¿Qué es la persecución de amenazas?

La persecución de amenazas es una función de seguridad que combina una metodología proactiva, tecnología innovadora e inteligencia para la detección de amenazas a fin de detectar y detener actividades maliciosas.

Para las empresas que quieren adoptar un enfoque más proactivo de la ciberseguridad (que intente detener los ataques antes de que se adentren demasiado), el siguiente paso lógico es añadir la persecución de amenazas a su programa de seguridad.

Después de consolidar la seguridad de los terminales y las estrategias de respuesta a incidentes para mitigar los ataques conocidos de programas maliciosos que son inevitables en la actualidad, las organizaciones pueden empezar a pasar a la ofensiva. Llegado este punto, están listas para profundizar y encontrar lo que aún no se ha detectado. Ese es exactamente el propósito de la persecución de amenazas.

La persecución de amenazas es una táctica agresiva que trabaja con la premisa de «presuponer la vulneración»: los atacantes ya están dentro de la red de una organización, la están supervisando y se están desplazando por ella de forma encubierta. Esto puede parecer descabellado, pero, en realidad, los atacantes pueden llevar días, semanas e incluso meses dentro de una red, preparando y ejecutando ataques (por ejemplo, amenazas persistentes avanzadas), sin que ninguna defensa automatizada haya detectado su presencia. La persecución de amenazas detiene estos ataques mediante la búsqueda de indicadores de riesgo (IOC) encubiertos para poder mitigarlos antes de que los ataques logren sus objetivos.

El objetivo de la persecución de amenazas es supervisar las actividades cotidianas y el tráfico en la red, así como investigar posibles anomalías para encontrar cualquier actividad maliciosa pendiente de detección que pueda convertirse en una vulneración en estado avanzado. Para lograr este nivel de detección temprana, la persecución de amenazas incorpora cuatro componentes igualmente importantes:

Metodología. Para tener éxito en la persecución de amenazas, las empresas deben comprometerse con un enfoque proactivo y de tiempo completo que sea continuo y esté siempre en evolución. Una perspectiva reactiva, puntual y con la idea de actuar «cuando tengamos tiempo» será contraproducente y ofrecerá unos resultados mínimos.

Tecnología. La mayoría de las empresas ya cuentan con soluciones integrales de seguridad para terminales con detección automatizada. La persecución de amenazas se suma a estas soluciones y añade tecnologías avanzadas para encontrar anomalías, patrones inusuales y otros indicios de atacantes que no deberían estar en los sistemas ni en los archivos. Las nuevas plataformas de protección de terminales (EPP) nativas de nube que utilizan el análisis de macrodatos pueden capturar y analizar grandes volúmenes de datos sin filtrar de terminales. Mientras, las técnicas de análisis del comportamiento y la inteligencia artificial pueden ofrecer una amplia visibilidad a gran velocidad de los comportamientos maliciosos que al principio parecen normales.

Personal dedicado y altamente cualificado. Los cazadores de amenazas, o analistas de amenazas a la ciberseguridad, son una especie única. Estos expertos no solo saben cómo utilizar la tecnología de seguridad mencionada, sino que también combinan una ambición incesante de pasar a la ofensiva con funciones forenses intuitivas de solución de problemas para descubrir y mitigar las amenazas ocultas.

Inteligencia para la detección de amenazas. Tener acceso a inteligencia global basada en pruebas proporcionada por expertos de todo el mundo mejora y agiliza aún más la búsqueda de IOC ya existentes. Los cazadores cuentan con la ayuda de información como las clasificaciones de ataques para la identificación de programas maliciosos y grupos de amenazas, así como con los indicadores de amenazas avanzadas que pueden ayudar a centrarse en los IOC de eventos maliciosos.

El estudio plasmado en el informe sobre persecución de amenazas de 2018 de Crowd Research Partners viene a confirmar la importancia de estas funciones de persecución de amenazas. Cuando se pidió a los especialistas involucrados en el estudio que clasificaran la función más importante, estos fueron los resultados:

EI 69 % eligieron la inteligencia para la detección de amenazas.

EI 57 % eligieron las técnicas de análisis del comportamiento.

EI 56 % eligieron la detección automática.

EI 54 % eligieron el aprendizaje automático y las técnicas de análisis automatizadas.

Los cazadores de amenazas buscan atacantes que pasan desapercibidos y penetran en el sistema a través de vulnerabilidades que la empresa ni siquiera sabe que existen. Estos atacantes dedican una cantidad considerable de tiempo a planificar y realizar acciones de reconocimiento, y solo actúan cuando saben que pueden penetrar con éxito en la red y sin previo aviso. También colocan y crean programas maliciosos que aún no se han reconocido, o utilizan técnicas que no dependen en absoluto de los programas maliciosos, para establecer una base persistente desde la que atacar.

Entonces, ¿qué hace falta para ser más astuto que los atacantes más inteligentes?

Los cazadores de ciberamenazas son implacables y pueden encontrar hasta el más mínimo indicio de los ciberatacantes.

Los cazadores de amenazas utilizan sus conocimientos especializados para centrarse en los pequeños cambios que se producen cuando los atacantes actúan dentro de un sistema o archivo.

Los mejores cazadores de amenazas confían en sus instintos para detectar las sigilosas acciones de los atacantes más perversos.