Threat Hunting Prepare el SOC de cara al futuro y ajuste las dimensiones de su empresa

La detección de amenazas se basa en la idea de que un atacante ya se encuentra dentro del entorno. Normalmente, parte de una hipótesis según la cual puede haber amenazas en el entorno, continúa con una investigación de las posibles amenazas y, si la investigación confirma la hipótesis, el proceso finaliza con una respuesta efectiva y con la corrección de los cambios o daños causados.

Se requiere un conocimiento técnico sobre las condiciones normales del entorno para detectar comportamientos anómalos y fuera de lo habitual como:

• Las tácticas, técnicas y procedimientos usados por los atacantes.
• Los puntos más vulnerables del entorno.
• Flujos de información fiables relativos a indicadores de peligro recientes y habituales.

Aquí tiene seis consejos rápidos sobre cómo empezar a usar un entorno de detección de amenazas.

Los requisitos previos sobre la detección de amenazas incluyen contar con visibilidad sobre los endpoints, inteligencia sobre amenazas y habilidades en materia de seguridad. Si bien esta última requiere conocimientos y experiencia, las dos primeras pueden adquirirse mediante herramientas automatizadas.

Los detectores de amenazas actuales usan herramientas como la detección y respuesta en endpoints (EDR), detección y respuesta ampliadas (XDR), administración de eventos e información sobre seguridad (SIEM), sistemas de detección y prevención de intrusiones (IDS/IPS), así como herramientas personalizadas que usan scripts, PowerShell, etc., así como análisis de seguridad mediante inteligencia artificial y aprendizaje automático.

Este tipo de herramientas de detección de amenazas pueden ayudar a:

• Contar con visibilidad mediante la captura y centralización de datos de telemetría de endpoints (por ejemplo, una amplia gama de actividades y comportamientos que abarquen varios sistemas operativos, lo que incluye patrones de tráfico de red, actividad de red, actividad de usuario, hashes de archivo, operaciones de archivo, registros de eventos y del sistema, conexiones denegadas, actividad de dispositivos periféricos, etc.).
• Correlacionar datos y diferentes eventos para comprender el contexto de la amenaza potencial.
• Supervisar, analizar y generar alertas sobre eventos de seguridad en tiempo real.
• Realizar un seguimiento de los ataques desde el principio hasta el final y responder según corresponda.

Los detectores de amenazas también usan inteligencia sobre amenazas de fuentes abiertas, proveedores de inteligencia sobre amenazas especializados o fuentes de sus propios proveedores de seguridad para hacerse una idea sobre qué amenaza pueden buscar o para validar hipótesis.

La detección de amenazas complementa estas herramientas mediante búsquedas en todo el entorno para detectar indicadores de peligro, así como los comportamientos y las tácticas usadas por los atacantes.

MITRE ATT&CK® (siglas en inglés de “conocimientos comunes, técnicas y tácticas de adversarios”) es una base de conocimientos global abierta dirigida a profesionales de la seguridad del sector privado, instituciones gubernamentales y en la comunidad de productos y servicios de ciberseguridad. El marco ATT&CK sirve como un lenguaje común que describe comportamientos de adversarios divididos en tácticas y técnicas, basados en la observación en el mundo real.

La matriz MITRE ATT&CK de tácticas, técnicas y procedimientos se ha convertido en una fuente de información y orientación de referencia para los detectores de amenazas. Ofrece datos sobre los comportamientos y motivaciones típicas de los atacantes, las tácticas y técnicas en las que se divide el ataque, la naturaleza de la amenaza y la mejor forma de responder a esta de manera efectiva.

N‑able EDR con Threat Hunting, basado en la tecnología SentinelOne®, que permite asociar los ataques con el marco MITRE ATT&CK, lo que frece a los analistas el contexto sobre los ataques e indicadores inmediatos. Los analistas pueden buscar tácticas y técnicas en MITRE ATT&CK, así como otros indicadores de peligro, con el fin de identificar comportamientos maliciosos o sospechosos en los endpoints de una red antes de que puedan ejecutar un ataque o alcanzar sus objetivos.

La detección de amenazas proactiva ayuda a acelerar los tiempos de respuesta a incidentes, reducir la carga de trabajo de los equipos de seguridad y reforzar las operaciones de seguridad con una mayor visibilidad de las amenazas emergentes. Tanto si gestiona un SOC interno como si presta asistencia a otros en materia de ciberseguridad, la detección de amenazas es una capacidad muy valiosa para mejorar su infraestructura de seguridad. 

Si su organización cuenta con un SOC, la detección de amenazas puede mejorar la identificación y la respuesta. Del mismo modo, si ofrece servicios de seguridad a sus clientes, puede mejorar su oferta y ayudar a protegerlos contra amenazas avanzadas. 

Soluciones como N‑able EDR con Detección de amenazas proporcionan las capacidades necesarias para crear o mejorar un programa de detección de amenazas, tanto si forma parte de un equipo de TI interno, un MSP o un MSSP.