Los costes de la ciberseguridad para las empresas han aumentado de forma exponencial. El auge del “cibercrimen como servicio” (cybercrime-as-a-service) y la popularización de herramientas y servicios de hacking antes accesible a unos pocos, han desdibujado el perfil del cibercriminal clásico, haciendo que prácticamente cualquier persona pueda acceder a ellos atraído por el reclamo del beneficio económico y facilidad de los ciberataques. Con un margen de 197 días de detección de un ataque en la red, dilatado hasta los 266 días en tomar medidas de contención al atacante (según Gartner), el Threat Hunting cambia el paradigma de una investigación.

La seguridad convencional parte de la base de que la organización está a salvo y el trabajo es mantenerla a salvo con la creación de reglas, ya sean sobre un hash de un fichero, una dirección IP, un acceso a una ruta, un comando… El objetivo es controlar que nadie entre en la organización. Cuando son cruzadas con los eventos de un sistema, esta reglas generan alertas que un analista evalúa si son o no falsos positivos.

En el Threat Hunting se trabaja bajo otro paradigma. Partimos del supuesto de que no hay entorno seguro y las intrusiones, aunque silenciosas, pueden presentarse en cualquier momento. Por tanto, su cometido es investigar y analizar todos las alertas y comportamientos sospechosos para comprobar si estamos en lo cierto o no. Una técnica más que necesaria teniendo en cuenta los últimos datos recogidos en el último Internet Security Report de WatchGuard, registrando en este trimestre una tendencia al alza en cuanto a volumen de amenazas avanzadas y evasivas. Tal como recoge el motor de detección basado en el Q1, se ha detectado un 12% más de malware, lo que significa que se colaron más variantes de malware por la detección basada en la firma y que ahora requería de motores de detección más avanzados para prevenir estas intromisiones.

Cytomic Orion: integrando tecnología, procesos y personas_

El threat hunting complementa los procesos estándar de detección, respuesta y resolución de incidencias. Mientras las soluciones tecnológicas de seguridad analizan datos para generar alertas, el threat hunting trabaja en paralelo para obtener pistas a partir de esa información. Posteriormente, es analizada por expertos especializados y preparados para identificar cualquier señal de actividad del potencial atacante.

La popularidad de los servicios de Threat Hunting es consecuencia de detectar ataques cada vez más persistentes con una duración cada vez más dilatada en el tiempo. Cytomic Orion, nuestra plataforma de Threat Hunting e investigación, integra tecnología, procesos y personas, con el objetivo de detectar y aislar amenazas a través de análisis proactivos de red para aportar valor con técnicas avanzadas que suplan las debilidades de las medidas de seguridad, ya sea por una amenaza externa o interna.

Aunque el Threat Hunting es una de las técnicas más reveladoras para la seguridad corporativa, su despliegue necesita de unos requisitos previos para la detección y respuesta a los incidentes y de protocolos, procesos y herramientas que optimicen el trabajo de los analistas. Las empresas deben considerar unas bases tecnológicas, de procesos y de personal con unas capacidades mínimas en un momento de deficiencia de candidatos cualificados en seguridad TI, y un equipo en los SOCs acuciados por la fatiga de alerta y sobrecarga de trabajo.

Para solucionar los problemas que requieren de tiempo y equipo cualificado, la plataforma Cytomic Orion ayuda a los SOCs estandarizando sus procesos de detección, investigación y análisis con pesquisas preconstruidas y Jupyter Notebooks que permiten reducir la curva de aprendizaje para los analistas y hunters. De este modo, Cytomic Orion permite a tus analistas correlacionar eventos rápidamente y probar hipótesis. Así, cada nuevo patrón de ataque se convierte también en un comportamiento de detección de amenazas para detener a futuros hackers antes de que se produzcan daños, creando así un ciclo de aprendizaje y detección.

La plataforma Cytomic automatiza la recogida, enriquecimiento y filtrado de millones de eventos junto con inteligencia de amenazas, para aplicar cientos de algoritmos y reglas analíticas en busca de comportamientos sospechosos y maliciosos tanto en tiempo real como de forma retrospectiva en los últimos 365 días. Acelerando así la respuesta a los incidentes y la búsqueda de amenazas desconocidas y reduciendo los tiempos de detección y respuesta (MTTD y MTTR).

¿Quieres reforzar tu postura de ciberseguridad? Conoce más ventajas de Cytomic Orion: