Estos son los retos del Threat Hunting en 2021

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Ciberseguridad orientada al futuro Leer

En este estudio patrocinado por varios proveedores entre los que figura ThreatQuotient, los expertos de SANS Institute ponen sobre la mesa la relevancia del threat hunting o caza de amenazas a la hora de establecer una ciberdefensa activa.

Esta técnica, como parte de los servicios del Centro de Operaciones de Seguridad (SOC), debe incorporarse en la fase inicial, definiendo cómo deben funcionar sus operaciones de caza de amenazas y formando a los equipos a partir una estrategia clara para cumplir estos objetivos. Sin embargo, según ThreatQuotient, esto muchas veces no se cumple. “Desafortunadamente, es todavía bastante común es llevar a cabo operaciones de threat hunting con las reglas establecidas por defecto que las organizaciones ya tienen en vigor. Si bien este enfoque puede dar resultados, el estudio revela que dichos resultados no serán tan beneficiosos para la organización y su seguridad como podrían serlo de manera concreta y precisada”, subraya.

Según el informe, parece haber un importante déficit en la utilización de herramientas automatizadas para ayudar a la conservación de información útil y aplicable sobre las amenazas. Además, la mayoría de threat hunters no se dedican a ello a tiempo completo, sino que tienen otras responsabilidades como parte de sus perfiles técnicos.

Además, existe una marcada propensión hacia dotar de personal a las operaciones de caza de amenazas con especialistas en respuesta a incidentes y analistas de un Centro de Operaciones de Seguridad (SOC). En este sentido, el estudio destaca que son perfiles diferentes y señala que los analistas SOC pueden tener dificultades para desviarse de su rutina de análisis de alertas para buscar activamente indicios de una infracción de la seguridad y que, aunque los encargados de la respuesta a los incidentes pueden estar muy familiarizados con la tarea de encontrar amenazas nuevas y desconocidas, son procesos diferentes: la caza de amenazas requiere prever un escenario de ataque que puede suceder en la organización, mientas que la respuesta a incidentes se produce cuando ya se ha producido el ataque.

El estudio también constató que lo que más les cuesta a los threat hunters son los frecuentes cambios de contexto, ya que sólo unos pocos encuestados dijeron que nunca tienen que cambiar de herramientas mientras hacen su trabajo. Por lo tanto, alternar entre aplicaciones es un área que tiene un enorme potencial de mejora y aumento de la eficiencia. Lo que también influye en la eficiencia es que una elevada proporción de los encuestados (36,3%) están utilizando manualmente la información sobre amenazas que han recopilado. En este sentido, una de las razones es que casi la mitad de los encuestados no almacenan la inteligencia sobre amenazas en una plataforma, sino que utilizan métodos tradicionales basados en archivos, como hojas de cálculo o documentos PDFs.

A tenor de estos datos, ThreatQuotient sostiene que “para avanzar en la utilización del threat hunting necesitamos establecer un entendimiento común, mejorar las herramientas que reducen los cambios de contexto, automatizar el proceso y hacer que la caza de amenazas sea más medible. Lo más fácil para muchos encuestados sería cambiar la gestión de su inteligencia de un sistema basado en documentos a una plataforma de código abierto para que la inteligencia sobre amenazas sea más fácil de consumir, evolucionar y aplicar”.