¿Qué es la Caza de Amenazas Cibernéticas? La Guía Definitiva

Caza de amenazas cibernéticas es un enfoque novedoso para la detección de amenazas cuyo objetivo es encontrar amenazas cibernéticas dentro de la red de una empresa antes de que causen daño. Esto incluye buscar deliberadamente puntos débiles, así como cualquier señal de ataques en curso dentro de una infraestructura digital. El caza de amenazas es más complejo que la detección pasiva de amenazas y requiere procesos, soluciones y experiencia específicos.

Identificar ataques cibernéticos sofisticados no es fácil, así que profundicemos y tratemos de entender qué es la caza de amenazas cibernéticas en un entorno SOC real y cómo funciona. Además de la definición de caza de amenazas, hablaremos de una rutina común que cada cazador de amenazas realiza diariamente.

Antes de sumergirnos en el aprendizaje, asegúrate de consultar la línea de tiempo de Inteligencia de Amenazas para las amenazas de tu interés en nuestro Motor de Búsqueda de Amenazas Cibernéticas. Una vez que tengas toda la información necesaria a mano, puedes acceder a las consultas de caza de amenazas en nuestra plataforma Detección como Código, modificarlas en un navegador y mejorar tu experiencia de caza aprovechando la integración perfecta con numerosos entornos de seguridad que podrías estar utilizando.

Detectar y Cazar Explorar el Contexto de la Amenaza

¿Cómo comenzar con la caza de amenazas?

Los primeros pasos en la caza de amenazas proactiva a menudo definen el éxito general. En pocas palabras, para encontrar una amenaza, debes tener una idea de qué buscar. Imagina una organización promedio que genera aproximadamente 20,000 eventos por segundo. Eso es 1,728,000,000 eventos por día. Luego, hay más de 450,000 muestras de malware registradas diariamente. Los algoritmos automatizados no son una solución ideal cuando se trata de encontrar amenazas ocultas minuciosamente y nuevas cepas de malware. Entonces, ¿cuántas personas de ciberseguridad necesitas para lidiar con tal cantidad de datos? La verdad es que nunca hay suficientes especialistas en seguridad a menos que reduzcan su investigación de amenazas a lo que realmente importa. Así que veamos cómo identificar la dirección principal de la caza de amenazas.

Conciencia Situacional

En este punto, los cazadores de amenazas deben estar al tanto de la arquitectura del sistema, la infraestructura de red y las configuraciones de activos. Una visibilidad ajustada sobre el ecosistema digital de la organización le permite avanzar táctica y estratégicamente en los siguientes pasos.

La conciencia situacional significa que los cazadores de amenazas conocen los posibles objetivos de los atacantes, así como el nivel actual de protección. En cuanto a los elementos del entorno, los cazadores también observan aquellos «dentro de un volumen de tiempo y espacio, la comprensión de su significado y la proyección de su estado en el futuro cercano», según lo define el ciclo OODA concepto del Coronel John Boyd. Para tener ese tipo de visibilidad, una correcta configuración de herramientas y soluciones de seguridad es extremadamente importante. Por ejemplo, sin registrar líneas de comando y scripts de PowerShell, es imposible identificar muchos tipos de ataques severos.

Conciencia del Paisaje de Amenazas y Superficie de Ataque

El paisaje de amenazas cibernéticas es una imagen general de todas las amenazas cibernéticas que existen actualmente y podrían ser peligrosas. Muchas de ellas son asumidas por los cazadores de amenazas (hablaremos de esto en la siguiente sección) porque no hay suficiente información sobre cómo operan, cuáles son los objetivos, etc. Sin embargo, podrían ser invisibles al ojo del investigador. En algunas fuentes, encontrarás que el paisaje de amenazas es una lista de todas las amenazas conocidas, pero esta vista es limitada. Es mejor reconocer que parte del paisaje de amenazas aún está en las sombras, sin embargo, existe. Y los cazadores de amenazas generalmente trabajan con esa parte sombría. Otra característica distintiva de un paisaje de amenazas es que es dinámico. Muta y se desarrolla debido a numerosas circunstancias; por eso es importante mantenerse siempre al tanto de las noticias, la inteligencia y las últimas investigaciones.

