Threat Hunting vs Seguridad Reactiva: Por qué es importante la proactividad

A medida que las empresas evolucionan y crecen, también lo hacen su tecnología y sus redes. Aunque se trata de un efecto esperado en el crecimiento del negocio, una red extensa requiere una gestión dedicada de la superficie de ataque.

Las empresas deben implementar múltiples capas de protección para proteger los dispositivos, los datos, las redes y las personas. Además de la escalada masiva de las redes empresariales, los actores maliciosos desarrollan continuamente ataques cibernéticos más sofisticados para tratar de encontrar vulnerabilidades explotables y penetrar las defensas de la red de una organización.

Luchar contra las vulnerabilidades y exposiciones comunes (CVE) y las amenazas cibernéticas desconocidas es imposible de lograr solo a través de un enfoque de seguridad reactivo. Puede ser suficiente para amenazas comunes y conocidas, pero dejará su red vulnerable a varias amenazas avanzadas: vulnerabilidades de día cero, amenazas persistentes avanzadas (APT) y vectores de ataque sofisticados. Esta es la razón por la que lo mejor es combinar la seguridad reactiva con un enfoque proactivo.

A continuación, exploraremos la seguridad reactiva y proactiva, cómo funcionan, sus implementaciones y las mejores prácticas a emplear desde ambos enfoques.

La seguridad reactiva utiliza herramientas de ciberseguridad y mejores prácticas para crear defensas sólidas contra los enfoques de ataque comunes y las amenazas cibernéticas. También permite detectar actividades maliciosas cuando terceros malintencionados penetran las defensas de su red y obtienen acceso no autorizado a su sistema.

Las características de seguridad reactiva más comunes incluyen firewalls, antivirus y filtros de correo no deseado, evaluación realista de vulnerabilidades y un plan de recuperación ante desastres.

La seguridad reactiva se utiliza mejor para hacer frente a los ciberataques más tradicionales. Se basa en sistemas de detección de intrusos e indicadores de compromiso (IoC) para identificar la actividad maliciosa y tomar medidas después del hecho. Dado que los atacantes suelen tardar más tiempo en dañar un sistema que la respuesta a incidentes en activarse, la seguridad reactiva ayuda a evitar el impacto negativo de los virus y malware conocidos. Incluso si se produce un incidente de seguridad, puede detectar y contrarrestar a los atacantes.

Incluso si la seguridad reactiva está peor equipada para hacer frente a amenazas sofisticadas que la seguridad proactiva, las empresas deben implementar prácticas de seguridad reactiva sensatas para optimizar su estrategia de ciberseguridad. Exploremos algunos de los enfoques más comunes y efectivos para la seguridad reactiva a continuación.

Un plan de recuperación ante desastres (DRP, por sus siglas en inglés) describe los pasos que las organizaciones deben seguir después de un ataque cibernético. Comprende todas las políticas, procedimientos y herramientas para ayudar a una empresa a recuperarse después de un ataque cibernético, un desastre natural o una violación de datos. Un DRP adecuado debe incluir la identificación y clasificación de los activos de datos críticos y sensibles, un inventario de todos los recursos de la empresa, un seguro general y contra delitos de ciberseguridad, personal clave autorizado para ayudar en un escenario de recuperación ante desastres, acciones de respuesta a emergencias, plan de respuesta legal y de medios, etc.

Incluso si los actores de amenazas penetran en la seguridad de la red de la empresa y causan una violación grave de datos, un plan sólido de recuperación ante desastres minimizará el daño, evitará cualquier pánico, ayudará a reanudar las operaciones normales rápidamente y, en última instancia, garantizará un flujo de ingresos optimizado.

La evaluación de vulnerabilidades (o análisis de vulnerabilidades) es un enfoque sistemático que se utiliza para detectar, evaluar, priorizar y proponer mitigación y corrección de vulnerabilidades de seguridad en una red o sistema de destino. El objetivo principal de la evaluación de vulnerabilidades es revisar todas las debilidades de seguridad en el sistema de TI de una empresa.

El enfoque suele comprender cuatro pasos principales:

• Pruebas de seguridad

Se utiliza para descubrir todas las vulnerabilidades en una aplicación de destino, un servidor o un sistema completo.

