Blog

Búsqueda de ciberamenazas: guía paso a paso y mejores prácticas

En este blog, abordamos el estado actual de la búsqueda de amenazas, lo que impulsa este proceso, los pasos necesarios, las mejores prácticas y las aplicaciones del mundo real.

Dan Ortega
November 20, 2024
Table of contents

La caza de ciberamenazas es un método proactivo para rastrear y remediar las amenazas avanzadas que eluden las medidas de detección tradicionales. A diferencia de la detección automatizada, la búsqueda de amenazas es un proceso dirigido por personas y basado en hipótesis que analiza los datos para encontrar amenazas elusivas.

Con los ciberataques dirigidos a sectores críticos, las organizaciones reconocen que la caza de amenazas no es un lujo, sino una necesidad. Esta entrada de blog es una introducción y una descripción general de la caza de ciberamenazas: qué impulsa este proceso, una guía paso a paso, las mejores prácticas y las aplicaciones del mundo real.

El estado actual de la caza de ciberamenazas

El panorama de la ciberseguridad es tremendamente complejo, ya que los atacantes utilizan tácticas sofisticadas como los exploits de día cero, el malware polimórfico y las amenazas persistentes avanzadas (APT) para eludir las defensas. Esta evolución ha obligado a las organizaciones a pasar de estrategias de seguridad reactivas a estrategias de seguridad proactivas, con la caza de amenazas como punta de lanza. Las investigaciones muestran que la mayoría de las organizaciones reconocen la búsqueda de amenazas como una inversión necesaria, y muchas organizaciones invierten en equipos dedicados o en servicios gestionados de búsqueda de amenazas.

La búsqueda de amenazas requiere una fuerza laboral altamente capacitada que comprenda las tácticas, técnicas y procedimientos (TTP) de los atacantes. Gartner® enfatiza esto en su investigación de 2024 Cómo superar 5 desafíos comunes en la caza de amenazas*, y muestra las habilidades necesarias para configurar una función de búsqueda de amenazas.

Figura 1. El conjunto de habilidades que se necesitan para configurar una función de búsqueda de amenazas. *

Según Gartner: «Sin embargo, este es el aspecto que tendrá un equipo de caza de amenazas muy óptimo y maduro desde el punto de vista de las habilidades técnicas. El viaje hasta aquí implicará una serie de pasos».

Gartner también afirmó que: «En lugar de intentar establecer esta amplia gama de conjuntos de habilidades técnicas desde el primer día, las organizaciones deben avanzar lenta y pragmáticamente hacia este perfil de recursos técnicos óptimo para el equipo de búsqueda de amenazas. Debido a las restricciones presupuestarias, es posible que este perfil técnico nunca sea posible para algunas organizaciones. En este caso, debes priorizar las habilidades más críticas a nivel organizacional. Por ejemplo, si bien es deseable que los analistas del equipo tengan habilidades de redacción y presentación a nivel operativo, estos requisitos pueden tener una prioridad menor que las habilidades técnicas, como las habilidades forenses, las habilidades de punto final y las habilidades de tráfico de red».

Al mismo tiempo, en nuestra opinión, las herramientas de búsqueda de amenazas (muchas de ellas habilitadas por la IA) están evolucionando para brindar soporte a través de capacidades avanzadas de detección de anomalías, correlación de datos y visibilidad de puntos finales.

Impulsores de la caza de ciberamenazas

Hay varios factores que impulsan la creciente adopción de prácticas de búsqueda de amenazas:

