Threat Hunting (o TH para abreviar) está emergiendo rápidamente como una tendencia importante en ciberseguridad. La avalancha de filtraciones de datos que hemos estado experimentando, cada una más grande que la anterior, demostró a las organizaciones que deben asumir compromisos y buscar formas de reducir el tiempo de permanencia. El tiempo de permanencia se define como el número de días que una amenaza permaneció latente antes de ser descubierta y erradicada. En, fue de 98 días para las empresas de servicios financieros y de 197 días para los minoristas en promedio.
Por eso, las organizaciones ahora “buscan” amenazas en lugar de alertas para notificarles sobre posibles infracciones.
Raíces
El término “caza de amenazas” probablemente fue acuñado por el analista de seguridad Richard Bejtlich , quien escribió en: “Para contrarrestar mejor los ataques dirigidos, es necesario realizar operaciones de contraamenazas (CTOps). En otras palabras, los defensores deben cazar activamente a los intrusos en su empresa”. El Instituto SANS define la caza de amenazas de la siguiente manera: “La caza de amenazas es un enfoque centrado e iterativo para buscar, identificar y comprender a los adversarios que han entrado en las redes del defensor”.
Incluso la firma de analistas Gartner cubre esta actividad (aunque aún no está definida como segmento de mercado).
Cazadores de amenazas y sus fuentes de datos
Pero, ¿la caza de amenazas es siquiera una categoría separada de práctica de ciberseguridad y, de ser así, requiere herramientas especializadas? En la mayoría de las organizaciones actuales, los Threat Hunters (“Cazadores” para abreviar) son analistas experimentados, principalmente de nivel 3, que buscan amenazas a diario y también participan en investigaciones forenses, ingeniería inversa y respuesta a incidentes. La mayoría de las veces, estos cazadores realizan esta actividad además de sus funciones y responsabilidades, y a menudo tienen que depender de herramientas y fuentes de datos existentes. La búsqueda de amenazas se puede ejecutar a través de una gran cantidad de fuentes de información que existen dentro de la organización: registros de los sistemas de TI y de seguridad, los datos relacionados con la comunicación por Internet entre la organización y el mundo exterior, análisis de archivos almacenados en unidades finales y análisis de Patrones de comportamiento del usuario.
Suponiendo que los indicadores de compromiso ya estén presentes en los datos que la organización recopila y almacena, ahora le corresponde al Cazador darle sentido a estos datos e identificar una infracción.
Herramientas de búsqueda de amenazas
Así que finalmente llegamos al aspecto crucial, el que determinará si Threat Hunting se convertirá en una categoría de producto propia: ¿los cazadores realmente necesitan herramientas dedicadas para llevar a cabo sus operaciones? Según una encuesta SANS reciente: “La mayoría de las organizaciones están utilizando herramientas existentes para comprender su entorno. Las organizaciones un poco más maduras están escribiendo scripts para mejorar sus capacidades, y las organizaciones muy maduras están utilizando herramientas de terceros”. El 87% de los encuestados utiliza herramientas existentes (como SIEM, IDS/IPS) para ayudar a encontrar, rastrear y atrapar al adversario, mientras que menos del 50% son herramientas de búsqueda de amenazas de fuente específica (de los respondedores que realmente realizan la búsqueda de amenazas).
Aquí la cosa se complica mucho, porque entramos en el terreno del marketing. Muchos proveedores afirman que sus productos son productos TH, pero pocos ofrecen herramientas dedicadas (que faciliten TH y nada más); la mayoría de las herramientas son subconjuntos de otras plataformas o productos, como herramientas de análisis de red, EDR, SIEM o NTA.
Herramientas dedicadas a la búsqueda de amenazas
Varias empresas, la mayoría de las cuales son nuevas empresas en etapa inicial, se han promocionado como plataformas de Threat Hunting: Cyphort, E8 Security, Sqrll, Jask, Niddel, Nuix, Infopathy. Este segmento del mercado es tan joven que es imposible estimar si ganará suficiente tracción y se establecerá como una categoría de producto real.