Superficie de ataque es el número total de vulnerabilidades (tanto conocidas como de día cero), posibles configuraciones incorrectas y anomalías en la infraestructura digital de la organización. Dado que hoy en día muchas aplicaciones de software tienen numerosas dependencias y a menudo se implementan en servidores en la nube, apenas es posible definir un perímetro de red como tal. Por lo tanto, la superficie de ataque aumenta. Al mismo tiempo, si tomas una impresora fabricada hace 20 años y la conectas a una computadora personal con un Windows perfectamente parcheado y sin conexión a Internet, tiene una superficie de ataque más pequeña. Por supuesto, es comprensible que la superficie de ataque aumente exponencialmente con la complejidad de la red. Y no olvidemos que las amenazas existen incluso cuando no hay vulnerabilidades. Por eso NIST recomienda construir infraestructuras digitales que sean seguras por diseño.

Priorización de Riesgos

Existen muchos enfoques para crear y mantener la gestión de riesgos de ciberseguridad. Las organizaciones emplean marcos de NIST, ISO 270001, DoD, y más. En general, se trata de definir los riesgos que son aplicables a un contexto de negocio particular, priorizarlos, definir una tolerancia al riesgo, documentar los libros de jugadas de mitigación y revisar regularmente su eficiencia.

¿Qué tiene que ver la gestión de riesgos con la caza de amenazas? Es donde todo comienza. Por ejemplo, de un 100% de patrones riesgosos, el 50% están parcheados, el 30% no son aplicables debido a la configuración de la red, el 10% son manejados por soluciones de seguridad automatizadas y el 5% son remediados manualmente. Entonces, lo que queda es el 5% de los riesgos desconocidos. Ahí es donde comienza la caza de amenazas.

¿Cuáles son los Pasos de la Caza de Amenazas?

Los cazadores de amenazas son quienes enfrentan amenazas desconocidas, por lo que una vez que tienen algo sospechoso con lo que trabajar, comienzan los pasos de la caza de amenazas. Identificar la sospecha en sí también requiere mucho conocimiento del dominio y experiencia. Por ejemplo, algo que parece un ataque DDoS podría ser solo múltiples computadoras en la red arrancando al mismo tiempo. Por lo tanto, para evitar ir en la dirección equivocada, cada paso de la caza de amenazas debe ser bien pensado. En general, podemos delinear tres pasos.

Generar una Hipótesis de Caza de Amenazas

The La hipótesis de caza de amenazas viene primero, al igual que en cualquier otro tipo de trabajo de investigación. Sumérgete en nuestra guía sobre ejemplos de hipótesis de caza de amenazas cibernéticas si quieres saber más. Recuerda, incluso si tu hipótesis resulta ser incorrecta, aún obtienes una valiosa información para tu investigación futura. Por ejemplo, asumiste que algunos de los raros agentes de usuario HTTP eran maliciosos, pero luego descubriste que no lo eran. Está bien, ahora tienes una mejor conciencia situacional de lo que está sucediendo dentro de la empresa. Por cierto, desafiar tus hipótesis y compararlas con las alternativas puede ser más útil que un enfoque de «satisfacción» cuando solo quieres demostrar que tienes la razón y no reconoces las partes que faltan.

Realizar Pruebas y Análisis

Ahora que la hipótesis está hecha, es hora de probarla. Los cazadores de amenazas podrían usar diferentes herramientas de caza de amenazas ya que hay múltiples maneras de probar sus hipótesis. Pueden buscar comportamientos específicos en los registros del sistema, probar muestras de malware en un entorno emulado, observar el flujo de datos de la red y más. La parte más difícil es encontrar una manera de detectar lo que estás buscando. Digamos que si quieres realizar una detección de balizas, pero tu red utiliza cifrado DNS sobre HTTPS, hay algunos trucos que debes conocer. Encontrar señales maliciosas, en este caso, es posible, pero algunas configuraciones del sistema podrían impedirte una búsqueda exitosa, resultando en falsos negativos.

