La caza de amenazas no es para todos



La caza de amenazas es una técnica sofisticada y avanzada que debe reservarse para casos específicos y debe ser realizada solo por profesionales capacitados.

Con frecuencia me encuentro con líderes de ciberseguridad que intentan correr antes de poder gatear, aprovechando la oportunidad de implementar nuevas tecnologías antes de dominar los conceptos básicos. He notado esta tendencia, especialmente cuando se trata de la caza de amenazas, ya que los líderes de seguridad intentan conducir a los Ferrari antes de obtener su permiso de aprendizaje, o incluso antes de que puedan caminar.

Lamentablemente, muchas organizaciones no están preparadas para cazar y, en algunos casos, ni siquiera necesitan hacerlo. La caza ofrece valor: un valor enorme y único, de hecho. Pero solo bajo las circunstancias correctas y para las organizaciones que se ajustan a los requisitos previos.

Demasiadas empresas intentan cazar amenazas sin establecer las bases de seguridad correctas, que incluyen tanto la tecnología (como una segmentación de crimson y un command de acceso bien administrados) como procesos maduros de operaciones de seguridad (como la respuesta a incidentes y la recopilación de registros).

¿Por qué la necesidad de saltar de cabeza? La caza de amenazas se ha convertido en uno de los aspectos más sexys de la ciberseguridad. En un mundo donde las graves violaciones de datos y los ataques cibernéticos continúan afectando a las empresas, la caza de amenazas promete a los líderes de seguridad un sentido percibido de command, una mercancía rara, especialmente porque no hay poder en la posición de la víctima.

Muchos equipos permiten que este impulso de command los distraiga de los pasos más tácticos, pero mucho más efectivos, necesarios para fortalecer las defensas. En realidad, un programa bien ejecutado de higiene de seguridad puede funcionar mucho mejor que invertir primero en la caza de amenazas.

Las empresas deben evaluar su necesidad de cazar amenazas en sus entornos y luego determinar si tienen la estructura para soportarlo. La mayoría de las pequeñas empresas, por ejemplo, no tienen ni la necesidad ni la capacidad.

Aquí hay tres factores que los líderes de seguridad deben considerar para determinar si la caza de amenazas es para ellos:

Component 1: tecnología
Las empresas primero deben tener la telemetría de seguridad que los cazadores de amenazas necesitan para rastrear y observar las actividades de los adversarios. En la línea de foundation, los cazadores necesitan datos de detección y respuesta de punto ultimate (EDR) u otra telemetría de punto remaining rica, ya que es el pilar de las operaciones de caza tanto para principiantes como avanzados. Para ser útil, los datos de punto remaining deben tener un DNS, DHCP y datos de enriquecimiento de usuario adjuntos. Otros pueden comenzar solo con registros, especialmente registros de punto remaining ricos, o de metadatos de tráfico de purple, como lo hicieron algunos de los equipos de caza originales. Los datos también deben guardarse durante aproximadamente un año, ya que las ventanas de detección de compromiso a menudo se miden en meses.

Los cazadores también necesitarán herramientas que puedan buscar rápidamente datos enriquecidos. Una búsqueda rápida e interactiva sobre datos limpios y estructurados (algo mejor que la búsqueda de texto sin formato) puede ser un buen punto de partida para un equipo de búsqueda aspirante. Pero los datos son útiles solo si son digeribles y procesables. Si no tiene un sistema para buscar, almacenar, recopilar y comprender la telemetría de seguridad, la búsqueda de amenazas no es para usted

Aspect 2: proceso de detección
La tecnología de detección true a menudo utiliza la detección basada en reglas y firmas para detectar los intentos de ataque. La inteligencia de amenazas que coincide con los registros y otra telemetría también es común.

La detección automática debería hacer la mayor parte del trabajo si se planifica y ejecuta bien, pero los atacantes siempre están desarrollando sus técnicas, haciendo que algunas campañas sean indetectables por las máquinas. Ahí es cuando envías a los cazadores humanos para llenar los vacíos. Si los atacantes ven los activos de su negocio como de alto valor, se encontrará con atacantes que usan métodos novedosos, por lo que querrá considerar la caza de amenazas.

Cuando llegue ese momento, las empresas deben examinar primero la madurez de sus capacidades de detección. La notion es detectar bien y luego cazar para llenar los vacíos. Es una pérdida de tiempo para los cazadores de amenazas expertos perseguir amenazas conocidas y hacerlo repetidamente.

Component 3: personas
Los buscadores de amenazas necesitan la última información sobre malware avanzado y actores de amenazas, además de un profundo conocimiento de la tecnología de una organización. Sin embargo, dado que muchos miembros del individual de seguridad interno ya están realizando el trabajo de dos personas, los ingenieros sobreindexados no tienen tiempo para la exploración de forma libre y la investigación de actores de amenazas profundas.

Es por eso que algunas organizaciones recurren a proveedores de servicios externos para cazar en su nombre. Si bien algunos equipos de caza de núcleo duro afirman que un tercero nunca puede entender un entorno lo suficientemente bueno como para cazar (un reclamo razonable, sin duda), un proveedor de servicios puede ofrecer valor si tiene experiencia en caza y una gran cantidad de datos sobre amenazas.

Equilibrio entre riesgos y costos
Entonces, ¿cómo tomas la decisión? Los líderes de seguridad primero deben evaluar su nivel de riesgo preguntando si el negocio probablemente será el blanco de un ataque sofisticado. Los ataques ocurren por muchas razones, incluida la provisión de acceso a otro negocio más grande, pero para la mayoría de las organizaciones, la pila de seguridad típica es adecuada.

Los atletas olímpicos dedican sus vidas al entrenamiento para deportes especializados. Pero solo porque se ve bien en la televisión no significa que cualquiera pueda saltar 20 pies en el aire sin entrenamiento. Los cazadores de amenazas requieren entrenamiento a nivel olímpico, sin embargo, estamos viendo empresas que carecen de infraestructura que intentan dar el salto del equipo universitario junior a las grandes ligas. La caza de amenazas es una técnica sofisticada y avanzada que debe reservarse para casos específicos, y debe ser realizada solo por profesionales capacitados. A medida que las organizaciones consideran sus prioridades comerciales de seguridad 2020, la búsqueda de amenazas no siempre debe ser una línea de pedido predeterminada.

Si su empresa no se enfrenta a amenazas específicas o de alto perfil, si tiene las herramientas de seguridad adecuadas y si puede utilizar un servicio de terceros para la caza, ahorre tiempo y dinero y deje la caza a los expertos. O no lo haga en absoluto: es más possible que otras inversiones en seguridad brinden valor en su situación.

Contenido relacionado:

Anton es un reconocido experto en seguridad en el campo de la gestión de registros, el cumplimiento de SIEM y PCI DSS. Es autor de varios libros y es miembro de consejos consultivos de varias empresas de seguridad. Antes de unirse a Chronicle, Anton fue vicepresidente de investigación y distinguido … Ver biografía completa

Más concepts





Enlace a la noticia unique