Análisis de redes como herramientas de Threat Hunting
Dado que la búsqueda de amenazas consiste principalmente en examinar datos de comunicación, no es de extrañar que las herramientas de análisis del tráfico de red se ofrezcan como herramientas de búsqueda de amenazas. Las empresas con un profundo conocimiento del comportamiento del tráfico de red, capacidades de captura y análisis de paquetes y visibilidad de la red ofrecen Threat Hunting como subproducto de su plataforma: Darktrace , Vectra , ss8 , Bricata , flowtraq.
Herramienta de aprendizaje automático para Threat Hunting
Aunque no está específicamente etiquetado como una herramienta TH, el algoritmo ML de SecBI que analiza el tráfico de red desde syslogs permite a los analistas expertos y novatos participar en la búsqueda de amenazas, ya que su mecanismo de agrupación detecta automáticamente patrones que podrían indicar un compromiso y presenta el alcance completo de el incidente al analista.
¿Caza de amenazas o EDR?
Los productos de detección y respuesta de endpoints tienen una gran superposición con las herramientas de búsqueda de amenazas, ya que son capaces de detectar y analizar cualquier cosa que suceda en el endpoint. Como tal, las empresas de EDR (que están sometidas a una gran presión para diferenciarse) ahora ofrecen “Módulos de caza” para complementar las funciones de EDR “normales”: Endgame , Crowdstrike , Carbon Black , Cybereason .
¿ Caza de amenazas o SIEM de próxima generación?
SIEM (o sus deficiencias) es probablemente la razón por la que los clientes necesitan herramientas de Threat Hunting en primer lugar. Como plataforma centralizada, SIEM debería tener todos los registros de información “ocultando” indicadores de compromiso. Sin embargo, los sistemas SIEM habituales no son lo suficientemente flexibles para llevar a cabo verdaderas operaciones de búsqueda, con la excepción de Splunk (que permite a los analistas crear cualquier tipo de consulta compleja a partir de cualquier fuente de datos) y Exabeam (que recientemente comenzó a ofrecer Threat Hunting como una capacidad adicional a sus sistemas). Plataforma de automatización SIEM.
¿O como servicio?
Mucha gente sostiene que Threat Hunting no se trata de tecnología sino de personas. Gente muy capacitada y con mucha experiencia. Y dado que estas personas no se encuentran por ningún lado ( faltan alrededor de un millón de profesionales en todo el mundo), parece una venta adicional lucrativa para las empresas de servicios de Manages. Y, de hecho, SecureWorks , Accenture y Endgame , Capgemini y otros ahora ofrecen Threat Hunting como servicio. Threat Hunting requiere un conocimiento profundo tanto de la organización como de los perpetradores; aún está por verse si esta oferta es realmente válida.
El futuro: ¿se vislumbra la regulación?
La Autoridad Cibernética de Israel publicó recientemente el documento “ Doctrina de Ciberseguridad Organizacional ”, que incluye recomendaciones para la búsqueda de amenazas. La sección de ese documento que trata sobre la ciberseguridad proactiva dice (traducida del hebreo): “Este documento recomienda que la caza de amenazas se implemente estableciendo un programa estructurado y cíclico de monitoreo de la actividad organizacional longitudinalmente (organización – mundo exterior) y lateralmente (dentro del organización), junto con otras fuentes como inteligencia externa, búsqueda de amenazas potenciales mediante el análisis y correlación de información, y respuesta a las amenazas, ya sea que hayan sido detectadas en el contexto de la actividad de búsqueda de amenazas o como medida preparatoria para el bloqueo incluso antes. ocurrieron.
Es interesante ver si otros organismos reguladores harán lo mismo. ENISA ha abordado este tema en su documento ” Información procesable para la respuesta a incidentes de seguridad “, pero aún no ha publicado ningún documento oficial que requiera una búsqueda proactiva de amenazas.
¡Feliz cacería!