores de amenazas están listos para descubrir y defenderse de ataques avanzados en su entorno

Recursos sugeridos

Zscaler ThreatLabz en X (Twitter)
Ver las últimas publicaciones
Panel de actividad en la nube de Zscaler ThreatLabz
Vea actualizaciones en vivo
Blog de investigación de seguridad de Zscaler ThreatLabz
Ver las últimas publicaciones
Informe sobre el ransomware de Zscaler ThreatLabz 2023
Obtenga el informe completo

01 / 03

Preguntas frecuentes