La falta de habilidades y la madurez obstaculizan la búsqueda de amenazas en …



Cuando se implementa correctamente, la búsqueda de amenazas puede ayudar a las organizaciones a mantenerse a la cabeza de las amenazas, dice un investigador en la Conferencia RSA.

CONFERENCIA RSA 2021: muchas organizaciones que han implementado una capacidad para la búsqueda de amenazas cibernéticas no obtienen todos los beneficios de ella, ya sea porque carecen del conjunto de habilidades requerido o porque no la han incluido por completo en su programa de ciberseguridad.

Tim Bandos, CISO y vicepresidente de servicios de seguridad administrados en Electronic Guardian, dice que los errores comunes que cometen las empresas incluyen subestimar el tiempo requerido y no obtener soporte de arriba hacia abajo. Bandos organizó una sesión sobre las mejores prácticas para la caza de amenazas en la Conferencia RSA esta semana.

«La búsqueda de amenazas es un componente crítico de una estrategia standard de ciberseguridad, ya sea que se realice internamente oa través de un proveedor de servicios administrados», dice Bandos. En lugar de esperar a que ocurra un incidente, la búsqueda de amenazas ofrece una forma para que las organizaciones busquen proactivamente problemas potenciales al colocar trampas y buscar comportamientos dentro del entorno que sugieran una actividad sospechosa. «Pero a menos que sea una parte oficial de su programa, no puede tener éxito», dice.

El interés en la búsqueda de amenazas proactiva para adelantarse a las amenazas nuevas y emergentes ha aumentado en los últimos años. Los investigadores de seguridad lo han descrito como una forma de brindar a las organizaciones una forma de intentar descubrir las amenazas que pueden haberse escapado o eludido los controles de detección y prevención de intrusiones. La strategy de la búsqueda de amenazas es asumir que una infracción ya ocurrió y luego rastrear todas las diferentes formas en que podría haber sucedido utilizando las mismas técnicas que un atacante probablemente habría usado para lograrlo. La atención no se centra tanto en perseguir las amenazas conocidas por sí solo, sino también en descubrir otras nuevas.

Gartner ha descrito anteriormente la caza de amenazas cibernéticas como útil, especialmente para las organizaciones que ya han maximizado sus procesos de clasificación, detección y respuesta de alertas y están buscando mejoras adicionales en su postura de seguridad.

Bandos dice que la búsqueda de amenazas es algo que las organizaciones deben hacer de forma continua utilizando recursos como el marco ATT & CK de MITRE como punto de partida. El marco ofrece diferentes técnicas y sub-técnicas que los actores de amenazas suelen emplear como parte de la cadena de ataque. Los equipos de seguridad pueden aprender mucho al buscar en su entorno signos de que alguna de estas técnicas se esté utilizando para habilitar u ocultar la actividad maliciosa. «Literalmente, puede sumergirse en una sola de esas técnicas durante toda la semana buscando en su entorno», dice.

Del mismo modo, las organizaciones pueden aprender mucho examinando los registros de su entorno de endpoint o creando perfiles de todas las cuentas que podrían haberse creado durante la semana pasada y separando las legítimas de las que podrían ser más sospechosas.

La búsqueda de amenazas exitosa requiere un conocimiento de las tácticas, técnicas y procedimientos de atacantes nuevos y emergentes. De la misma manera, requiere la voluntad de volver constantemente hacia atrás y mirar también las técnicas más antiguas, porque los atacantes a menudo tienden a apegarse a tácticas con las que están familiarizados y que les han funcionado anteriormente.

Para llevar a cabo una búsqueda de amenazas eficaz, los equipos de seguridad deben tener una fuente de datos confiable, como un sistema de gestión de eventos e información de seguridad con registros centralizados de múltiples fuentes. Incluso los registros de entornos individuales, como la detección y respuesta de terminales, las herramientas antivirus, las redes y los sistemas de prevención de pérdida de datos (DLP), son suficientes para la búsqueda de amenazas. Una vez que se ha definido la fuente de datos, los cazadores de amenazas deben buscar a través de ella utilizando diferentes técnicas.

Por ejemplo, el objetivo podría ser buscar señales de volcado de credenciales en el entorno. «Desea agregar toda la inteligencia sobre amenazas que conoce sobre los programas y comandos de volcado de credenciales y crear un manual de estrategias en torno a lo que buscará activamente en esos registros», dice. El mismo enfoque se puede aplicar para cada una de las diferentes técnicas de ataque enumeradas en marcos como MITRE ATT & CK.

«Comenzaría por enfocarme en una técnica en specific y luego explotaría desde allí hasta un punto en el que pueda recolectar un artefacto en specific de cada punto remaining en su entorno y buscar esos datos», dice. «Ahí es cuando comienzas a subir de nivel tus capacidades en el espacio de búsqueda de amenazas». Como ejemplo, señala la caché de compatibilidad de aplicaciones que se almacena en todas las máquinas. Las cachés contienen un registro de todos los procesos que se ejecutaron en una máquina en particular. Las organizaciones pueden realizar una campaña de caza completa solo en torno a esa fuente de datos.

El conjunto de habilidades adecuado
Para ser buenos en eso, los cazadores de amenazas necesitan un conocimiento sólido de las arquitecturas de seguridad, seguridad de activos, seguridad de aplicaciones y otros fundamentos. También necesitan cierto nivel de habilidades de respuesta a incidentes, que incluyen análisis de registros, análisis de malware, análisis forense y manejo de inteligencia de amenazas. Además, un cazador de amenazas debe ser analítico, paciente e implacable, según Bandos. El trabajo puede ser tedioso y aquellos que no tienen la actitud adecuada pueden frustrarse rápidamente, dice.

Un desafío con la caza de amenazas es medir el éxito. A veces puede no estar claro si un ejercicio de caza de amenazas no arrojó nada porque el ejercicio en sí no se llevó a cabo correctamente o porque realmente no había nada que descubrir. Especialmente en entornos más pequeños, es posible que los cazadores de amenazas no descubran amenazas nuevas u ocultas.

Pero en entornos más grandes, con decenas de miles de puntos finales, la búsqueda de amenazas con frecuencia puede descubrir artefactos que podrían haberse escapado de los controles de prevención y detección de intrusiones. Cuando la búsqueda de amenazas se maneja internamente, los analistas a cargo tienden a desempeñar varias funciones. Si bien eso en sí mismo no es algo malo, es importante que la búsqueda de amenazas no se considere un esfuerzo a tiempo parcial, dice Bandos.

«El peor mistake es simplemente asumir que algo es legítimo», simplemente porque parece ser así, dice Bandos. A menudo, los analistas de seguridad, especialmente los menos experimentados, pueden observar alguna actividad o registrar datos e ignorarlos porque parecen ser normales. Agrega: «Los malos actores hacen un trabajo fantástico al mezclarse y mantenerse dentro de las líneas».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic