¿Qué es la caza de amenazas?

Ya sean humanas o basadas en software, las amenazas maliciosas no declaran su presencia. Las herramientas de ciberseguridad deben buscar malware, intrusos y personas internas maliciosas y existe una variedad de técnicas que se pueden utilizar para este propósito.

Cada proveedor de software de seguridad tiene una técnica preferida y la utilizan porque funciona. Aunque existen varios diferentes caza de amenazas estrategias, no hay una clasificación de ellas; no hay una que sea universalmente considerada mejor que las demás. Analizaremos los principales métodos de detección de amenazas y explicaremos cómo funcionan.

Terminología de caza de amenazas

Como cualquier disciplina de TI, la ciberseguridad y la caza de amenazas tienen su propia terminología. Estos son algunos de los términos importantes que debe conocer al estudiar la caza de amenazas:

• EDR: detección y respuesta de endpointsSupervisa los puntos finales (escritorios, servidores, dispositivos móviles, dispositivos IoT) en busca de amenazas e implementa respuestas automatizadas en caso de detección.
• XDR: detección y respuesta ampliadasUn paquete de herramientas de seguridad que se combinan para proporcionar detección de amenazas y respuesta automatizada. Los elementos principales deben entregarse mediante SaaS.
• IDS – Sistema de detección de intrusosEste es un paquete de búsqueda de amenazas que funciona con archivos de registro en el caso de IDS basados ​​en host (HIDS) o con datos de monitoreo de actividad en vivo en el caso de IDS basados ​​en red (NIDS).
• IPS – Sistema de prevención de intrusionesUn IDS con reglas de respuesta automatizadas.
• SIEM – Información de seguridad y gestión de eventosBusca archivos de registro y datos de monitoreo de red y genera una alerta sobre la detección de amenazas. Se trata de una combinación de gestión de información de seguridad (SIM), que es un HIDS, y gestión de eventos de seguridad (SEM), que es un NIDS.
• SOAR – Orquestación y respuesta de seguridadIntercambios de datos entre software de seguridad que emite información sobre amenazas o instrucciones de respuesta.
• SOC – Centro de operaciones de seguridadUn centro de datos que proporciona monitoreo y gestión de software de seguridad, agregando análisis humano especializado.
• C TI – Inteligencia sobre amenazas cibernéticasDatos sobre ataques que han ocurrido en otros lugares y cómo se desarrollaron. También puede ser una advertencia de una filtración de datos o conversaciones en sitios de piratas informáticos que indican que es probable un ataque inminente a un país, un sector, una empresa o un individuo.
• IoA – Indicador de ataqueUna señal de que se está produciendo un ataque. Esto sería el descubrimiento de un correo electrónico de phishing o de un archivo adjunto de correo electrónico infectado. Un intento de conexión RDP o un número excesivo de intentos fallidos de inicio de sesión en una cuenta son otras señales de que se está produciendo un ataque.
• COI – Indicador de compromisoUn resto de un ataque reciente. Estos se pueden formular en una secuencia de factores, firmas de malware y direcciones maliciosas. Se comunican como inteligencia sobre amenazas. Sin embargo, pequeñas variaciones en los métodos pueden frustrar la detección.
• TTP – Tácticas, técnicas y procedimientosEstrategias de amenazas que se comunican como advertencias en fuentes de inteligencia de amenazas. Detallan la actividad del grupo de piratas informáticos detectada recientemente, como el nombre del grupo y sus métodos de investigación e ingreso.
• UBA – Análisis del comportamiento del usuarioEl seguimiento de la actividad por ubre cuenta que establece un patrón de comportamiento normal. Esto proporciona una base para la detección de anomalías, que busca desviaciones del comportamiento estándar de la cuenta de usuario.
• UEBA – Análisis de comportamiento de usuarios y entidadesLo mismo que UBA pero con un registro de actividad estándar en un dispositivo, que suele ser un endpoint.

Fuentes de datos de búsqueda de amenazas

La caza de amenazas puede tener lugar en dos niveles: en el empresa o globalmente . Las búsquedas globales se basan en datos cargados por empresas.

Los grandes volúmenes de datos involucrados en tales sistemas se pueden reducir en gran medida instalando preprocesamiento módulos en cada sistema contribuyente. Esta estrategia podría filtrar cierta información que el motor analítico local no identifica como indicador potencial. Por lo tanto, la calidad de estos datos de origen depende en gran medida del algoritmo utilizado por el grupo de inteligencia de amenazas. La velocidad de búsqueda de datos y la capacidad de la unidad central de búsqueda también influyen en la cantidad de filtración necesarios para los recolectores de datos.

La caza de amenazas empresariales se basa en tres fuentes principales de datos de entrada:

• Registrar mensajes
• Monitoreo del sistema
• Observabilidad

Es necesario recopilar los tres tipos de datos de cada componente del sistema (tanto hardware como software) para obtener una imagen completa de un ataque.