  • Amenazas avanzadas y vulnerabilidades de día cero: Los atacantes utilizan técnicas cada vez más sofisticadas (impulsadas por la IA) que eluden las defensas tradicionales. La combinación de una «IA cazadora de amenazas» y humanos al mismo tiempo ayuda a los cazadores de amenazas a detectar las amenazas avanzadas antes de que causen un daño significativo. Varios de los clientes de Anomali han adoptado esta metodología con resultados alentadores.
  • Volúmenes de datos crecientes: El creciente volumen de datos que se generan en las redes facilita a los atacantes ocultar la actividad maliciosa entre el ruido. Un equipo experto en la búsqueda de amenazas respaldado por las capacidades adecuadas permite a las organizaciones analizar rápidamente estos datos en busca de patrones sospechosos.
  • Requisitos normativos y de cumplimiento: A medida que los estándares regulatorios como el GDPR, la HIPAA y el NIST aumentan las expectativas en materia de protección de datos, las medidas proactivas de búsqueda de amenazas ayudan a las organizaciones a demostrar el cumplimiento, mejorar sus posturas de seguridad y, potencialmente, evitar multas.
  • Mayor tiempo de retraso en la detección: Muchas organizaciones sufren tiempos de permanencia prolongados, en los que los atacantes se esconden sin ser detectados durante semanas o meses. La caza de amenazas tiene como objetivo reducir esta situación mediante la búsqueda proactiva de anomalías en lo que suelen ser conjuntos de datos masivos.

Pasos en el proceso de búsqueda de ciberamenazas

Si bien cada organización puede abordar la búsqueda de amenazas de manera diferente, generalmente se siguen algunos pasos generales:

  1. Desarrollo de hipótesis: Los cazadores comienzan con una hipótesis basada en los TTP conocidos, la inteligencia de amenazas o las anomalías del sistema. Por ejemplo, pueden plantear la hipótesis de que hay una actividad inusual en un activo de alto valor basándose en alertas o patrones recientes observados en otros entornos o mediante fuentes de inteligencia.
  2. Recopilación y análisis de datos: Con una hipótesis establecida, los cazadores recopilan datos relevantes, como registros, telemetría de punto final y tráfico de red, para respaldarla o refutarla. Las plataformas modernas de búsqueda de amenazas integran y correlacionan estas fuentes de datos, lo que agiliza el análisis con el reconocimiento de patrones y la detección de anomalías.
  3. Investigación y giro: A medida que los cazadores identifican posibles indicadores de riesgo (IOC) o de comportamiento inusual, recurren a fuentes de datos relacionadas para descubrir la actividad asociada. Por ejemplo, encontrar una actividad de inicio de sesión inusual en un servidor podría llevar a una investigación de los sistemas adyacentes y del tráfico externo. Porque los actores de amenazas a menudo moverse lateralmente, los cazadores de amenazas también suelen «mirar de reojo».
  4. Contención y respuesta a las amenazas: Si se descubre una amenaza activa, los cazadores trabajan con los equipos de respuesta a los incidentes para contener la amenaza, proteger los sistemas comprometidos y limitar los movimientos laterales.
  5. Informes y refinamiento: Los cazadores de amenazas documentan su búsqueda y comparten sus hallazgos con los equipos pertinentes (desde las operaciones hasta la administración). La información de las cacerías exitosas se utiliza para actualizar las reglas de detección y mejorar la estrategia general de búsqueda de amenazas.

Mejores prácticas para una detección eficaz de amenazas

Las siguientes mejores prácticas garantizan una detección de amenazas más eficiente y eficaz:

