Zpedia 

/ ¿Qué es la búsqueda de amenazas (Threat Hunting)?

¿Qué es la búsqueda de amenazas (Threat Hunting)?

La caza de amenazas es un enfoque proactivo para encontrar amenazas potenciales y vulnerabilidades de ciberseguridad en la red y los sistemas de una organización, que combina analistas de seguridad humanos, inteligencia de amenazas y tecnologías avanzadas que analizan el comportamiento, detectan anomalías e identifican indicadores de compromiso (IOC) para detectar lo que las herramientas de seguridad tradicionales se pueden perder. Los cazadores de amenazas se esfuerzan por detectar y neutralizar las amenazas a tiempo para minimizar su impacto potencial.

Obtenga las últimas investigaciones sobre amenazas
Protección contra la amenaza cibernéticaProtección de datos
  1. Por qué importa
  2. Cómo funciona
  3. Herramientas clave
  4. Personas clave
  5. Primeros pasos
  6. Cómo puede ayudar Zscaler
  7. Recursos sugeridos
  8. Preguntas frecuentes
  9. Temas relacionados

¿Por qué es importante la caza de amenazas?

A medida que las filtraciones de datos se vuelven más frecuentes y costosas, un programa de búsqueda de amenazas es una pieza clave de una estrategia de seguridad empresarial moderna, que ofrece a las organizaciones estas ventajas:

  • Defensa proactiva contra riesgos potenciales y amenazas ocultas, mejorando la postura general de seguridad, ayudando a mitigar los riesgos antes de que aumenten y evitando posibles infracciones
  • Permitir una respuesta acelerada a incidentes y reducir el tiempo de permanencia de las amenazas al combinar herramientas automatizadas y experiencia humana para una detección de amenazas más precisa
  • Reducción del riesgo de daños financieros y reputacionales, pérdida de datos y más frente a ataques cada vez más frecuentes y consecuencias más costosas
promotional background

El coste promedio global de una infracción de datos aumentó un 15 % de 2020 a 2023, hasta los 4,45 millones de dólares estadounidenses.

−Informe Coste de una filtración de datos 2023 de IBM

¿Cómo funciona la caza de amenazas?

Una caza de amenazas efectiva implica investigación práctica, prevención y reducción de riesgo, pero todo ello no se puede lograr en un vacío. En su lugar, se produce una carrera con los autore de las amenazas que siempre están trabajando para que sus ataques sean más rápidos, más numerosos y más difíciles de detectar. Puede pensar en el proceso básico de caza de amenazas en cuatro partes:

1. Recoger y analizar datos

Los cazadores de amenazas recogen cantidades enormes de datos tanto de dentro como de fuera de la red de la organización, incluidos datos de registros, tráfico y terminales, así como fuentes de datos de amenazas. El análisis de comportamiento y el aprendizaje automático ayudan a establecer una línea base de comportamiento normal a partir de estos datos y cualquier desvío de esta base podría indicar una amenaza potencial.

2. Desarrollar una hipótesis

Basándose en información obtenida del análisis de datos, los cazadores de amenazas formulan hipótesis sobre amenazas potenciales, centrándose en identificar anomalías o actividades sospechosas que puedan indicar la presencia de malware u otro incidente de seguridad al acecho.

3. Investigar y validar

Los cazadores de amenazas buscan IOC, signos de actividad maliciosa o patrones inusuales en los datos examinando el tráfico de red, revisando los registros, inspeccionando la actividad de los terminales, etc. El objetivo es validar si los indicadores apuntan a amenazas genuinas o son meramente falsos positivos. La validación es fundamental a la hora de habilitar a las organizaciones para responder a las amenazas con mayor rapidez y eficiencia.

4. Continuar mejorando

Para adaptarse continuamente a las cambiantes amenazas, el proceso de caza es cíclico: los cazadores de amenazas aplican las lecciones aprendidas para refinar sus técnicas, actualizar sus hipótesis, incorporar nueva información sobre amenazas y soluciones de seguridad, etc., para mejorar sus análisis.

Tipos de caza de amenazas

El enfoque que toman los cazadores de amenazas depende de la información con la que cuentan. Por ejemplo, ¿una fuente de datos de amenazas ha proporcionado información específica a una cepa emergente de malware, como datos de firma? ¿La organización ha observado un pico repentino en el tráfico saliente?

La caza de amenazas mediante pistas (también conocida como caza estructurada) se basa en hipótesis o en IOC específicos que guían la investigación. Por ejemplo, si los cazadores reciben información específica acerca de malware emergente como se ha mencionado anteriormente, pueden buscar signos conocidos de dicho malware en su entorno.