• Análisis de vulnerabilidades

Se utiliza para determinar la(s) causa(s) raíz(es) de las vulnerabilidades existentes.

• Evaluación de riesgos

Se utiliza para categorizar y priorizar los fallos de seguridad en función de la confidencialidad de los datos y los sistemas afectados, el potencial de ataque y el daño potencial asociado a un ataque exitoso.

• Remediación

Se utiliza para describir los pasos adecuados y las prácticas de mitigación que se deben implementar en un orden específico para corregir las brechas de seguridad.

La evaluación de la vulnerabilidad es una metodología compleja que comprende muchos procesos. Algunos pueden considerarse reactivos, mientras que otros, proactivos. Sin embargo, como todas las tácticas de VA se centran principalmente en las vulnerabilidades existentes, se perciben como medidas de seguridad reactivas.

Los incidentes de seguridad pueden convertirse rápidamente en una violación de datos en toda regla si se manejan mal. Un incumplimiento de este tipo puede provocar el colapso de las operaciones y pérdidas financieras de diversa índole. La respuesta a incidentes se centra en políticas y procedimientos para abordar y mitigar un ciberataque y sus posibles consecuencias.

Un plan de RI sólido suele comprender seis etapas:

• Preparación

Un plan de RI eficiente describe los pasos que las empresas deben tomar con anticipación para contrarrestar los eventos disruptivos. La planificación de RI comienza con un plan adecuado de mitigación de la violación de datos.

En la fase de preparación, las organizaciones deben alinear las políticas de protección de datos con los objetivos de ciberseguridad y las defensas de la infraestructura de TI. Debe asegurarse de que todos los empleados de la empresa conozcan la formación requerida en RI; También debe realizar una auditoría exhaustiva del sistema para garantizar que los datos confidenciales estén adecuadamente protegidos.

• Identificación, detección y respuesta a actividades maliciosas

Después de la preparación, su empresa debe crear un proceso confiable de identificación de vulnerabilidades para detectar cuándo los sistemas se han visto comprometidos. Si puede detectar una brecha de seguridad con suficiente antelación, estará mejor equipado para mitigar el ataque. Incluso si no puede mitigar las amenazas cibernéticas por completo, podrá acelerar el proceso de detección y respuesta para minimizar los daños y ahorrar tiempo y dinero.

Al analizar un incidente de seguridad, debe centrarse en quién descubrió la infracción, su alcance, cómo afecta a sus operaciones y el origen (causa raíz) del compromiso.

• Contención y mitigación

La contención se relaciona con los pasos que toma su empresa para mitigar el daño después de una infracción. En función del escenario del incidente, es posible que tenga que aislar los puntos de conexión o los datos comprometidos o eliminar un actor malintencionado de los sistemas. Durante la fase de contención, debería poder determinar si mantener un sistema en línea o eliminarlo; Además, debe conocer los posibles pasos inmediatos que puede tomar para cerrar las vulnerabilidades.

• Erradicación

La fase de erradicación de un plan de respuesta a incidentes se centra en corregir las vulnerabilidades que permitieron la violación en primer lugar. Los pasos específicos que realice dependerán del escenario de ataque. Sin embargo, su plan de RI debe describir procesos capaces de identificar cómo se comprometieron los datos y cómo erradicar el riesgo de seguridad en todos los escenarios posibles.

Supongamos que sus sistemas fueron infectados por malware. Eliminaría el código malicioso y aislaría todos los dispositivos, aplicaciones y sistemas afectados de su red principal. Si un atacante lograra violar la seguridad de la red a través de credenciales de empleados comprometidas, congelaría inmediatamente la cuenta correspondiente.

• Recuperación de datos y sistemas

Una vez que haya eliminado la amenaza, puede concentrarse en restaurar sus sistemas. Dependiendo de la gravedad del ataque y de la complejidad de su entorno, este proceso puede ser un desafío. Un plan de RI dedicado debería eliminar el riesgo de que ataques similares tengan éxito para neutralizar aún más las amenazas y anular el daño acumulativo.

Debe probar y supervisar todos los sistemas afectados una vez que se complete la corrección. Esto garantizará que sus medidas de respuesta a incidentes funcionaron según lo previsto y le dará tiempo para corregir cualquier falla de vulnerabilidad persistente.

