¡Boom! Acabas de ser atacado por los ciberdelincuentes en tu sistema y estás perdiendo datos. Pero esto no fue un incidente aislado, hubo un tiempo que llevó a esto y hubo un tiempo que ocurrió después del tiempo que llevó a ello. Volvamos y retrocedamos hasta el momento anterior al «boom», que llamamos «left of boom», y el tiempo después, cuando intentamos descubrir, que llamamos «right of boom».
En esta primera fase, el atacante realiza una fase de reconocimiento. Examina tus sistemas, los prueba y trata de encontrar los puntos débiles y la información valiosa. El tiempo después del «boom» es cuando queremos realizar la recuperación. El problema es que no siempre sabemos cuándo ocurrió el «boom» al momento exacto en que sucedió. Hay un retraso entre el «boom» y la alarma, es en ese momento cuando nos enteramos de que ha ocurrido un ataque, lo cual no es lo mismo que el momento en que realmente ocurrió.
Si observamos este tipo de intervalos, ¿qué podemos hacer al respecto? Bueno, hay un tiempo aquí que se conoce como «tiempo medio para identificar» el problema, y según la encuesta de Poneman Institute en 2023, este tiempo medio para identificar es de aproximadamente 200 días. Ese es el tiempo que lleva darse cuenta de que el atacante ya está en tu sistema. Y aún más, existe la noción de «tiempo medio para contener», que es de aproximadamente 70 días. Si sumas ambos tiempos, tienes un total de unos 270 días entre cuando ocurrió el «boom» y cuando finalmente hemos recuperado todo. Sin duda, habría alguna ventaja si pudiéramos retroceder en el tiempo, descubrir el «boom» y acercar el intervalo entre la alarma y el «boom», o incluso antes del «boom» y comenzar a darnos cuenta durante la fase de reconocimiento de que algo está mal, algo está sucediendo en esta fase y en esta línea de tiempo, es cuando podríamos estar realizando lo que llamamos «caza de amenazas» (threat hunting). Después de la caza, comenzamos la investigación, y la investigación es reactiva, mientras que la caza es proactiva. Esa es la gran diferencia aquí, por lo que, en la medida de lo posible, sería ideal si pudiéramos retroceder y anticipar algunas de estas cosas.
¿Cómo funciona la caza de amenazas?
Resulta que, si estamos realizando una caza de amenazas, básicamente vamos a desarrollar una hipótesis. Tenemos a alguien que actúa como un investigador, pero están investigando cosas que quizás aún no han ocurrido o que están en proceso de ocurrir, por lo que aún no hay alarmas. ¿Qué vamos a utilizar? Bueno, vamos a utilizar cosas como «indicadores de compromiso», que son información que podemos recopilar de nuestros sistemas y que nos indica que alguien ha hecho algo aquí que ha violado la seguridad. Puede ser un pequeño agujero aquí, otro agujero allí, o también hay cosas como «indicadores de ataque» que pueden indicar que alguien está tocando la puerta, tal vez no han entrado por completo, pero han hecho algunas cosas que nos deberían preocupar.
Otras fuentes de información serían «fuentes de inteligencia de seguridad de amenazas», es decir, información de inteligencia que nos dice que hay ciertos tipos de vulnerabilidades que se están explotando en Internet en estos días, y cosas que están ocurriendo tal vez en un sector o en una ubicación geográfica específica. Esto es inteligencia de seguridad y nos gustaría aprovechar esa información y utilizarla de la mejor manera posible. Luego podríamos hacer algunas exploraciones de vulnerabilidades en nuestro entorno y eso nos diría lo que el atacante también está viendo, es decir, las vulnerabilidades aquí, los sistemas débiles aquí, esta es la parte vulnerable, esto es lo que los atacantes están buscando. ¿Por qué no haríamos lo mismo?
Un cazador de amenazas inteligente, que tiene experiencia y conocimientos en el tema, utilizará su experiencia y un poco de intuición para conectar los puntos y decir que estas cosas que parecían aisladas en realidad no lo están, todas están agrupadas. Conectamos los puntos y nos damos cuenta, antes de que ocurra el «boom», de que en realidad esta es la configuración que resultará en una violación de datos, o puede estar en este rango de tiempo en el que ya nos han atacado, pero la alarma no ha sonado, pero veremos los signos reveladores y eso es lo que estamos buscando.
¿Qué herramientas utiliza un experto en caza de amenazas?
¿Qué herramientas utilizaría un cazador de amenazas experimentado para recopilar toda esta información? Bueno, utilizarían herramientas como una capacidad de «detección y respuesta extendida» (XDR), de la cual ya he hablado en un video anterior. Otra cosa que usaríamos es un «sistema de gestión de información y eventos de seguridad» (SIEM), que recolecta información de todas mis fuentes de telemetría de seguridad, todos los registros, todos los datos de flujo, todas las diferentes fuentes que pueden darme inteligencia de seguridad, y estas dos cosas de hecho pueden estar relacionadas y alimentarse mutuamente.
Otra tecnología relacionada que a menudo se relaciona con estas es una capacidad de «análisis del comportamiento del usuario» (UBA), que busca actividades de usuario anómalas. Si un usuario se comporta de manera diferente a su grupo de pares, despiertan sospechas. Y en última instancia, queremos combinar todas estas tecnologías con inteligencia artificial para poder llegar al origen, acelerar nuestra investigación, realizar informes y, con suerte, descubrir este problema antes del «boom» y, si no, al menos muy pronto después del «boom». Porque lo que estamos tratando de evitar son dos números: uno es 270 y el otro es 4 millones. ¿Qué significan estos números? 270 es aproximadamente el número de días entre el «boom» y la contención, según el Instituto Ponemon. Además, según esa misma encuesta, 4 millones es el costo promedio de una violación de datos. Eso es lo que estamos tratando de evitar.
| Concepto | Tiempo Medio |
|---|---|
| Tiempo para identificar | 200 días |
| Tiempo para contener | 70 días |
| Total entre Boom y Contención | 270 días |
| Costo promedio de una violación de datos | 4 millones |
Preguntas frecuentes (FAQs)
1. ¿Qué es la caza de amenazas?
La caza de amenazas es una actividad proactiva en la que se busca detectar y prevenir infiltraciones y ataques cibernéticos antes de que ocurran. Consiste en desarrollar hipótesis, recopilar indicadores de compromiso y ataque, utilizar inteligencia de seguridad y realizar análisis de comportamiento del usuario para identificar posibles amenazas.
2. ¿Cuáles son las herramientas utilizadas en la caza de amenazas?
Algunas de las herramientas utilizadas en la caza de amenazas son: capacidades de detección y respuesta extendida (XDR), sistemas de gestión de información y eventos de seguridad (SIEM), capacidades de análisis de comportamiento del usuario (UBA) y el uso de inteligencia artificial para acelerar la investigación y detección de amenazas.
3. ¿Cuál es el objetivo de la caza de amenazas?
El objetivo de la caza de amenazas es anticiparse a posibles ataques cibernéticos, detectar y contener amenazas antes de que causen daño a los sistemas o roben información sensible. Busca reducir el tiempo entre el «boom» (ataque) y la contención, así como disminuir los costos asociados a una violación de datos.
¡Gracias por leer nuestro artículo sobre la importancia de la caza de amenazas en la ciberseguridad! Esperamos que haya sido informativo y útil para comprender cómo se puede mejorar la detección y contención de amenazas cibernéticas. No dudes en consultar nuestros otros artículos relacionados para obtener más consejos y trucos sobre ciberseguridad.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!