La caza de amenazas cibernéticas es una actividad activa de defensa cibernética. Es "el proceso de búsqueda proactiva e iterativa a través de las redes para detectar y aislar amenazas avanzadas que evaden las soluciones de seguridad existentes". [1] Esto contrasta con las medidas tradicionales de gestión de amenazas, como firewalls , sistemas de detección de intrusos (IDS), sandbox de malware (seguridad informática) y sistemas SIEM , que generalmente implican una investigación de datos basados en evidencia después de que ha habido una advertencia . de una amenaza potencial. [2] [3]
La caza de amenazas ha sido tradicionalmente un proceso manual, en el que un analista de seguridad examina diversa información de datos utilizando su propio conocimiento y familiaridad con la red para crear hipótesis sobre amenazas potenciales, como, entre otras, el movimiento lateral de los actores de amenazas . [4] Sin embargo, para ser aún más eficaz y eficiente, la caza de amenazas también puede ser parcialmente automatizada o asistida por máquina. En este caso, el analista utiliza un software que aprovecha el aprendizaje automático y el análisis del comportamiento de usuarios y entidades.(UEBA) para informar al analista de los riesgos potenciales. Luego, el analista investiga estos riesgos potenciales, rastreando comportamientos sospechosos en la red. Por lo tanto, la búsqueda es un proceso iterativo, lo que significa que debe llevarse a cabo continuamente en un ciclo, comenzando con una hipótesis.
El analista investiga su hipótesis revisando grandes cantidades de datos sobre la red. Luego, los resultados se almacenan para que puedan usarse para mejorar la parte automatizada del sistema de detección y servir como base para futuras hipótesis.
El modelo de nivel de madurez de detección (DML) [5] expresa que los indicadores de amenazas se pueden detectar en diferentes niveles semánticos. Los indicadores semánticos altos, como el objetivo y la estrategia, o las tácticas, técnicas y procedimientos (TTP), son más valiosos para identificar que los indicadores semánticos bajos, como los artefactos de red y los indicadores atómicos, como las direcciones IP. [ cita requerida ] Las herramientas SIEM generalmente solo brindan indicadores en niveles semánticos relativamente bajos. Por lo tanto, existe la necesidad de desarrollar herramientas SIEM que puedan proporcionar indicadores de amenazas en niveles semánticos más altos. [6]
Los atacantes cibernéticos operan sin ser detectados durante un promedio de 99 días, pero obtienen las credenciales de administrador en menos de tres días, según el informe Mandiant M-Trends. [8] El estudio también mostró que el 53% de los ataques se descubren solo después de la notificación de una parte externa. [9]
En 2016, la empresa promedio tardó 170 días en detectar una amenaza avanzada, 39 días en mitigarla y 43 días en recuperarse, según Ponemon Institute. [10]