• Informes y resumen de IR

Una vez que haya completado el paso anterior, sus equipos de seguridad deben revisar el incidente e identificar oportunidades para mejorarlo. Su equipo de RI debe evaluar qué partes de su plan de RI funcionaron y cuáles encontraron problemas.

Evaluar cada paso del proceso es fundamental: discuta qué sucedió, por qué sucedió, cómo logró contener la situación y qué podría haberse ejecutado de manera diferente. Es esencial identificar las brechas en su plan y determinar si es fácil de entender y seguir.

Por lo general, es mejor evaluar un incidente pasado una o dos semanas después de que ocurra para que sus equipos puedan tener tiempo suficiente para considerar la situación desde todos los ángulos, con el incidente aún fresco en su memoria.

El objetivo principal de la última etapa es identificar problemas y brechas en su plan de RI, llamar la atención a los miembros responsables por los errores cometidos y asegurarse de que no ocurran ineficiencias en el futuro. Si el proceso de RI no salió según lo planeado, esto podría indicar una documentación poco clara, una capacitación insuficiente del personal o acciones de respuesta mal delineadas.

Por muy conveniente que sea, la seguridad reactiva tiene una gran desventaja. Los actores de amenazas diseñan y mejoran amenazas sofisticadas que a menudo se dirigen a vulnerabilidades desconocidas y pasan desapercibidas para las soluciones de seguridad tradicionales. Si una amenaza de este tipo elude la seguridad de la red, todo su entorno de TI puede verse comprometido. Y en el momento en que las herramientas reactivas reaccionan a él, es posible que ya esté experimentando brechas de seguridad que provoquen la pérdida de datos, el tiempo de inactividad y la obstaculización de los procesos comerciales. Por eso es fundamental emplear medidas de seguridad proactivas además de los medios tradicionales de ciberseguridad.

Exploremos qué es, cómo funciona y cómo implementarlo de la manera más eficiente en su negocio.

La búsqueda de amenazas (o "búsqueda de amenazas cibernéticas") es un enfoque de seguridad proactivo centrado en la detección y respuesta a las amenazas potenciales que acechan en su red. Un programa de búsqueda de amenazas cibernéticas supervisará la actividad de los endpoints, recopilará datos de telemetría, buscará indicadores de ataque (IoA) y analizará la inteligencia de amenazas recopilada para identificar la actividad sospechosa y remediar las amenazas antes de que se conviertan en una violación de datos en toda regla.

Si los atacantes obtienen acceso a su sistema, pueden permanecer ocultos durante meses, recopilar meticulosamente datos de seguridad y materiales confidenciales, u obtener credenciales de inicio de sesión para infiltrarse en toda su red. Si un atacante provoca una brecha de seguridad, su organización necesitará una estrategia de seguridad confiable y proactiva para perseguir las amenazas avanzadas y detenerlas en seco.

En el panorama actual de amenazas, la búsqueda de amenazas es necesaria para garantizar la detección de actividades sospechosas, la evaluación de riesgos a largo plazo y la identificación de vulnerabilidades de seguridad.

La búsqueda de amenazas cibernéticas combina la potencia de procesamiento de big data con el elemento humano. Aquí, contamos con herramientas de seguridad automatizadas que recopilan inmensas cantidades de datos de actividad de endpoints para detectar, identificar e investigar amenazas potenciales y alertar a los cazadores de amenazas humanos de posibles acciones de corrección y respuesta a incidentes.

Un programa exitoso de búsqueda de amenazas procurará una investigación compleja de incidentes de seguridad para estudiar las tácticas, técnicas y procedimientos (TTP) de los actores cibernéticos para presentar a los profesionales de la seguridad un conocimiento profundo de un ataque en curso. También ayudará en la gestión de la superficie de ataque, las pruebas de penetración, las evaluaciones de vulnerabilidad, la detección y respuesta de endpoints y las estrategias de prevención de pérdida de datos.