La parte del análisis es la más interesante, ya que hay múltiples maneras de trabajar con datos. A veces es mejor optar por algoritmos matemáticos como el análisis factorial, pero a veces es mejor visualizar las amenazas. Hay muchas herramientas de modelado de amenazas. Por ejemplo, TypeDB es utilizado con frecuencia por los cazadores de amenazas. Además, puedes optar por gráficos, diagramas y visualizaciones que son especialmente divertidas si quieres encontrar cosas como extremos. Si puedes programar gráficos de distribución, desviación estándar, diagramas de caja, gráficos de dispersión, bosques de aislamiento y encontrar patrones, este tipo de análisis podría arrojar grandes resultados.

Sin embargo, todo lo automatizado rara vez funciona bien con datos no numéricos. El aprendizaje automático es bueno para identificar diferencias sin profundizar en el contexto (tal vez excepto por Naïve Bayes, que es bueno para contenido textual).

En algún momento, es necesario añadir un elemento humano a la caza de amenazas. Cuando llegue este momento, prueba el Modelo Diamante de Análisis de Intrusiones y la caza basada en TTP. Si la revisión manual tomaría una eternidad debido a un gran conjunto de datos, herramientas como Clearcut podrían ser útiles. Luego, conoce los hábitos de tus usuarios y añade un toque de inspiración. Aprender temas como estadísticas, ciencia de datos o incluso psicología cognitiva enriquecerá tu experiencia de caza.

Remediar

No importa cuán bien se sienta ser solo un cazador libre y un investigador creativo, al final del canal de caza de amenazas, entran en juego algunas responsabilidades importantes. Cuando obtienes los resultados del análisis, es hora de documentarlos y actuar sobre ellos para evitar que la amenaza que encontraste cause daño. En las grandes organizaciones, esto llamado Respuesta a Incidentes se pasa a los miembros del SOC que hacen esto regularmente, mientras que los cazadores de amenazas vuelven a hipótesis y análisis.

Las vulnerabilidades conocidas pueden ser parcheadas. Esta parte es quizás la más fácil. Sin embargo, es un desafío monitorear todos los tipos de parches en todos los tipos de activos. Algunos de estos últimos no gustan nada del parcheo, como los servidores muy cargados que tienen que trabajar 24/7, y cualquier mantenimiento produce fluctuaciones en las operaciones comerciales. Tales parches deben planificarse adecuadamente. De lo contrario, los equipos SOC pueden explorar opciones de parcheo sin tiempo de inactividad (ZDP).

Los casos difíciles necesitan un enfoque único, por lo que generalmente se manejan manualmente. En general, la respuesta a incidentes puede incluir muchas acciones diferentes. Certificación de Caza de Amenazas el entrenamiento generalmente incluye teoría y práctica sobre estos. Más allá de la remediación efectiva, a veces es necesario realizar la recuperación de datos. Como parte de la defensa de amenazas proactiva, los miembros del SOC están mejorando la protección de los sistemas basándose en las predicciones de los cazadores de amenazas. Si una amenaza es benigna, también podrían no hacer nada al respecto.

Servicio de Caza de Amenazas

La externalización de servicios es bastante común en el campo de TI, así que ¿por qué no externalizar los servicios de caza de amenazas? Si contratar especialistas en seguridad desde el exterior es beneficioso para una estrategia a largo plazo, ayuda a aliviar una carga de trabajo excesiva del equipo interno y ofrece mucho valor por el precio negociado, entonces es prudente hacerlo.

