Cada vez más, las empresas toman conciencia de la importancia de crear capacidades de detección y caza de amenazas que evite poner en riesgo la continuidad de su negocio. Ahora más que nunca, tanto a la hora de proteger la ciberseguridad empresarial como de ofrecer soluciones y servicios de seguridad informática eficaces, las organizaciones y los MSP no pueden limitarse a actuar cuando los ciberataques se producen, sino mucho antes de que lleguen incluso a suponer una amenaza.
Sin lugar a dudas, el cambio mundial hacia el trabajo en remoto y el aprendizaje en línea, la preocupación por elegir la solución de ciberseguridad apropiada y el aumento general de los ataques han convertido la ciberseguridad en un tema cada vez más crítico; y con nuevas exigencias. El enfoque deseado es proactivo, no limitándose a prevenir las amenazas conocidas, sino también estudiando las nuevas tácticas de los cibercriminales que pretenden poner en jaque tu seguridad. Esto significa que a la detección tradicional de amenazas se le suma una caza proactiva o Threat Hunting como tendencia (cada vez más necesaria) en la ciberseguridad empresarial.
La encuesta SANS 2020 Threat Hunting Survey descubrió que el 65% de las organizaciones encuestadas ya están realizando algún tipo de caza de amenazas y otro 29% está planeando implementarlo en los próximos 12 meses. Muchos mercados, como el de los servicios financieros, la alta tecnología, el militar, el gubernamental y el de las telecomunicaciones, tienen una necesidad esencial de remediar las amenazas lo antes posible. Aunque la prevención es la mejor respuesta ante los ciberataques, la detección temprana de ataques y la rápida respuesta son fundamentales para reducir el número de potenciales ciberataques exitosos.
Threat Hunting y ciberamenazas: el proceso
Para detectar actividades sospechosas y ciberataques avanzados en fase temprana, nuestros analistas de seguridad llevan a cabo servicios de Threat Hunting activo. Utilizando la información que hemos recogido durante nuestros 30 años de experiencia en la industria, nuestros hunters buscan nuevas amenazas y comparan las hipótesis con los datos recopilados con nuestra solución EDR (WatchGuard EDR /WatchGuard EPDR y Panda Adaptive Defense / Panda Adaptive Defense 360) para comprobar su legitimidad. Una vez demostrada, si la técnica nueva de detección es totalmente determinista se añade como una nueva técnica de detección. Si la técnica no es totalmente determinista pero nos permite detectar con un alto grado de confianza que hay un equipo comprometido, se genera un indicador de ataque (IOA) que debe ser gestionado con urgencia para confirmar que se trata de un ataque y actuar en consecuencia para contener y remediar el ataque.
Los indicadores de ataque (IOA) generados por nuestro servicio de Threat Hunting automático incluyen la detección temprana de actividades como:
- Ataques de fuerza bruta al RDP
- Credenciales comprometidas tras ataque por fuerza bruta al RDP
- Ejecución de cmd.exe con línea de comandos ofuscada
- Ejecución de script en memoria mediante PowerShell
- Descarga de ficheros mediante el proceso Svchost.exe
- Ejecución en memoria de script remoto
- Explotación de vulnerabilidad del editor de ecuaciones de Office
- Instalación de ficheros remotos mediante msiexec.exe renombrado
- Persistencia y elevación de privilegios mediante características de accesibilidad
- Volcado de credenciales del proceso lsass usando PowerShell o Procdump
Nuestro servicio de Threat Hunting, incluido en WatchGuard EDR y WatchGuard EPDR, muestra en la consola web de nuestras soluciones, estos indicadores de ataque (IOA) y otros adicionales que se añaden a medida que nuestro equipo de Hunters identifica nuevos potenciales ataques. Además, nuestra solución permite establecer direcciones de email donde se notificará en tiempo real de estos IOA para que las acciones de contención y remediación se lleven a cabo con la mayor urgencia posible.
Diferencias entre Threat Hunting y Threat Detection:
A veces confundimos Threat Hunting y Threat Detection por lo que a continuación hemos enumerado las principales diferencias entre Threat Hunting y Threat Detection:
El Threat Hunting se realiza de forma proactiva: los Threat Hunters no esperan a que se produzca una alerta sobre un patrón conocido; más bien se trata de encontrar huellas antes de que se produzca la violación de datos o antes de que se detecte un binario desconocido o malicioso en los endpoints.
Threat Hunting está “inspirado” en sospechas y formulación de nuevas hipótesis: la caza consiste en seguir pistas e ideas y no verificar reglas conocidas .
Solo analistas especializados en la búsqueda de patrones de ataque en este tipo de datos, los Threat Hunters, pueden dar este servicio. Los hunters se basan en su conocimiento, experiencia y mentalidad alineada con la forma de actuar de los hackers, asumiendo en todo momento que el cliente está siendo comprometido, centrándose en localizar cualquier pista que permita identificar al atacante en la red sin que haya saltado una alerta de detección de una regla conocida o de binario malicioso.
Threat Detection es un proceso que en la mayoría de las ocasiones se hace de forma automatizada, y orientado a detectar amenazas conocidas. Mientras que Threat Hunting es un proceso creativo con una metodología flexible enfocada a que el hunter de caza al hacker.
Con estas capacidades, estamos aportando más visibilidad y control a nuestras soluciones de seguridad para endpoint o portátiles, estaciones y servidores dando a nuestros partners la capacidad de proporcionar una mayor protección y servicios adicionales a sus clientes.