Registrar mensajes

La principal fuente de datos para la búsqueda de amenazas proviene de los mensajes de registro. Cada sistema operativo y casi todas las aplicaciones generan mensajes de registro y su recopilación proporciona una rica fuente de información sobre las actividades del sistema.

Monitoreo del sistema

Así como los mensajes de registro circulan constantemente en un sistema de TI, también lo hacen los datos de seguimiento. Una vez más, sólo hay que recogerlo. Esta información incluye información de rendimiento de la red en vivo disponible a través de Protocolo simple de monitoreo de red (SNPMP). Otras fuentes de información que están disponibles con muy poco esfuerzo incluyen datos de proceso de la Administrador de tareas en Windows o el PD utilidad en Linux, Unix y macOS.

Observabilidad

Los sistemas sin servidor y las actividades sin archivos son más difíciles de rastrear y requieren una recopilación activa de datos con rastreo distribuido sistemas de telemetría. La información derivada del seguimiento de los procesos en ejecución puede complementarse con perfilado de código donde las actividades se implementan mediante lenguajes de codificación de texto plano. Los volcados de memoria y el escaneo de cadenas también pueden revelar indicios de ataque a través de la presencia de funciones DLL que se sabe que se utilizan en ataques maliciosos, como utilidades de manipulación de memoria y registros.

Flujos de datos para la caza de amenazas

Si bien existen algunos sistemas distribuidos de búsqueda de amenazas disponibles, principalmente para la protección de endpoints, estos servicios suelen estar centralizados. A AV de próxima generación utiliza la búsqueda de amenazas en el dispositivo, pero todos los demás sistemas, incluidas las herramientas IDS, EDR, XDR y SIEM, recopilan datos de varios dispositivos del sistema en un grupo centralizado.

Software como servicio Los cazadores de amenazas pueden unificar los lagos de datos utilizados para todos los clientes alojados en un paquete de detección de amenazas para todo el servicio. Este flujo de datos hacia una colección en la nube es también la principal fuente de información utilizada para inteligencia de amenazas alimenta.

En todos los casos, los datos se recopilarán de diferentes tipos de fuentes, como archivos de registro o registros de monitoreo del sistema, y ​​se traducirán a un formato común para que esos diferentes diseños de registros se puedan recopilar en una lista uniforme con los mismos campos de datos en la misma ubicación. La búsqueda de amenazas se implementa como una serie de búsquedas junto con el filtrado y agrupación de datos.

Datos fuente para la caza de amenazas fluye hacia un grupo central. Inteligencia de amenazas , que informa sobre la detección de amenazas, viaja en la otra dirección: desde una ubicación central hasta cuentas corporativas individuales y luego hasta procesadores de datos locales, como los antivirus basados ​​en dispositivos. Instrucciones de respuesta también viajan desde el sistema central hacia los dispositivos locales.

Estrategias de caza de amenazas

Todos los sistemas de caza de amenazas se dividen en dos categorías estratégicas: basado en firma y basado en anomalías búsquedas.

Búsqueda de amenazas basada en firmas

Métodos de detección basados ​​en firmas son la estrategia más antigua utilizada para los productos de ciberseguridad. Los sistemas antivirus originales utilizaban este enfoque, que escaneaba los sistemas en busca de archivos específicos, que generalmente se identifican mediante una firma hash en lugar de sus nombres.

Aunque la caza de amenazas basada en firmas es una estrategia antigua, no está desactualizada: así es como operan los sistemas que funcionan con fuentes de inteligencia sobre amenazas. El TIC El feed proporciona una lista de procesos, archivos o direcciones para buscar (TTP) y el cazador de amenazas escanea su lago de datos en busca de su presencia.

La búsqueda de amenazas basada en inteligencia de amenazas también se conoce como investigación basada en hipótesis. La búsqueda de amenazas basada en firmas ocurre en tiempo real , escaneando datos a medida que llegan de recopiladores distribuidos y también retrospectivamente , revisando almacenes de registros de eventos. Es necesaria una búsqueda retrospectiva cada vez que aparece una nueva TTP está entregado. Esto se debe a que los conocimientos anteriores no incluían estas estrategias de ataque y el sistema de detección de intrusiones necesita descubrir si el sistema ya ha sido comprometido por piratas informáticos utilizando los métodos recién descubiertos.

josh y COI , entregado por el proveedor del sistema de búsqueda de amenazas, también implementa detección basada en firmas. Estas fuentes de información se utilizan para buscar datos históricos y en vivo.

Caza de amenazas basada en anomalías

En lugar de buscar la existencia de algo, la búsqueda de amenazas basada en anomalías identifica irregularidades. En concreto, busca cambios en el patrón de actividad del sistema. Este tipo de detección es particularmente importante para protegerse contra la apropiación de cuentas y las amenazas internas.