Muchos proveedores ofrecen servicios de caza de amenazas además de su software, como IBM, CrowdStrike, Verizon, ESET y Palo Alto Networks. Los Ingenieros de Seguridad de SOC Prime proporcionan auditoría de SIEM con cobertura MITRE ATT&CK®. Pueden ayudarte a identificar problemas de configuración, errores y factores limitantes en varios productos de seguridad que puedas estar usando. Después de la auditoría inicial, pueden realizar servicios de seguridad gestionados, tales como:

• Limpieza de SIEM
• Reducción de costos de almacenamiento
• Ajuste de contenido
• Filtrado de fuentes de registro y hoja de ruta
• Optimización del rendimiento
• Alineación con MITRE ATT&CK®
• Dimensionamiento de arquitectura y optimización de costos holística
• Plan de formación de habilidades duras
• Aumento de tecnología
• Transformación de procesos
• Alineación de presupuesto y partes interesadas
• Hoja de ruta de evolución

Todas estas mejoras actúan en diferentes niveles, desde lo operacional hasta lo estratégico, ayudando a los cazadores de amenazas a detectar amenazas ocultas.

Tipos de Caza de Amenazas

Los cazadores de amenazas reconocen tres tipos diferentes de caza de amenazas cibernéticas para compartir responsabilidades y lograr sus objetivos de manera más eficiente. Las técnicas de caza de amenazas pueden ser las mismas en varios tipos de caza de amenazas o diferir según la complejidad de la cadena de CI/CD de seguridad.

Estructurada

La caza de amenazas estructurada se basa en los Indicadores de Ataque (IoA), que a su vez se basan en las tácticas, técnicas y procedimientos (TTP) del adversario MITRE ATT&CK®. Este es el tope de la pirámide de dolor de David Bianco. El punto de una vista tan granular sobre las cadenas de asesinato es cazar a los atacantes antes de que lo sepan (es decir, causarles mucho dolor).

Los TTPs son divertidos porque una técnica inevitablemente provoca la otra. Es como si encontraste Discovery, busca Execution. Si encontraste Execution, busca Persistence, y así sucesivamente. Si se ha aprovechado una técnica determinada, sabes con certeza qué fuentes de datos necesitas y en qué lugares irás dentro de estas fuentes. En general, la caza de amenazas estructurada es buena para detectar exploits de día cero cuando no hay indicadores seguros.

No estructurada

Un evento sospechoso o una serie de eventos pueden actuar como triggers para lanzar una caza no estructurada. Para obtener más contexto, un cazador de amenazas cibernéticas desea reunir todo tipo de información. ¿Qué ocurrió antes y después del trigger? ¿Qué más ocurrió? ¿Correlacionan esos eventos, y cómo? Quieren responder a todas estas preguntas.

Ten en cuenta que los indicadores de compromiso (IoC) pueden extenderse mucho más allá de las URLs, nombres de dominio y direcciones IP. De hecho, muchos tipos de eventos anómalos son bastante tangibles. Puedes obtener sus identificadores a través de la inteligencia de amenazas y/o de los registros internos.

Para la lista completa de lo que la inteligencia de amenazas puede ofrecer, consulta la lista de objetos ciber-observables STIX. En cuanto a las fuentes internas, por ejemplo, Sysmon registra procesos, sesiones, conexiones de red, etc. Estos registros incluyen GUID (identificadores únicos globales). Por lo tanto, una regla de caza de amenazas bien hecha puede operar con valores identificables que representan un compromiso como:

• Volúmenes de lectura de bases de datos anómalos
• Tráfico entrante y saliente sospechoso
• Cambios sospechosos en archivos del sistema
• Y mucho más

Como verás, cualquier cosa anómala es demasiado pequeña o demasiado grande. Líneas de comando demasiado largas, cadenas demasiado pequeñas (ofuscadas), demasiados nombres de DNS con demasiados números y letras, y así sucesivamente. Por lo general, los ingenieros de seguridad automatizan la detección de todo esto estableciendo líneas de base y umbrales en el SIEM. Entonces, ¿por qué molestar a los cazadores de amenazas, preguntarías? Porque es sorprendente cómo se pasan por alto los IOCs como esos tan fácilmente. Por ejemplo, los nombres de dominio sospechosos pasan por un servidor de proxy DNS, y el equipo SOC simplemente no los ve. Eso significa que es hora de cazar.

