¿Qué es Cyber Threat Hunting?

Introducción

Threat hunting una técnica de ciberseguridad en la que los cazadores de amenazas rastrean redes, sistemas y dispositivos en busca de anomalías para detectar de forma proactiva las amenazas cibernéticas. threat hunting proactiva threat hunting una medida importante que permite a los analistas profundizar en la superficie de ataque y exponer las amenazas maliciosas. Estas amenazas avanzadas a menudo han logrado infiltrarse en las capas iniciales de seguridad de los puntos finales sin ser detectadas.

A diferencia de la detección de amenazas, threat hunting no threat hunting un enfoque reactivo. threat hunting utiliza técnicas preventivas para supervisar los sistemas y la información, junto conla inteligencia sobre amenazas, con el fin de identificar y priorizar las actividades sospechosas. Su objetivo principal es evitar que los ciberataques sofisticados y las amenazas persistentes avanzadas causen estragos en la red.

¿Cómo funciona threat hunting y cuáles son los pasos?

threat hunting cibernéticas implican cinco pasos principales para completar una campaña exitosa, que incluyen hipótesis, desencadenantes, datos de inteligencia sobre amenazas, investigación de amenazas y respuesta.

Hipótesis
La caza de amenazas comienza con el desarrollo de una hipótesis. La campaña se propone explorar las ideas, declaraciones o conjeturas fundamentadas de los cazadores de amenazas sobre qué actividad maliciosa se está produciendo, cómo y por qué los actores de la amenaza están penetrando en un entorno. Los cazadores de amenazas utilizanel marco MITRE ATT&CK, tácticas, técnicas y procedimientos (TTP),indicadores de compromiso (IOC) e inteligencia sobre amenazas para comprender mejor el comportamiento del adversario y formular estas hipótesis. Un ejemplo de la técnica de un adversario es el movimiento lateral en la red, un comportamiento común en el que se basan los ciberatacantes para buscar de forma maliciosa datos y activos específicos.

Trigger
Cuando se activa una alerta, los cazadores de amenazas utilizan este desencadenante como guía para identificar patrones y puntos en común entre los incidentes. Las herramientas Advanced de detección Advanced permiten a los cazadores de amenazas detectar las alertas activadas para poder iniciar el proceso de investigación de amenazas. La hipótesis desarrollada por un cazador de amenazas también puede servir como desencadenante dentro de la caza proactiva a medida que surgen nuevas amenazas.

Recopilación de datos de inteligencia sobre amenazas
La recopilación de datos de inteligencia sobre amenazas se lleva a cabo mediante threat hunting comola gestión de información y eventos de seguridad (SIEM),la detección y respuesta gestionadas (MDR) y la orquestación, automatización y respuesta de seguridad (SOAR). Esta biblioteca de datos de seguridad respalda el proceso de detección, investigación y análisis de amenazas.

Investigación de amenazas
El proceso de investigación de amenazas se basa en tecnologías de detección de amenazas para profundizar en actividades sospechosas y determinar qué comportamientos son maliciosos y cuáles son falsas alertas. Junto con las herramientas de seguridad mencionadas anteriormente,Endpoint Detection and Response EDR)ayuda a proporcionar información contextual recopilada de los dispositivos de los usuarios finales supervisados.

Respuesta
Una vez que la actividad sospechosa se considera maliciosa, los equipos de seguridad utilizan los datos de inteligencia sobre amenazas recopilados para preparar unaestrategia de respuesta a incidentescon el fin de tomar medidas contra el ataque confirmado. Esto podría incluir la implementación deparches de software, la ejecución de una herramienta de eliminación de malware o la configuración de cambios en unaplataforma de seguridad basada en la nube.

Comprender los modelos threat hunting

Las metodologías threat hunting se pueden clasificar en dos modelos:

Investigación de amenazas basada en hipótesis
En este modelo, threat hunting basa en una hipótesis fundamentada en las observaciones del cazador de amenazas, la inteligencia sobre amenazas y los años de experiencia acumulados. threat hunting basada en hipótesis threat hunting tres pasos clave: formular una hipótesis, implementar las predicciones y comprobar los resultados. Los cazadores de amenazas se centran en la relevancia, la viabilidad y la comprobabilidad de sus hipótesis. Las hipótesis deben tener en cuenta las tendencias actuales del sector, las necesidades de la organización y la accesibilidad a las herramientas de seguridad.

threat hunting basada en la inteligencia
En un modelo basado en la inteligencia sobre amenazas, threat hunting en las tácticas, técnicas y procedimientos (TTP), los indicadores de compromiso (IOC), los indicadores de ataque (IOA) y la obtención de datos de inteligencia sobre amenazas para comprender plenamente las amenazas, supervisar los desencadenantes y exponer la actividad continua de los atacantes.

Threat hunting frente a la inteligencia sobre amenazas: ¿cuál es la diferencia?

La inteligencia sobre amenazas cibernéticas es un conjunto de datos recopilados que se procesan y analizan para comprender mejor las instrucciones de los adversarios. La información de inteligencia se puede recopilar e investigar con sistemas automatizados mediante el aprendizaje automático (ML) y la inteligencia artificial (IA).

threat hunting cibernéticas threat hunting una práctica que se basa en la inteligencia sobre amenazas para llevar a cabo campañas en toda la red. Estas threat hunting se centran en la búsqueda de los ciberatacantes dentro de los sistemas. La caza de amenazas es un proceso que depende de los datos de inteligencia sobre amenazas recuperados de herramientas de seguridad críticas.

Recursos destacados

• ¿Qué es endpoint detection and response (EDR)?
• ¿Qué es la detección y respuesta gestionadas (MDR)?