Escrito por: Santiago Rangel
Hoy en día existen muchas tecnologías que orquestan y automatizan respuestas de incidentes de seguridad y hasta aplican machine learning para aprender de los equipos que están en sus dominios como lo podría realizar una tecnología XDR. Este tipo de tecnologías se han vuelto muy confiables antes los ojos de los usuarios.
Sin embargo, la seguridad siempre se debe gestionar desde una perspectiva de cero confianza. En muchas ocasiones el machine learning o la inteligencia aplicada, puede dejar pasar cosas que la inteligencia no puede detectar como los insider threats.
Partiendo de que la inteligencia aplicada a las herramientas de seguridad no es perfecta, podemos definir el threat hunting. El Threat Hunting es encontrar indicadores o comportamientos de amenazas donde ninguna de tus herramientas lograron detectar al atacante.
Es importante destacar que el Threat Hunting está basado en hipótesis y en asumir que han logrado penetrar tus defensas. Por lo que el objetivo es descubrir al atacante en sus fases iniciales antes de que pueda producir un impacto en la compañía.
No podemos continuar sin antes mencionar que el Threat Hunting no tiene como objetivo encontrar configuraciones erróneas o mal uso de las herramientas. Su objetivo es simplemente atrapar a un atacante que no haya sido detectado por las herramientas en operación. Sin embargo los resultados de una cacería de amenazas pueden ser de ayuda para la mejora continua de tu postura de seguridad y además al lograr un resultado exitoso (momento que se encuentra una amenaza), se activa el proceso de respuesta de incidentes de seguridad.
El Threat Hunting tiene que ser visto como un siguiente paso en la detección y análisis de amenazas. Por ejemplo, en tu infraestructura de seguridad puede existir herramientas que apliquen automatización y machine learning basado en datos para obtener alertas a través de esos datos. Sin embargo, el threat hunting puede trabajar en paralelo para realizar una búsqueda más avanzada de otros comportamientos que puedan generar impacto a raíz de las alertas anteriormente encontradas por las herramientas.
Es por eso que tu equipo de Threat Hunting debe contar con personas especializadas y con grandes habilidades en investigación de amenazas para poder realizar búsquedas mucho más avanzadas basándose en hipótesis sobre los mismo comportamientos. De esta manera, poder detectar otros vectores de ataques que las herramientas no lograron correlacionar, o en su defecto detectar. Estas personas especializadas también deben ser expertos en búsquedas de irregularidades en la red.
El Threat Hunting es necesario para llevar la búsqueda de compromisos a otro nivel y, de manera preventiva detectar estas amenazas y poder repelerlas de una manera rápida sin la necesidad que generen un gran impacto en tu organización.
Muchas veces el Threat Hunting puede partir de una hipótesis como por ejemplo detectar botnets y eliminarlos en los equipos que estén realizados muchos queries de DNS maliciosos. Si esto es así, entonces el equipo de Threat Hunting debería inspeccionar los logs de DNS y correlacionar estas peticiones maliciosas con indicadores de compromisos para detectar el proceso o archivo que está ejecutando estas peticiones, detenerlos a tiempo y eliminar la posibilidad de que la máquina realice una exfiltración de datos sensibles, CriptoMining, DDoS y entre otros.
Estos análisis y detección de comportamiento anómalos solo pueden ser posibles con actividades de Threat Hunting. Partiendo de una iniciativa, una hipótesis, y un objetivo: detectar y remediar a través del proceso de respuesta de incidentes de seguridad comportamientos anómalos.
Para concluir, el threat hunting puede ser usado para muchas facetas, pero la más importante es encontrar compromisos que no hayan logrado detectar nuestra seguridad inicial. Adicionalmente, los datos obtenidos del machine learning pueden ser usados como pistas para buscar más irregularidades en nuestra red destacando que deben de ser analizadas por expertos para poder detectar amenazas que hayan pasado desapercibidas. Recuerda que una cacería de amenaza, indiferentemente del enfoque que le des como objetivo, siempre conlleva la participación humana.