Para una mayor eficiencia, los cazadores de amenazas pueden dividirse en Nivel 1,2,3, al igual que los analistas. Mientras que el primer grupo realiza caza de amenazas cibernéticas en tiempo real, el segundo explora TTPs, y el tercero trabaja en un análisis avanzado con herramientas de ML, matemáticas y ciencia de datos. Dependiendo del modelo de madurez de caza de amenazas de una empresa, esta táctica de defensa puede o no ser viable. Hunting Maturity Model, this defense tactic may or may not be viable.

Situacional

La caza de amenazas situacional puede originarse en dos tipos principales de fuentes: internas y externas. Las fuentes internas incluyen cosas como la evaluación regular de riesgos, el análisis Jewel in the Crown y otras consideraciones de tu infraestructura única y tráfico. Las fuentes externas son la Inteligencia de Amenazas, noticias, fuentes de vulnerabilidad y hallazgos de investigación.

Si bien la Inteligencia de Amenazas a nivel empresarial es una fuente primaria de conciencia de amenazas situacional, otras alternativas también están en tendencia. Por ejemplo, Twitter es bueno para saber qué está ocurriendo en el mundo del ciber. Revisa estas cuentas:

• Tráfico de malware
• Tendencias CVE
• Inteligencia de Amenazas

Más allá de Twitter, hay muchas otras fuentes que vale la pena explorar. La inteligencia de amenazas de código abierto extrae toneladas de datos interesantes que valen una caza. Además, consultas nuevas y calientes siempre están disponibles en un módulo de Caza Rápida en la plataforma SOC Prime Detección como Código. No requieren una preparación extensa ni experiencia, lo cual es ideal para cazadores de amenazas junior.

¿Cuál es la Diferencia Entre la Caza de Amenazas y la Inteligencia de Amenazas?

En pocas palabras, la Inteligencia de Amenazas es información útil y la Caza de Amenazas es dar sentido a esa información. Los cazadores de amenazas buscan proactivamente a los adversarios dentro de la red de una organización. Utilizan los feeds de Inteligencia de Amenazas como entrada para desencadenar sus procesos de caza.

Algunas plataformas de caza de amenazas como SOC Prime Detección como Código incluyen contexto de Inteligencia de Amenazas junto con otros tipos de funcionalidades útiles como la capacidad de descubrir y editar reglas y luego implementarlas en un entorno SIEM, EDR/XDR o SOAR. Es necesario monitorear continuamente los feeds de Inteligencia de Amenazas porque contienen la información más reciente sobre las amenazas cibernéticas que se descubrieron en diferentes redes privadas y públicas.

¿Por qué es Importante la Caza de Amenazas?

Las amenazas sofisticadas no son tan fáciles de detectar. Ya sea que se trate de vivir de la tierra o evadir la detección durante meses, el malware moderno tiene sus maneras de eludir los controles de seguridad tradicionales. La seguridad cibernética de la caza de amenazas es importante porque mejora la visibilidad de los malware avanzados y ayuda a evitar el daño que podrían causar. La caza de amenazas preventiva está oficialmente sugerida por CISA y el FBI.

Los cazadores de amenazas contribuyen a la mejora de las defensas de ciberseguridad en general porque actúan como investigadores de amenazas. Al aplicar todo un espectro de conocimientos técnicos y científicos, los cazadores descomponen muestras de malware y etapas de cadenas de asesinato para entender cómo funcionan. Y cuando se adquiere tal comprensión, se hace posible desarrollar métodos más sofisticados de detección y respuesta de amenazas.

Únete a la SOC Prime Detección como Código plataforma para acceder a miles de consultas de caza cibernética que anticipan los ataques más recientes. Potencia tu canal SOC con reglas basadas en Sigma que se traducen a numerosos formatos específicos de proveedores y se pueden implementar instantáneamente en un entorno SIEM. Y si tienes tu propio conocimiento experto, se te anima a compartir tus elementos de detección en nuestra iniciativa global de crowdsourcing, Programa de Recompensas de Amenazas, donde los Ingenieros y los Investigadores en Seguridad mejoran la defensa colaborativa y obtienen pagos repetidos por su esfuerzo.