Dado que los cazadores de amenazas automatizados confían en el aprendizaje automático para investigar todos los componentes de la superficie de ataque de su red, pueden eludir el factor de error humano en la detección de amenazas. Sin embargo, la búsqueda proactiva de amenazas depende de que sus equipos de seguridad hagan un seguimiento de los hallazgos confiables y mitiguen las amenazas lo más rápido posible.

Los cazadores de amenazas asumen que un atacante ya está en un sistema objetivo, por lo que inician investigaciones de inteligencia de amenazas para identificar comportamientos sospechosos que pueden estar relacionados con actividades maliciosas. Por lo general, las investigaciones de caza de amenazas se dividen en tres categorías principales.

Este enfoque combina un amplio análisis de datos y aprendizaje automático para analizar cantidades masivas de información y detectar actividades sospechosas que puedan sugerir acciones maliciosas. Una vez que se han detectado anomalías, los equipos de seguridad pueden comenzar a buscar amenazas para neutralizar las amenazas potenciales.

Este enfoque de búsqueda de amenazas a menudo se basa en nuevos datos de amenazas identificados como maliciosos a través de un gran volumen de inteligencia de amenazas de crowdsourcing, que presenta información sobre las tácticas, técnicas y procedimientos (TTP) de los posibles atacantes.

Una vez que la tecnología de seguridad identifique un nuevo TTP, los cazadores de amenazas inspeccionarán su propio entorno en busca de los indicadores específicos de TTP y mitigarán los riesgos potenciales.

La búsqueda de amenazas dedicada puede utilizar inteligencia táctica de amenazas para mantener un inventario de todos los indicadores de compromiso (IoC) e indicadores de ataque (IoA) conocidos asociados con el grupo de amenazas cibernéticas actual.

Todos los IoC e IoA catalogados actuarán como activadores que alertan a los cazadores de amenazas cibernéticas de posibles ataques en curso o tráfico de red inusual en el sistema de destino. Sin embargo, confiar en los indicadores de amenazas de riesgo es más bien una medida de seguridad reactiva. (este enfoque basado en Intel también comprobará los valores hash, las direcciones IP y los nombres de dominio)

Ser "proactivo" se relaciona con anticipar necesidades, asuntos, cambios o problemas futuros y tomar medidas apropiadas. Cuando se trata de amenazas cibernéticas, la seguridad proactiva significa lo mismo: abarca todo lo que debe hacer antes de que pueda ocurrir un ataque en su red. A diferencia de la seguridad reactiva, que responde a un ataque después de que ya se ha producido, la seguridad proactiva se centra en contrarrestar los ataques en primer lugar.

Los métodos de seguridad proactivos comprenden todos los procesos y actividades que se llevan a cabo regularmente dentro de una empresa para prevenir riesgos. Dichos procesos pueden incluir:

• Identificar y parchear las vulnerabilidades de la infraestructura de red para negar las brechas de seguridad
• Prevención de violaciones de seguridad y datos
• Evaluaciones periódicas de vulnerabilidades y pruebas de seguridad
• Pruebas de penetración

El diseño de un programa estelar de caza de amenazas cibernéticas es un proceso complejo y muy intensivo. Las empresas deben apuntar a optimizar las tareas críticas para garantizar la fidelidad y la escalabilidad. Si bien las herramientas modernas de búsqueda de amenazas marcarán una diferencia significativa, es esencial adoptar un enfoque bien organizado y adecuadamente estructurado para la búsqueda de amenazas.

Para que un cazador de amenazas sea eficaz, las empresas deben obtener la preparación necesaria. La recopilación de información, la decisión sobre la jerarquía de amenazas y la descripción de los enfoques de mitigación de amenazas son cruciales.

Exploremos cómo desglosar el proceso para ahorrar tiempo y recursos.

La primera fase de un plan sólido de búsqueda de amenazas es el inventario de información crítica. Las empresas deben realizar un análisis de amenazas cibernéticas para abordar los datos relevantes en la red de la empresa, dónde se encuentra, quién puede acceder a ella y qué defensas existen para protegerla.

