Objetivos del Threat Hunting

La transformación digital de la actividad desarrollada en las empresas y las naciones es una fuente de riqueza muy importante, y constituye uno de los elementos principales que los diferencia y destaca con respecto a sus competidores. Por esta razón, sus resultados son perseguidos por hackers informáticos cuyas nuevas motivaciones económicas, políticas y estratégicas han fomentado una sofisticación de sus actividades delictivas, propiciando una fuerte mejora en las técnicas que utilizaban hasta el momento para acceder de forma ilegítima a la propiedad intelectual ajena.

Nuevas técnicas y tácticas empleadas en los ciberataques

Conforme la proyección de empresas y estados en el mundo digital crece, también lo hacen los incentivos para desarrollar nuevas estrategias, más sofisticadas y diseñadas específicamente para sortear las soluciones de seguridad perimetral (cortafuegos, UTMs, SCMs, NGFW etc.) y local (antivirus, EDR, NGAV etc.) durante el mayor tiempo posible. Entre las nuevas tácticas empleadas por los ciberataques se encuentran:

  • Reclutamiento de trabajadores y miembros de la plantilla de la empresa (insiders) que faciliten la incursión en sus sistemas.

  • Empleo de herramientas legítimas ya instaladas en los sistemas que pasen inadvertidas a las soluciones de seguridad instaladas. Estas tácticas son conocidas como "living off the land”.

  • Empleo de ingeniería social para embaucar a usuarios y clientes de la empresa (phishing)y así propiciar la creación de un entorno que facilite la entrada en sus sistemas de información.

  • Uso de múltiples vectores de infección para sortear las defensas de las organizaciones y ejecutar los movimientos laterales necesarios para ganar una posición de ventaja estratégica a la hora de conseguir objetivos de alto valor.

La proliferación de estas técnicas y tácticas avanzadas han propiciado la aparición de una nueva categoría de malware: los APT o Advanced Persistent Threats, ataques dirigidos a empresas con objetivos muy concretos y con capacidad de retrasar lo máximo posible la incorporación de su firma digital a los archivos de identificadores que los proveedores de seguridad informática manejan en sus soluciones tradicionales de protección. De esta manera, este tipo de ataques avanzados maximizan la ventana de oportunidad para conseguir sus objetivos.

Por esta razón, el enfoque de “sentarse y esperar” implantado por las herramientas de seguridad tradicional frente a APTs y amenazas equivalentes significa que el tiempo de exposición se extenderá por un promedio de 175 días desde que se produce la intrusión hasta que ésta es visible y detectable. Incluso en muchas ocasiones son fuentes externas, como pueden ser las fuerzas de orden público o las compañías de tarjetas de crédito, las que hacen el trabajo (generalmente tarde) de la solución de seguridad tradicional implantada en las empresas, un hecho que puede afectar severamente a la reputación de las empresas.

La respuesta: Threat Hunting

Los gobiernos y las corporaciones han identificado este riesgo y asignado mayores presupuestos a la creación de recursos especializados para conformar un nuevo grupo de profesionales enfocados en detectar y repeler este tipo de ciberataques. Este perfil técnico, llamado de forma genérica “Threat Hunter”, cuenta con los conocimientos necesarios para detectar las técnicas y tácticas de los nuevos ciberataques, y dispone de un nuevo conjunto de herramientas avanzadas que completan los productos de seguridad tradicional ya instalados en las empresas.

Las herramientas de threat hunting permiten afrontar los principales retos de los SOCs en las empresas:

  • La dificultad a la hora de encontrar personal cualificado que desempeñe las tareas de un analista de seguridad experimentado.

  • El mayor número de situaciones potencialmente peligrosas que sufren las empresas tiene como resultado un desbordamiento de la capacidad del SOC, incrementando las probabilidades de que las alertas reales no sean investigadas por falta de tiempo o recursos.

  • El mayor número de herramientas requeridas, el incremento en su sofisticación y la ausencia de una solución centralizada y única que cubra todas las necesidades del SOC requiere características avanzadas de integración para formar una pila de software flexible y bien compenetrada.

Por esta razón, empresas y naciones se ven obligados a lidiar con presupuestos mucho más abultados si quieren hacer frente a estos nuevos ataques y salvaguardar su propiedad intelectual y su credibilidad.