Lo hemos dicho varias veces: a la hora de proteger la ciberseguridad empresarial, cualquier compañía no debe limitarse a actuar cuando los ciberataques se producen, sino mucho antes de que lleguen incluso a suponer una amenaza. Además, debe actuar de manera proactiva, no limitándose a prevenir las amenazas conocidas, sino también estudiando las nuevas tácticas de los cibercriminales que pretenden poner en jaque tu seguridad.
Es por ello que el Threat Hunting está ganando fama como forma de proteger la ciberseguridad de una compañía, ya que las empresas deben trabajar su defensa mucho antes de que sea necesaria y reciclar la forma en que detectan las posibles amenazas.
Los claroscuros del Threat Hunting en las empresas
Sin embargo, una cosa es tener clara la necesidad de recurrir al Threat Hunting y otra hacerlo de manera eficiente. De esta bipolaridad da buena cuenta el informe 2018 Threat Hunting Survey, lanzado recientemente por SANS, que refleja que las empresas están adoptando esta tendencia en los últimos años.
Concretamente, el 43% de las compañías consultadas y analizadas llevan a cabo operaciones de este tipo de manera continuada dentro de sus tácticas de prevención de ciberriesgos, mientras que el 65% prevé una mayor inversión en herramientas de este tipo en los próximos dos años.
El estudio confirma hasta qué punto el cibercrimen se está reinventando en los últimos años, ya que, cuando las empresas fueron topándose con nuevas amenazas que podían desembocar en ciberataques, el 49% vieron que la inmensa mayoría eran desconocidashasta el momento.
La respuesta contra Hackers e Insiders
La clave del Threat Hunting reside en su proactividad, ya que actúa de manera preventiva e iterativa para localizar las nuevas amenazas, diseñar posibles respuestas y, de este modo, neutralizarlas y evitar que evadan la ciberseguridad de una empresa.
Sin embargo, no todas las empresas trabajan en esa línea. Según el informe de SANS, el 37,3% actúa de manera reactiva, cuando la amenaza ya se ha producido, ya es visible o desde la compañía se tiene una sospecha fundada de ella. Es más, el informe revela que, de los dos tipos de empresas que más frecuentemente recurren al Threat Hunting, el segundo es el de las compañías que previamente sufrieron un ataque que les ha obligado a reforzar su lucha contra el cibercrimen.
En cualquier caso, a la hora de abordar el Threat Hunting, según el informe el 90,3% de las empresas consultadas recurren a herramientas estándares, aunque van creciendo las que trabajan con herramientas customizables (61,9%) y las que recurren a soluciones tecnológicas de compañías expertas en ciberseguridad (32,5%). En este sentido, los expertos de ciberseguridad de Panda Security perfeccionan el sistema de Machine Learning, haciendo que el servicio Threat Hunting & Investigation deThreat Hunting de Panda Adaptive Defense sea capaz de alertar de actividades y comportamientos anómalos de usuarios, aplicaciones y dispositivos. Fruto de esta monitorización, conseguimos descubrir las nuevas amenazas que puedan ir surgiendo y diseñar una respuesta para evitar que llegue siquiera a penetrar la puerta de seguridad informática de la compañía.
La acción humana, imprescindible
Hay otro factor indispensable en la previsión de este tipo de ataques: la acción humana. Y es que el servicio de Threat Hunting & Investigation trata de detectar las posibles amenazas que, por su novedad, estén siendo capaces de evadir las soluciones de ciberseguridad del momento, pero precisamente ese factor lleva consigo un elemento muy a tener en cuenta: el Threat hunter.
El informe de SANS insiste en que este tipo de acciones “están impulsadas por el hombre, por lo que las herramientas deben complementar esos esfuerzos en lugar de buscar reemplazarlos. La búsqueda de amenazas no puede ser completamente automatizada, sino que la automatización debe aumentar significativamente la efectividad de los Threat hunters”. Los Threat Hunters de Panda Security identifican y validan IoAs de malware conocidos y desconocidos, y de ataques sin malware en tiempo real.
Además, los comportamientos anómalos en un sistema informático no tienen por qué suponer una amenaza. Un ejemplo sencillo: una web de comercio electrónico puede enfrentarse a un volumen de operaciones mucho mayor en ciertos momentos del año, con lo que la labor del Threat hunter consistirá también en aplicar el sentido común para saber si el aumento exponencial de procesos se está debiendo a una posible amenaza o si, por el contrario, responde al aumento típico de tráfico y volumen de operaciones, por ejemplo, en las fechas navideñas.
Así pues, la labor de los threat hunters pasa por servirse de la tecnología para monitorizar y analizar la actividad del sistema, detectar comportamientos anómalos y comprobar detalladamente si esa anomalía puede entrañar un riesgo real o se trata de un falso positivo. El objetivo de Panda Security es que nuestras soluciones puedan clasificar automáticamente el 99,98% de las amenazas, dejando únicamente el 0,02% de ellas a los analistas. De esta forma se pueden centrar en ataques realmente peligrosos.
Y es que, a la hora de proteger la ciberseguridad empresarial de una compañía, ningún esfuerzo sobra. En la lucha contra el cibercrimen, la mejor solución es la acción humana, las soluciones tecnológicas, la prevención y la búsqueda proactiva de posibles amenazas.
Fuente : pandasecurity