Recopilar la mayor cantidad posible de datos de seguridad antes de que los cazadores de amenazas inicien el programa facilitará y acelerará el proceso. En el mejor de los casos, su inventario cubrirá todos los datos críticos y proporcionará los siguientes detalles:

• Topologías físicas y lógicas
• Datos de control de seguridad: marca, modelo, sistema operativo y configuración
• Datos del dispositivo de red: marca, modelo, sistema operativo, configuración
• Datos de host: marca, modelo, sistema operativo y configuración, y configuración de hardware
• Datos pan-infraestructura para sistemas de gestión de contenido, hipervisores y sistemas de intercambio de datos (la información debe incluir versiones, listas de acceso y controles de seguridad)
• Control de acceso y lista de acceso para todos los activos digitales críticos (incluidos los dispositivos móviles)
• Flujo de datos de aplicación a hosts para soluciones y servicios
• Puntos de contacto primarios para todos los activos críticos
• Formatos, ubicaciones y tipos de registro para todos los activos críticos

Una vez que tenga un inventario completo de los activos críticos, debe categorizarlos y priorizarlos para determinar los activos más cruciales que se deben proteger a través de la búsqueda de amenazas.

Para determinar qué activos digitales requieren el más alto nivel de protección, cada empresa debe examinar sus necesidades específicas, objetivos y amenazas potenciales a sus datos. Ya sea propiedad intelectual, cuentas de clientes o una plataforma de servicios, cada organización debe adaptar un programa único de búsqueda de amenazas.

Los cazadores de amenazas de su organización se beneficiarán enormemente de una hoja de ruta de búsqueda de amenazas. Saber qué amenazas están al acecho, cómo pueden afectar a su red y cómo puede mitigarlas de la manera más eficiente facilitará significativamente el proceso de búsqueda de amenazas.

Si tiene los recursos, puede combinar un equipo dedicado a la búsqueda de amenazas con una sólida solución de ciberseguridad para recopilar toneladas de datos de seguridad. Sus equipos de seguridad pueden utilizar esos mismos datos para crear un enfoque altamente personalizado para buscar amenazas cibernéticas e invocar alertas automáticas basadas en el panorama de amenazas de la industria de su empresa y los activos esenciales en su inventario.

Una vez que se completan los informes de inventario, priorización de activos y actividad de amenazas, un analista de amenazas puede crear una hoja de ruta sofisticada de las amenazas más apremiantes para investigar.

Por lo general, el proceso incluye la generación de una lista de requisitos de inteligencia prioritarios (PIR) que le presentarán preguntas específicas sobre las amenazas cibernéticas (y los actores de amenazas) para guiar su programa de búsqueda de amenazas.

Un cazador de amenazas proactivo suele seguir tres pasos principales para llevar a cabo una búsqueda: un desencadenante, una investigación y una resolución. Un programa exitoso de búsqueda de amenazas contribuirá en gran medida a mitigar las amenazas avanzadas y garantizar una estrategia confiable de prevención de pérdida de datos.

Los cazadores de amenazas utilizan puntos de activación para identificar un área de red o un sistema específico para investigar más a fondo cuando las herramientas EDR detectan actividades sospechosas que pueden sugerir acciones maliciosas. Un enfoque basado en hipótesis hacia una nueva amenaza suele ser un desencadenante para la búsqueda proactiva de amenazas.

Los cazadores de amenazas utilizan tecnología avanzada de inteligencia de amenazas, como herramientas de detección y respuesta de endpoints (EDR), para analizar posibles actividades maliciosas (o compromisos) dentro de un sistema de destino. La fase de investigación continúa hasta que las acciones maliciosas se estudian y remedian por completo o se consideran benignas para concluir una búsqueda de amenazas exitosa.

La última fase se relaciona con la comunicación eficiente de la inteligencia de actividad maliciosa relevante a los equipos de seguridad para que puedan responder adecuadamente al incidente y mitigar las amenazas cibernéticas. La inteligencia recopilada sobre actividades maliciosas y no dañinas suele introducirse en la tecnología de seguridad automatizada para mejorar la eficacia y minimizar los falsos positivos sin más intervención humana.

A lo largo de la última fase, los cazadores de amenazas cibernéticas recopilarán la mayor cantidad de datos posible sobre el comportamiento, los patrones de ataque y las técnicas operativas de los atacantes para determinar las tendencias en el entorno de seguridad de la empresa, eliminar las brechas actuales y proponer mejoras a la estrategia de ciberseguridad en el futuro.