Eventos como el robo de datos no requieren que los piratas informáticos instalen ningún software nuevo: las instalaciones que ya tiene disponibles para los usuarios autorizados son lo suficientemente buenas como para ayudar a los ladrones de datos a extraer información valiosa. Análisis del comportamiento del usuario (UBA) y análisis del comportamiento de usuarios y entidades (UEBA) tienen como objetivo combatir el uso no autorizado de aplicaciones autorizadas.

La detección basada en anomalías primero tiene que determinar cuál es el comportamiento normal antes de poder detectar desviaciones. Por lo tanto, los sistemas UBA y UEBA utilizan aprendizaje automático para registrar una línea base de actividad regular para cada usuario o dispositivo. El aprendizaje automático es una disciplina de Inteligencia artificial (AI).

Detección automatizada versus análisis de amenazas manual

La búsqueda de amenazas es un proceso constante e implica buscar en grandes volúmenes de datos . Ésta es una tarea para la que los ordenadores son muy adecuados. Para todas las empresas, excepto las más pequeñas, la idea de buscar amenazas manualmente no es un buen comienzo.

Análisis manual La recopilación de datos tiene un papel en la búsqueda de amenazas como complemento a la detección automatizada constante. La mejor combinación de análisis computarizado y humano es dejar que el sistema automatizado clasifique los datos y luego señale los casos límite para una evaluación humana.

Un gran problema con los sistemas de detección de amenazas basados ​​en reglas que incluyen respuestas automatizadas es que pueden atribuir erróneamente el comportamiento normal y bloquear a los usuarios legítimos. UBA y UEBA se aplicaron a la caza de amenazas en un intento de reducir esto. informes falsos positivos . No importa cuán afinado esté un sistema de detección, siempre existe la posibilidad de que un usuario realice repentinamente una acción que sea parte de su rutina de trabajo habitual.

La anomalía aceptable podría ser una tarea poco frecuente que se espera que realice el usuario pero que el sistema de aprendizaje automático no ha visto antes porque no ha estado ejecutándose el tiempo suficiente.

El tipo de intervención manual en un sistema de búsqueda de amenazas depende de la empresa. politica de seguridad . Por ejemplo, un evento inusual y que ocurre raramente podría denominarse humano mediante la emisión de una alerta como única respuesta. Alternativamente, la configuración de un IPS podría exigir una estrategia de seguridad primero que bloquee las cuentas involucradas en un comportamiento anómalo y luego deje la evaluación de la actividad y posibles inversión de la acción de respuesta a un administrador.

El rol de analista de seguridad No es un trabajo que pueda asignarse al azar a un técnico del equipo de soporte. Esta es una habilidad altamente especializada y es difícil encontrar analistas calificados. Cuando se pueden encontrar, son muy caros. Ésta es una de las razones por las que vale la pena comprar herramientas automatizadas de ciberseguridad.

Una solución a la necesidad de experiencia humana en ciberseguridad es contratar un caza de amenazas gestionada servicio. Esto incluye un paquete de software de seguridad basado en SaaS y el servidor para ejecutarlo y agrega un equipo de expertos en seguridad para analizar aquellas anomalías inusuales que el sistema informático no puede categorizar.

Caza de amenazas en herramientas de ciberseguridad

Puedes leer nuestras recomendaciones sobre sistemas para la caza de amenazas en el Las mejores herramientas de búsqueda de amenazas . Para ilustrar cómo diferentes herramientas pueden realizar la búsqueda de amenazas individualmente y como parte de un conjunto de servicios, podemos consultar los paquetes ofrecidos por Multitud de huelga .

Las herramientas de ciberseguridad de CrowdStrike se ofrecen desde una plataforma SaaS enlatada Falcon. Uno de sus servicios es un servicio antivirus de próxima generación y esta es la única aplicación de la suite Falcon que se ejecuta en puntos finales en lugar de en la plataforma en la nube Falcon.

Así es como encajan las herramientas:

• CrowdStrike Halcón Prevenir - En las instalacionesRealiza búsqueda de amenazas localmente y también actúa como agente de recopilación de datos para sistemas Falcon basados ​​en la nube.
• Información sobre el halcón de CrowdStrike – basado en la nubeUn EDR que coordina las actividades de todas las instancias de Falcon Prevent para una empresa y busca entre los datos cargados a la manera de un SIEM.
• CrowdStrike Falcon XDR – basado en la nubeFunciona de la misma manera que Falcon Insight, pero también extrae datos de actividad de herramientas de terceros y puede comunicar respuestas automatizadas a Falcon Discover u otros sistemas de seguridad locales.
• Inteligencia CrowdStrike Falcon – basado en la nubeInteligencia sobre amenazas compilada por CrowdStrike de todos los sistemas EDR y XDR que operan para clientes además de experiencias de aplicaciones de terceros.
• CrowdStrike Halcón Overwatch – basado en la nubeUn servicio administrado que proporciona el sistema Falcon Insight junto con técnicos y analistas para ejecutar el sistema y proporcionar una evaluación manual de los datos.