En nuestra entrada de blog titulada ¿Qué es el Threat Hunting?, hablamos sobre esta importante práctica. Recordemos que el Threat Hunting se define como una actividad proactiva e iterativa que busca señales de compromiso dentro del entorno digital de la organización. Su objetivo es reducir el impacto de una posible brecha de seguridad.
A través de la recopilación y el análisis de datos, los profesionales de la ciberseguridad conocidos como “threat hunters” (cazadores de amenazas), identifican patrones anómalos y realizan investigaciones exhaustivas para descubrir posibles amenazas ocultas en los sistemas informáticos.
Para llevar a cabo un proceso efectivo de Threat Hunting, se necesita una variedad de herramientas que ayuden a recolectar, almacenar, analizar y visualizar los datos adecuadamente. A continuación, presentamos algunas de las herramientas más destacadas:
El SIEM permite recolectar, organizar y visualizar datos provenientes de diversas fuentes, proporcionando análisis en tiempo real de las alertas de seguridad generadas por varios componentes de hardware y software en la infraestructura. Aunque las capacidades del SIEM pueden variar, todas ofrecen las mismas funciones principales:
Los sistemas SIEM recopilan grandes cantidades de datos en un solo lugar, los organizan y luego determinan si existen signos de amenaza, ataque o vulneración.
A continuación, los datos se clasifican para identificar relaciones y patrones a fin de detectar amenazas potenciales y responder a ellas.
La tecnología SIEM supervisa los incidentes de seguridad en la red de una organización, y proporciona alertas y auditorías de toda la actividad relacionada con un incidente.
Los servicios de Detección y Respuesta Gestionadas (MDR, por sus siglas en inglés) son un servicio subcontratado con el objetivo de proteger a las organizaciones de amenazas Consisten en un equipo remoto de cazadores de amenazas que identifican, analizan, investigan y responden a las amenazas en nombre de la organización que contrató su servicio. Generalmente incluye algunas características distintivas:
Los proveedores de servicios de seguridad MDR investigarán una alerta y determinarán si se trata de un incidente verdadero o un falso positivo. Esto se logra mediante una combinación de análisis de datos, aprendizaje automático e investigación humana.
Los proveedores de detección y respuesta administradas buscarán proactivamente en la red y los sistemas de una organización indicios de un ataque en curso y, si se detecta alguno, tomarán medidas para remediarlo.
Un sistema EDR monitoriza continuamente toda la actividad de los endpoints y analiza los datos en tiempo real para identificar automáticamente actividades de amenaza. Esto permite detectar y prevenir amenazas avanzadas a medida que éstas ocurren, y facilita que los equipos de seguridad puedan investigar incidentes, responder a alertas y cazar nuevas amenazas de forma proactiva.
Algunos ejemplos de información útil que el EDR puede aportar a los equipos de seguridad:
El análisis de seguridad combina software, algoritmos y técnicas analíticas para encontrar posibles vulnerabilidades en los sistemas de TI. Las herramientas de análisis de seguridad proporcionan gráficos y tablas fáciles de interpretar sobre datos de amenazas, lo que facilita la detección de correlaciones y patrones de manera más rápida y sencilla. Estas herramientas se pueden clasificar como:
Es el proceso de examinar los datos o evidencias digitales relacionados con un incidente o una amenaza de seguridad, con el fin de determinar su origen, naturaleza, impacto y autoría.
Es el proceso de examinar los registros generados por los componentes de la red, como dispositivos, sistemas, aplicaciones o servicios. Estos registros contienen información valiosa sobre la actividad y el estado de los componentes de la red. Gracias a las herramientas de análisis de registro, estos pueden ser utilizados para detectar incidentes o amenazas de seguridad.