Cada vez más el concepto de cazador (hunter) de amenazas, viene tomando fuerza dentro de los equipos operativos de seguridad. Pero la gran inquietud de muchos responsables de seguridad es: ¿cómo debo cambiar mi estructura para tener este nuevo equipo en mi operación? Para responder, creo importante entender que función cumple el cazador de amenazas (Threat Hunter).
Los equipos de ciberseguridad han evolucionado en diferentes frentes, la gestión, la tecnología y la operación. Las personas de gestión tienen la función de desarrollar las capacidades para que la organización tome buenas decisiones frente a la ciberseguridad, siendo un tema subjetivo, el uso de la metodología de riesgos ayudan a cumplir con dicho logro. El equipo de tecnología se orienta a implementar controles y garantizar que los controles cumplan con su objetivo y sean efectivos en su ciclo de vida. Por último encontramos la operación, quienes se estructuran en frentes reactivos y preventivos para garantizar que la organización sea antifragil ante los incidentes de seguridad.
En la operación tenemos varios retos:
- Tener visibilidad de cualquier vector sobre nuestra superficie de ataque.
- Detectar de forma oportuna cualquier incidente de ciberseguridad que pueda afectar a la organización.
- Responder de forma efectiva ante los incidentes de ciberseguridad.
Frente a estos retos la tecnología apoya al equipo de operación a solventarlos. El BigData, el Machine Learning y la Orquestación y Automatización han apoyado nuestro día a día.
Pero las amenazas también evolucionan y aún teniendo todo tipo de herramientas y capacidades en los centros de operaciones de seguridad se tienen los siguientes riesgos:
- ¿Tengo todas las fuentes de información necesarias para detectar una amenaza?
- ¿Mis modelos de detección y reglas de correlación son efectivas en el tiempo?
- ¿La inclusión de cambios en la infraestructura o en las soluciones impactan mis capacidades de detección?
- ¿Qué tan efectivo es mi proceso para garantizar que mis capacidades de detección son efectivas ante nuevos vectores de ataque?
Estas problemáticas nos llevan a desarrollar nuevas capacidades en nuestros equipos de operaciones, que nos ayudan a enfrentar estos riesgos en mi operación. Si deseas que te ayudemos a enfrentar estos riesgos contacta con nosotros.
También puedes ver más información relacionada en este enlace.
Ahora sí veamos qué tareas tiene el cazador de amenazas.
- Realizar investigación frente a nuevas amenazas, vulnerabilidades e inteligencia de varios grupos de atacantes e infraestructura de ataque.
- Proactivamente realizar detección y análisis sobre los conjuntos de datos existentes.
- Hacer uso de herramientas de BigData para identificar amenazas, causas raíz, alcance y severidad. Para entregar un producto final de analítica en un reporte o compendio.
- Trabajar con el equipo para desarrollar habilidades y expandir las capacidades de detección y respuesta.
- Convertirse en una interfaz para apoyar a los equipos en la implementación de controles y mejores prácticas para la mejora de la postura de seguridad de la organización.
Para resumir y lograr responder a la pregunta de los responsables de seguridad, el objetivo de la cacería de amenazas es construir conocimiento que nos ayude a que nuestros procesos de detección y respuesta sean más efectivos cubriendo los riesgos que presentábamos en la operación de seguridad, por lo tanto debe incluirse como capacidades de mejora continua haciendo uso de herramientas tecnológicas como TIP (Threat Intelligence Platform), Deception, EDR y NDR con el fin de ajustar y apoyar la madurez de nuestras soluciones de analítica de seguridad SIEM y UEBA; y de orquestación y automatización SOAR.
¿Quieres conocer más sobre la función del Threat Hunter y cómo beneficia a tu organización?
