En nuestra entrada de blog titulada ¿Qué es el Threat Hunting?, hablamos sobre esta importante práctica. Recordemos que el Threat Hunting se define como una actividad proactiva e iterativa que busca señales de compromiso dentro del entorno digital de la organización. Su objetivo es reducir el impacto de una posible brecha de seguridad.
A través de la recopilación y el análisis de datos, los profesionales de la ciberseguridad conocidos como “threat hunters” (cazadores de amenazas), identifican patrones anómalos y realizan investigaciones exhaustivas para descubrir posibles amenazas ocultas en los sistemas informáticos.
Para llevar a cabo un proceso efectivo de Threat Hunting, se necesita una variedad de herramientas que ayuden a recolectar, almacenar, analizar y visualizar los datos adecuadamente. A continuación, presentamos algunas de las herramientas más destacadas:
Sistema de Gestión de Información y Eventos de Seguridad: SIEM
El SIEM permite recolectar, organizar y visualizar datos provenientes de diversas fuentes, proporcionando análisis en tiempo real de las alertas de seguridad generadas por varios componentes de hardware y software en la infraestructura. Aunque las capacidades del SIEM pueden variar, todas ofrecen las mismas funciones principales:
-
Administración de registros:
Los sistemas SIEM recopilan grandes cantidades de datos en un solo lugar, los organizan y luego determinan si existen signos de amenaza, ataque o vulneración.
-
Correlación de eventos:
A continuación, los datos se clasifican para identificar relaciones y patrones a fin de detectar amenazas potenciales y responder a ellas.
-
Supervisión y respuesta ante incidentes:
La tecnología SIEM supervisa los incidentes de seguridad en la red de una organización, y proporciona alertas y auditorías de toda la actividad relacionada con un incidente.
Detección y Respuesta Gestionadas: MDR
Los servicios de Detección y Respuesta Gestionadas (MDR, por sus siglas en inglés) son un servicio subcontratado con el objetivo de proteger a las organizaciones de amenazas Consisten en un equipo remoto de cazadores de amenazas que identifican, analizan, investigan y responden a las amenazas en nombre de la organización que contrató su servicio. Generalmente incluye algunas características distintivas:
-
Investigación de incidentes:
Los proveedores de servicios de seguridad MDR investigarán una alerta y determinarán si se trata de un incidente verdadero o un falso positivo. Esto se logra mediante una combinación de análisis de datos, aprendizaje automático e investigación humana.
-
Remediación:
Un proveedor de detección y respuesta gestionada ofrecerá la reparación de incidentes como un servicio. Esto significa que tomarán medidas de forma remota para responder a un evento de seguridad dentro de la red de un cliente. -
Caza proactiva de amenazas:
Los proveedores de detección y respuesta administradas buscarán proactivamente en la red y los sistemas de una organización indicios de un ataque en curso y, si se detecta alguno, tomarán medidas para remediarlo.
Detección y Respuesta de Endpoints: EDR
Un sistema EDR monitoriza continuamente toda la actividad de los endpoints y analiza los datos en tiempo real para identificar automáticamente actividades de amenaza. Esto permite detectar y prevenir amenazas avanzadas a medida que éstas ocurren, y facilita que los equipos de seguridad puedan investigar incidentes, responder a alertas y cazar nuevas amenazas de forma proactiva.
Algunos ejemplos de información útil que el EDR puede aportar a los equipos de seguridad:
- Cuentas de usuarios que han iniciado sesión, tanto de forma directa como a través de acceso remoto.
- Cualquier cambio realizado a las claves ASP, ejecutables y otros usos de herramientas administrativas.
- Una lista de ejecuciones de procesos.
- Registros de creación de archivos, incluyendo .ZIP y .RAR.
- Uso de medios extraíbles, como memorias USB.
- Todas las direcciones locales y externas que se han conectado al host.
Análisis de seguridad
El análisis de seguridad combina software, algoritmos y técnicas analíticas para encontrar posibles vulnerabilidades en los sistemas de TI. Las herramientas de análisis de seguridad proporcionan gráficos y tablas fáciles de interpretar sobre datos de amenazas, lo que facilita la detección de correlaciones y patrones de manera más rápida y sencilla. Estas herramientas se pueden clasificar como:
-
Análisis forense:
Es el proceso de examinar los datos o evidencias digitales relacionados con un incidente o una amenaza de seguridad, con el fin de determinar su origen, naturaleza, impacto y autoría.
-
Análisis de comportamiento:
Consiste en estudiar el comportamiento de los usuarios o los dispositivos en la red, con el fin de identificar patrones normales o anormales que puedan indicar una amenaza o un riesgo de seguridad. -
Análisis de registro:
Es el proceso de examinar los registros generados por los componentes de la red, como dispositivos, sistemas, aplicaciones o servicios. Estos registros contienen información valiosa sobre la actividad y el estado de los componentes de la red. Gracias a las herramientas de análisis de registro, estos pueden ser utilizados para detectar incidentes o amenazas de seguridad.