  • Céntrese en los activos de alto valor y las amenazas conocidas: La priorización de los activos críticos para las operaciones empresariales, como los sistemas financieros o la propiedad intelectual, garantiza que los recursos se gasten en proteger lo que más importa. Al centrarse en los TTP adversarios conocidos, los cazadores pueden buscar comportamientos específicos que indiquen una amenaza activa.
  • Aproveche la inteligencia sobre amenazas: Integrar la inteligencia sobre amenazas de fuentes como MITRA ATT&CK y los feeds específicos de la industria ayudan a los cazadores a mantenerse informados sobre las últimas técnicas de confrontación. La búsqueda basada en inteligencia facilita la predicción del comportamiento de los posibles atacantes y reduce el alcance de las búsquedas.
  • Utilice análisis avanzados y aprendizaje automático (ML): Las herramientas de análisis que destacan patrones de comportamiento inusuales en los conjuntos de datos pueden ayudar a agilizar la búsqueda de amenazas. Los modelos de aprendizaje automático pueden identificar las desviaciones del comportamiento normal, lo que facilita la detección de posibles intrusiones sin verse abrumados por los datos.
  • Colabore con otros equipos de seguridad: La detección eficaz de amenazas requiere la colaboración con los equipos de todos los niveles de seguridad, como la respuesta a incidentes, las operaciones de TI y la gestión de vulnerabilidades. La colaboración ayuda a los equipos a compartir información rápidamente e implementar medidas preventivas.
  • Documente y perfeccione los procedimientos de caza: La documentación detallada de cada búsqueda permite a las organizaciones perfeccionar sus procesos de forma continua. El seguimiento de lo que funcionó bien y dónde se necesitan mejoras permite una evolución continua en el ciclo de vida de la búsqueda de amenazas.

Ejemplos reales de mejores prácticas para la búsqueda de amenazas

  • Gobierno estatal: Tras varios ciberincidentes importantes, el gobierno de un estado presionó por la supervisión ejecutiva, pero se enfrentó a un desafío: varias entidades estatales operaban bajo diferentes modelos de seguridad (centralizados, federados o descentralizados). La implementación de la capacidad de búsqueda de amenazas habilitada por Anomali ThreatStream permitió al equipo reducir los tiempos de respuesta a los incidentes de semanas a minutos, compartir información con una amplia gama de agencias estatales a través de ISAC y detener los ataques antes de que ganaran terreno.
  • Empresa que cotiza en bolsa: Un importante contratista de defensa utiliza un marco de búsqueda de amenazas basado en el cadena de ciberasesinatos, que describe las etapas de un ataque típico. Al centrarse en cada fase de la cadena, los cazadores pueden identificar acciones maliciosas como el movimiento lateral y la escalada de privilegios. Las búsquedas de la empresa se guían por una combinación de inteligencia de amenazas y elaboración de perfiles de atacantes, y los equipos suelen priorizar activos como los sistemas de I+D que contienen propiedad intelectual. El enfoque de Lockheed ha demostrado su eficacia, ya que ayuda a detectar las amenazas en las etapas iniciales y a mitigar los riesgos antes de que se conviertan en infracciones.
  • Sector bancario: Varias instituciones financieras utilizan el marco MITRE ATT&CK para sus estrategias de caza, mapeando las técnicas de ataque conocidas contra la telemetría desde todas sus redes. Al rastrear los TTP específicos que los atacantes suelen utilizar contra los bancos, estas instituciones pueden identificar las primeras señales de robo de credenciales o reconocimiento interno. Este enfoque permitió a un banco importante interceptar una campaña de suplantación de identidad dirigida a sus empleados, y los analistas identificaron reglas inusuales de reenvío de correo electrónico y un rápido cambio de IP en tiempo real.

Búsqueda de amenazas con Anomali

El Plataforma de operaciones de TI y seguridad de Anomali comienza por recopilar información sobre amenazas y, a continuación, utiliza análisis de datos avanzados para investigar y encontrar amenazas rápidamente. Esto acelera la búsqueda de amenazas y ayuda a los equipos de seguridad a atrapar a los atacantes ocultos antes de que ataquen.

Anomali ayuda a los equipos de seguridad y a los analistas de inteligencia de amenazas a trabajar juntos para detectar las amenazas de manera eficaz. Uso Anomali Copilot, cualquier analista de seguridad puede probar sus hipótesis sobre posibles amenazas y, a continuación, enviar sus conclusiones a un experto en inteligencia de amenazas para que las investigue más a fondo o a un analista junior del SOC para su revisión inicial.