La caza de amenazas sin pistas (también conocida como caza no estructurada) no depende de pistas o indicadores específicos, sino que los cazadores de amenazas usan el análisis de datos y las técnicas de detección de anomalías para descubrir cosas eventos como el pico de tráfico de red antes mencionado, y posteriormente investigan la causa de dicha anomalía a partir de ahí.

Estos enfoques no son mutuamente excluyentes: los equipos de caza de amenazas a menudo confían en una combinación de ambos como parte de una metodología de caza integral.

Ventajas de la automatización en la caza de ciberamenazas

La automatización es esencial para una caza de amenazas efectivas, junto con el pensamiento lateral y la creatividad humanos. Los ciberdelincuentes explotarán cualquier ventaja, lo que significa que utilizan cada vez más la inteligencia artificial y la automatización para potenciar sus ataques. En otra palabras, es un ejemplo clásico de combatir el fuego con fuego.

La automatización acelera la detección de amenazas y la respuesta a las mismas al recoger, correlacionar e identificar anomalías en enormes cantidades de datos en tiempo real de manera mucho más eficiente que lo que pueden hacerlo los seres humanos. Por contra, los analistas humanos disponen de más tiempo y atención para centrarse en incidentes que requieren la toma de decisiones de forma contextual en función de detalles o de los que no hay datos de seguridad históricos para que las herramientas automatizadas tomen decisiones.

Modelos y metodologías de caza de amenazas

Varios modelos y metodologías de caza de amenazas permiten identificar, investigar y mitigar amenazas con un énfasis en distintos aspectos, en función de lo que más se ajusta a la naturaleza de los equipos y de la amenaza en sí misma. Entre los modelos habituales se destacan:

Marco MITRE ATT&CK

Una base de conocimiento del conocido adversario de TTP, el marco MITRE ATT&CK proporciona una manera estandarizada de categorizar y analizar comportamientos de amenazas en varias etapas de un ataque, lo que permite a los cazadores alinear los esfuerzos de respuesta y detección.

Cadena Lockheed Martin Cyber Kill

Esta cadena define siete etapas de un ciberataque, del reconocimiento a la exfiltración, para ayudar a los esfuerzos de caza de amenazas proactivas mediante la identificación de vulnerabilidades y las posibles estrategias de mitigación en distintos puntos de la cadena de ataque.

Ciclo de vida de datos de amenazas cibernética

Este proceso continuo de recopilación, análisis y diseminación de datos de amenazas hace que los cazadores de amenazas puedan integrar de forma puntual y relevante datos de amenazas en sus esfuerzos de respuesta y detección, lo que permite a las organizaciones estar al día en lo referente a las amenazas emergentes.

Lea más información en nuestro artículo, ¿Qué son los datos de amenazas?

Bucle Observar, Orientar, Decidir, Actuar (OODA)

Este marco de cuatro pasos, desarrollado originalmente para la fuerza aérea estadounidense, permite a los cazadores de amenazas contextualizar información sobre las amenazas en evolución para facilitar la adaptación a situaciones cambiantes, tomar decisiones informadas y realizar acciones efectivas

Análisis de intrusión del modelo de diamante

El marco de atribución de las ciberamenazas define cuatro características principales de las actividades de intrusión: capacidades, víctimas, infraestructuras y adversaries, y sus relaciones para ayudar a los cazadores a entender todas las características de los ataques.

Herramientas de búsqueda de amenazas

Así como existen muchas metodologías de búsqueda, también hay muchas herramientas en el conjunto de herramientas del cazador de amenazas cibernéticas. Algunas de las tecnologías comunes:

  • Las herramientasde gestión de eventos e información de seguridad (SIEM) recopilan y analizan datos de registro de la red de una organización y proporcionan una plataforma central de supervisión y alertas.
  • Las herramientas deanálisis de tráfico de red (NTA) analizan los patrones y comportamientos del tráfico de red para detectar actividades sospechosas e identificar amenazas potenciales.
  • Las herramientasde detección y respuesta de terminales (EDR) supervisan y detectan actividades sospechosas en terminales en tiempo real mientras brindan investigación, búsqueda de amenazas, clasificación y corrección.
  • Las plataformas de inteligencia de amenazas (TIP) agregan, correlacionan, analizan y enriquecen la inteligencia de amenazas de diversas fuentes para ayudar a los analistas y sus herramientas a tomar decisiones informadas.
  • Las plataformas deorquestación, automatización y respuesta de seguridad (SOAR) automatizan y organizan tareas de respuesta a incidentes, lo que permite una mitigación de amenazas más rápida y eficiente.
  • Las herramientasde análisis de vulnerabilidades respaldan la administración de revisiones y la evaluación de riesgos al escanear los entornos y las aplicaciones de una organización para identificar las vulnerabilidades que los atacantes podrían aprovechar.
  • Las herramientasde gestión de la superficie de ataque (ASM) brindan visibilidad de la superficie de ataque de una organización, lo que ayuda a reducirla al identificar, supervisar y mitigar vulnerabilidades y posibles vectores de ataque.
  • Los entornos limitados de malware aíslan y analizan archivos y programas sospechosos en un entorno controlado. Se utilizan para identificar el comportamiento del malware y evaluar amenazas potenciales.
  • Las herramientasde emulación de amenazas y Red-Teaming simulan ciberataques del mundo real para ayudar a las organizaciones a evaluar su postura de seguridad e identificar vulnerabilidades.
  • La tecnología de engaño implementa señuelos en una red junto con activos reales para atraer a los atacantes y generar alertas de alta fidelidad que reducen el tiempo de permanencia y aceleran la respuesta a incidentes.

