La cacería de amenazas o “Threat Hunting” es una respuesta de las áreas de ciberseguridad para detectar amenazas en la seguridad digital de empresas y usuarios. Se define como las actividades proactivas y periódicas, ejecutadas por personas (humanos), para realizar la búsqueda de comportamientos sospechosos, maliciosos o patrones no seguros en los entornos tecnológicos e infraestructuras de las empresas, como podría ser en comunicaciones y conexiones de red, correo electrónico, navegación web, recursos en la nube, a nivel de dispositivos y usuarios finales, etc.
“Cada día se suman nuevos riesgos cibernéticos como los malware, amenazas de día cero y comportamientos maliciosos que pueden pasar desapercibidos por las empresas debido a su baja protección de seguridad. Esto, sumado a que son muy pocas las áreas de TI que realizan actividades de cacería de amenazas ya que desconocen cómo hacerlo, lo que los convierte en empresas vulnerables a todo tipo de ciberdelincuencia” señala Antonio Romero, Especialista de Ciberseguridad de Logicalis.
La reciente encuesta “Threat Hunting in uncertain times” realizada por SANS, se encontró que 24% se consideran maduros en actividades de “Threat Hunting; 75% de las empresas encuestadas prefieren herramientas de detección tradicional como antimalware, SIEM, IPS, para la detección en actividades cacería; 51% de los encuestados realizan el seguimiento de las actividades cacería de forma manual; y que 51% de las organizaciones identifican o reconocen la falta de habilidades y entrenamiento de las personas, como la barrera principal para realizar actividades de cacería de forma exitosa.
Para obtener un éxito real en la cacería, el especialista de ciberseguridad propone que “además de la protección tecnológica, se sume la experiencia y conocimiento de los equipos de ciberseguridad de las empresas o de compañías expertas que puedan hacer un análisis real de patrones maliciosos presentes en el ecosistema y que no han sido detectados por las herramientas cibernéticas.”
También, señala que dentro del sector empresarial aún tienen miedo de implementar este tipo de acciones en sus organizaciones debido al desconocimiento y mitos alrededor del Threat Hunting, tales como:
- La cacería se puede hacer de forma automatizada. El principal aporte humano en una cacería es remediar el resultado de algo que una herramienta no encontró automáticamente o que pudo haber ignorado. Debe ser proactivo y no reactivo. Requiere el aporte de un analista humano, basado en una hipótesis. El propósito es encontrar lo que su sistema automatizado o una herramienta de seguridad no detecta. Una alerta de una herramienta ciertamente puede brindar un punto de partida para una investigación o informar una hipótesis, pero un analista debe trabajar en una investigación para comprender y ampliar el contexto de lo que se encontró y obtener realmente el valor total de la cacería.
- La cacería solo se puede llevar a cabo con una gran cantidad de datos y herramientas avanzadas. Aunque puede parecer un término nuevo, los analistas y equipos de seguridad han realizado actividades de “cacería” durante años. Un analista que quiera iniciar la cacería de amenazas debe sacar provecho de todos los recursos que tenga disponibles dentro de su equipo y organización. Entender cómo funcionan las herramientas de seguridad para hacer búsquedas avanzadas, entender en dónde buscar, qué buscar, cómo buscar, etc., investigar y definir algunos procesos o técnicas de cacería.
- Threat Hunting es una actividad que preferiblemente deben ejecutar los analistas de élite con muchos años de experiencia y conocimiento. Hay muchas técnicas de cacería con diferentes niveles de complejidad. Sin embargo, no todas requieren años en dominarse. El analista y los equipos deben prepararse para saber qué hacer, definir procedimientos, tener algunas búsquedas base para identificar eventos interesantes, qué hacer con la información o pistas obtenidas, cómo reconocer la presencia o sospecha de una Ciberamaneza y cómo poder definir una estrategia para neutralizarla. Aunque tenga que aprender sobre el camino, no deben tener temor de sumergirse en este mundo e ir mejorando las habilidades, experiencia y capacidades del equipo progresivamente.
Así mismo, Romero recomienda que las empresas trabajen en la capacitación, desarrollo de conocimiento y habilidades del equipo de ciberseguridad para realizar actividades de Threat Hunting, gestión de incidentes e investigaciones, tener una buena visibilidad de los eventos de seguridad del ecosistema desde múltiples frentes, a nivel de red, correo, navegación, control de acceso, gestión de identidades, endpoint aplicaciones y bases de datos, etc.
Además de que cuenten con las herramientas adecuadas para las actividades de Threat Hunting, en la búsqueda de eventos, comportamientos y patrones sospechosos (SIEM, IPS, IDS, EDR, Antimalware, Gateway de correo, web proxy, etc.). Es importante definir un procedimiento de Threat Hunting, una periodicidad y documentar estas actividades de cacería, para mejorar la base de conocimiento y buenas prácticas del equipo.