A dashboard in ThreatStream
Figura 2. Obtenga una visión inmediata de las posibles amenazas, con un contexto enriquecido

Hipótesis: La búsqueda de amenazas comienza con la creación de una hipótesis o afirmación de que podría existir una amenaza específica en el entorno de la organización. Luego, el cazador de amenazas utiliza su experiencia y conocimientos para decidir cómo identificar esta amenaza y crear una ruta lógica para la detección mediante el IOC, el IoA, los TTP, etc.

Recopilación y procesamiento de datos e inteligencia: Antes de empezar a buscar amenazas, necesita información y datos de calidad. Anomali Análisis de Seguridad muestra lo que está sucediendo en su red, para que pueda planificar su búsqueda basándose en pruebas reales.

El desencadenante: Una vez que las herramientas de detección de amenazas descubren una anomalía, la hipótesis se convierte en un factor desencadenante. Esto es cuando los cazadores de amenazas inician la investigación contra un sistema o un área específica de la red que pueda estar comprometida.

Investigación: Los cazadores de amenazas identifican el sistema afectado, el punto de entrada del ataque y el posible impacto del ataque a un nivel preciso y granular. El Análisis de Seguridad de Anomali proporciona análisis detallados y correlacionados de petabytes de datos en cuestión de segundos.

Respuesta y resolución: Tras confirmar la actividad maliciosa, Security Analytics y Copilot activan automáticamente un flujo de trabajo de corrección, que incluye acciones diseñadas para impedir que el ataque se ejecute y se propague, como:

  • Eliminar archivos de malware
  • Aislar los sistemas afectados
  • Restauración de los sistemas a un estado seguro conocido
  • Actualización de las reglas de firewall e IPS/IDS
  • Instalación de parches de seguridad
  • Ajustar las configuraciones de seguridad
  • Proporcionar información a las partes pertinentes, como los centros de análisis e intercambio de información (ISAC)

Pilares clave para un programa eficaz de búsqueda de amenazas

Para crear un programa eficaz de búsqueda de amenazas, las organizaciones deben centrarse en tres pilares clave:

  1. Invierta en capacidades de detección avanzadas: Invierta en tecnologías como las soluciones de detección de anomalías e inteligencia de ciberamenazas (CTI) basadas en ML. Estas herramientas mejoran la capacidad de los cazadores para detectar cambios sutiles indicativos de un ataque.
  2. Cree una cultura colaborativa de búsqueda de amenazas: La detección eficaz de amenazas requiere la colaboración entre los equipos de seguridad y de TI. Los líderes deben fomentar la comunicación interdepartamental y garantizar que los equipos tengan fácil acceso a las fuentes de datos relevantes.
  3. Desarrollar un proceso de mejora continua: La búsqueda de amenazas es un proceso en evolución. Las organizaciones deben revisar y refinar periódicamente sus metodologías de caza en función de las experiencias pasadas y la nueva información de inteligencia.

El poder de la caza de amenazas

La caza de ciberamenazas se ha vuelto indispensable a medida que los atacantes se vuelven cada vez más sofisticados, sigilosos y agresivos. La búsqueda proactiva de amenazas permite a las organizaciones abordar las vulnerabilidades antes de que se conviertan en infracciones.

¿Está listo para aprender cómo Anomali puede ayudar a su organización a crear modelos de amenazas eficaces? Solicita una demostración personalizada.

*Gartner, Cómo superar 5 desafíos comunes en la caza de amenazas, Nahim Fazal, 24 de agosto de 2023
https://www.gartner.com/en/documents/4677499 (El informe solo está disponible para los suscriptores de Gartner)

GARTNER es una marca comercial registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE. UU. e internacionalmente, y se usa aquí con permiso. Todos los derechos reservados.

Dan Ortega

Dan Ortega is the Director of Product Marketing at Anomali and has broad and deep experience in marketing with both SecOps and ITOps companies, including multiple Fortune 500 companies and successful start-ups. He is actively engaged with traditional and social media initiatives, and writes extensively across a broad range of security and information technology topics.

Propel your mission with amplified visibility, analytics, and AI.

Learn how Anomali can help you cost-effectively improve your security posture.