¿Quién debería participar en la búsqueda de amenazas?

Los analistas de seguridad versados en herramientas de detección y búsqueda de amenazas son las figuras esenciales en sus esfuerzos de búsqueda de amenazas, ya que toman la iniciativa en la supervisión y el análisis de alertas, el seguimiento de comportamientos sospechosos, la identificación de indicadores de ataque (IOA), etc. Las organizaciones más pequeñas pueden emplear sólo un analista a tiempo completo, mientras que las más grandes pueden tener equipos de centros de operaciones de seguridad (SOC) o servicios administrados de gran tamaño.

Otro personal de soporte importante suele incluir:

  • Analistas de inteligencia de amenazas para sintetizar la inteligencia de amenazas en contextos críticos e indicadores de compromiso.
  • Equipos jurídicos y de cumplimiento para ayudar con el cumplimiento de los requisitos legales y reglamentarios.
  • Ejecutivos y miembros de la junta directiva para tomar decisiones de alto nivel sobre estrategia, recursos humanos y presupuesto.

¿Qué necesita para empezar a cazar amenazas?

Su organización necesita cuatro elementos clave para detectar amenazas de forma eficaz:

  1. Un equipo de cazadores y analistas cualificados. Si tiene un equipo de seguridad interno, invierta en capacitación y desarrollo continuos para ayudarlos a proteger su organización contra amenazas sofisticadas y en evolución.
  2. La combinación adecuada de tecnologías de búsqueda de amenazas y herramientas automatizadas, incluidas plataformas SIEM, soluciones EDR, herramientas NTA y plataformas de inteligencia sobre amenazas.
  3. Acceda a registros, datos de tráfico de red, datos de comportamiento, etc., para garantizar que sus cazadores de amenazas tengan una visión completa del panorama de amenazas.
  4. Un marco estratégico claro para la caza de amenazas, con objetivos y estrategias definidos que se alinean con su tolerancia al riesgo y su postura de seguridad.

El papel de Zscaler en la caza de amenazas

Los expertos en búsqueda de amenazas de Zscaler ThreatLabz están atentos a las anomalías dentro de los 500 billones de puntos de datos que atraviesan la mayor nube de seguridad del mundo, identificando y detectando actividad maliciosa y amenazas emergentes.

Zscaler ThreatLabz utiliza inteligencia de amenazas y herramientas patentadas para buscar de manera proactiva tácticas, herramientas y procedimientos (TTP) reveladores de amenazas que van desde los grupos de adversarios más sofisticados hasta el malware básico, lo que permite una cobertura integral de las amenazas actuales.

Estos puntos de datos también se utilizan a fin de entrenar modelos de aprendizaje automático para detecciones más rápidas y amplias. Este enfoque proactivo contribuye a identificar y bloquear 9 mil millones de amenazas potenciales diariamente, antes de que puedan afectar a nuestros clientes o causar daño.

promotional background

Obtenga información actualizada sobre amenazas, las últimas investigaciones e información procesable sobre amenazas de Zscaler ThreatLabz.

Vea información sobre amenazas en vivoSiga ThreatLabz en X

Recursos sugeridos

Zscaler ThreatLabz en X (Twitter)
Ver las últimas publicaciones
Panel de actividad en la nube de Zscaler ThreatLabz
Vea actualizaciones en vivo
Blog de investigación de seguridad de Zscaler ThreatLabz
Ver las últimas publicaciones
Zscaler ThreatLabz GitHub
Vea las últimas IOC, notas sobre ransomware y herramientas
Informe sobre el ransomware de Zscaler ThreatLabz 2023
Obtenga el informe completo
01 / 03
Preguntas frecuentes