Que es el Threat Hunting

• 15 diciembre, 2020
• Prestigia Seguridad
• sin comentarios

El Threat Hunting (caza de amenazas) es la práctica de buscar de forma proactiva ciber amenazas que acechan, sin ser detectadas en una red. El Threat Hunting profundiza, para encontrar actores maliciosos en el entorno, que hayan conseguido superar las defensas de seguridad iniciales de su compañía.

Después de acceder ilegítimamente a tu empresa, un atacante puede permanecer sigilosamente en la red durante meses mientras recopila datos, busca material confidencial u obtiene credenciales de inicio de sesión que le permitirán moverse lateralmente por el entorno.

Una vez que un atacante logra evadir la detección y este ha penetrado las defensas de una organización, muchas organizaciones carecen de las capacidades de detección avanzadas necesarias para evitar que las amenazas persistentes avanzadas (APT) permanezcan en la red. Es por eso que, el Threat Hunting es un componente esencial de cualquier estrategia de ciber defensa avanzada.

Como se realiza el Threat Hunting

En lugar de intentar infiltrarse en el entorno desde el exterior, como sucede durante los test de intrusión (pentest), los Threat Hunters trabajan con la suposición de que los adversarios ya están en el sistema. Analizan cuidadosamente todo el entorno, utilizan análisis de comportamiento y un enfoque basado en hipótesis, para encontrar un comportamiento inusual que pueda indicar la presencia de actividad maliciosa.

Los Threat Hunters trabajan con una gran cantidad de capacidades tecnicas y herramientas para rastrear a los atacantes e identificar actividades sospechosas. Algunas de las herramientas y soluciones más comunes que aprovechan los Threat Hunters incluyen:

• Monitorización basada ​​en la red: monitoreando los puertos de escucha de los sistemas conectados a Internet, los Threat Hunters pueden monitorear el tráfico, así como revisar las grabaciones de sesiones de paquetes, buscando tráfico saliente inusual, geografías de comunicación anormales, cantidades irregulares de datos entrantes o salientes, etc.
• Monitorización de sistemas: los cambios en los sistemas de archivos y el registro de Windows son dos lugares donde los analistas pueden encontrar configuraciones y contenido anómalos. El análisis de los valores del registro y el seguimiento de los cambios realizados en los sistemas de archivos son actividades habituales de búsqueda de amenazas, para analizar que por ejemplo que nuestro equipo no pertenezca ya a una botnet.
• Monitorización de los sistemas de autenticación: monitorear o revisar el inicio de sesión (o intento de inicio de sesión) de cuentas privilegiadas en endpoints, servidores y servicios puede ser útil para que un Threat Hunter siga el rastro utilizado por un atacante para identificar qué cuentas han sido comprometidas ser remediado.

Conclusiones sobre la implementación

El arte del Threat Hunting puede aportar un valor significativo a una estrategia de ciberseguridad. Basado en la simple premisa de que ningún sistema es 100% seguro, un Threat Hunter experimentado puede detectar y prevenir de manera proactiva incluso al atacante más sofisticado y experto.

Como era de esperar, crear un programa eficaz de búsqueda de amenazas requerirá cierto esfuerzo: es esencial contar con los profesionales adecuados y las herramientas necesarias antes de comprometerse con una estrategia específica. Un buen enfoque es primero definir qué nivel de madurez proporcionará a la empresa valor real, confirmar si los recursos existentes son suficientes y crear la combinación adecuada de profesionales experimentados, herramientas de recopilación / procesamiento de datos e inteligencia procesable. Y tu ¿conocías este tipo de servicios? ¿alguna vez te has planteado que los analistas hagan este tipo de hipótesis para mejorar tu seguridad?

Por último, desde Prestigia Seguridad, ofrecemos servicios de ciberseguridad, desde servicios de anti-phishing para concienciar o análisis de Threat Hunting para mejorar tu seguridad, no dudes en consultarnos para los servicios que puedan proteger a tu compañía de un ciberataque.