En el mundo de la Ciberseguridad siempre aparecen nuevos conceptos, palabras de marketing que pueden empezar a sonar con diferente fuerza. Recuerdo hace unos años que en la conferencia de seguridad BlackHat empezaron con EDR (Endpoint Detection and Response), Machine Learning (Aprendizaje de Máquina) y la famosa ya Inteligencia Artificial (IA). El día de hoy se escucha Threat Hunting como una función dentro del proceso de detección de amenazas de ciberseguridad porque cada vez más se actúa como cazador tratando de seguir las pistas, identificando movimientos, llevando un rastreo sobre todo lo que sucede en un determinado entorno para poder determinar cómo ha sido afectado y el nivel de severidad.

Threat hunting

Hace un tiempo el SIEM (Security Information Event Management) nos prometía identificar las diferentes fases de un ataque aplicando correlaciones de seguridad para detectar amenazas, lo que era en otros términos el asociar diferentes fuentes de información uniendo en algún punto los datos para de esa forma determinar lo que pasa, pasó o pasará en nuestra infraestructura.

Entonces ya hemos ido viendo este concepto de identificar amenazas en las tecnologías de la información desde hace algún tiempo y, sobre eso, existen múltiples metodologías, normas, estudios y muchos productos tecnológicos. Pero enfoquemos a estos tiempos.

Threat Hunting, ... ¿qué hace diferente este concepto de los procesos de detección de amenazas de hace algunos años?. Creo que la respuesta está en las famosas 3 VVariedad, Velocidad y Volumen.

La cantidad de ataques, la diversidad de los mismos y una alta variedad, tanto de características como de objetivos, junto con el volumen de la información que necesitamos recolectar para entender todo el entorno también juega un rol muy importante. Así que el Threat Hunting actualmente nos lleva a crear un proceso más proactivo.

También es importante recalcar la diferencia entre una detección de algo que está sucediendo, detectarlo por una regla conocida, al asumir que estamos bajo ataque, asumir que ya nos vulneraron y a partir de esa premisa probar lo contrario.

El Threat Hunting va a tener como enfoque inicial el “Ya estamos Vulnerados”, hay un atacante dentro de mi infraestructura, estoy expuesto, entonces .... tengo que encontrarlo.

En A3Sec realizaremos en unas semanas un webinar en donde mostraremos las ventajas del Threat Hunting.

Cómo hacemos Threat Hunting

Podremos encontrar diversa información en internet, pero me gustaría llevarles por el concepto que ya existe y sin intención de inventar el hilo negro del asunto. Empezamos por el Kill Chain.

Entendemos que existen una serie de fases en las que un atacante puede lograr la identificación, explotación y afectación a una infraestructura tecnológica

La imagen anterior nos muestra cómo son estas fases del Kill Chain. A continuación una imagen que explica un poco más a detalle.

Ahora teniendo en mente los pasos, veamos el siguiente concepto ATT&CK del MITRE (Consultar página web). Mitre es una organización sin fines de lucro estadounidense que lleva a cabo diferentes investigaciones y la Matriz ATT&CK es una base de conocimiento que documenta una serie de tácticas, técnicas y procedimientos (TTP) que los atacantes utilizan contra sus víctimas.

Un ejemplo de la matriz de ATT&CK es el siguiente:

Ahora ya tenemos un camino por seguir Kill Chain y una serie de tácticas, técnicas y procedimientos por lo que tenemos una parte importante para el Threat Hunting. Entender estos conceptos y cómo se unen nos ayudará dentro de nuestro viaje por el Threat Hunting.

 

Ahora ... las herramientas.

 

¿Qué herramientas podemos usar para el Threat Hunting?

En ambientes productivos siempre tener elementos como un SIEM, un EDR, una SandBox, Honeypots, IDS y fuentes de contextualización, fuentes de datos de Inteligencia de amenazas, como listas negras listas de dominios o Hash de archivos reconocidos como maliciosos, nos ayudarán a ir creando nuestros procesos de cacería de amenazas.

Mientras más podamos automatizar, mejor. Contextualizar la información, investigar dónde se ha visto antes, quién lo ha visto y si es un riesgo reconocido, puede ser una tarea repetitiva que al momento de hacer una cacería pueda llevar más tiempo del necesario, así que contar con scripts o programas o inclusive un SOAR, es algo esencial.

Si quisiéramos construir un laboratorio de Threat Hunting para ver cómo funcionan todos estos elementos, existe una compilación de herramientas llamada Helk (Consultar artículo) elaborada por Roberto Rodríguez @Cyberwardog, quien ha usado software Open Source para crear una plataforma que apoya este concepto para el aprendizaje y crear tus propios ciclos de amenazas, lo cual ayuda en ir afinando el ojo y aumentando la experiencia. La serie de post que creo Threat Hunting Lab (Consultar artículo) pueden ser interesantes.

Ahora para los ambientes productivos necesitamos como base un SIEM. Recomiendo este Post Consultar artículo de nuestra experta Patricia Chávez, en el que habla de las características a considerar en un SIEM.

Para un EDR y ver cómo puede funcionar tenemos un vídeo creado por otro experto de A3Sec Jorge Imúes, donde muestra un ataque y cómo podemos observar con un EDR de última generación.

 

 

El Threat Hunting, aunque parece nuevo, es un compendio de múltiples metodologías utilizando nuevas herramientas en un mundo lleno de datos e información en piezas. La asociación de estas piezas con la experiencia, no solo propia, sino de otras personas, puede ayudarte a cazar mejor, a encontrar los caminos de los atacantes e identificar de una forma más eficiente un ataque.

Como resumen podemos concluir:

  • Conoce tu entorno.
  • Identifica cómo se hablan entre sí las herramientas.
  • Aprovecha el conocimiento externo (TIP Threat Intelligence Plataforms – TTPs).
  • Haz una hipótesis: he sido Hackeado ya no es un puede pasar, es cuándo me pasará.
  • Investiga para generar conocimiento a largo plazo.
  • Considera las herramientas que te permitan aprender y evolucionar en tus procesos de cacería.

Estos procesos no son una receta infalible para identificar amenazas, pero el estructurar los procesos de detección pueden mejorar los tiempos de respuesta y adaptarse a una realidad organizacional más allá de buscar soluciones Plug&Play. Las soluciones que apoyen tu proceso de Threat Hunting deberán reducir los tiempos de integración, aprendizaje y reacción.

 

¿Quieres conocer más sobre la función del Threat Hunter y cómo beneficia a tu organización?

 

 

>_

Otros Blogs

Isotipo A3Sec