Caza de amenazas cibernéticas

Actividad proactiva de ciberdefensa

La búsqueda de amenazas cibernéticas es una actividad de defensa cibernética proactiva . Es "el proceso de búsqueda proactiva e iterativa a través de redes para detectar y aislar amenazas avanzadas que evaden las soluciones de seguridad existentes". ^[1] Esto contrasta con las medidas de gestión de amenazas tradicionales, como los cortafuegos , los sistemas de detección de intrusiones (IDS), los entornos de seguridad de malware (seguridad informática) y los sistemas SIEM , que normalmente implican una investigación de datos basados ​​en evidencia después de que se haya producido una advertencia de una amenaza potencial. ^{[2] [3]}

Metodologías

Descripción general

En los últimos años, el mundo ha presenciado un aumento alarmante en la cantidad y la gravedad de los ataques cibernéticos, las violaciones de datos, las infecciones de malware y los incidentes de fraude en línea. Según la empresa de ciberseguridad e inteligencia artificial SonicWall, la cantidad de ataques de ransomware aumentó un 105 % a nivel mundial. Grandes corporaciones de todo el mundo han sido víctimas de violaciones de datos de alto perfil; según IBM , el costo promedio de una violación de datos ahora se estima en $4,24 millones . ^[4]

Metodologías de búsqueda de amenazas cibernéticas

La caza de amenazas ha sido tradicionalmente un proceso manual, en el que un analista de seguridad examina diversos datos utilizando su propio conocimiento y familiaridad con la red para crear hipótesis sobre amenazas potenciales, como, entre otras, el movimiento lateral de los actores de amenazas . ^[5] Sin embargo, para ser aún más eficaz y eficiente, la caza de amenazas puede automatizarse parcialmente o también con asistencia automática. En este caso, el analista utiliza un software que aprovecha el aprendizaje automático y el análisis del comportamiento de usuarios y entidades (UEBA) para informar al analista de los riesgos potenciales. Luego, el analista investiga estos riesgos potenciales, rastreando el comportamiento sospechoso en la red. Por lo tanto, la caza es un proceso iterativo, lo que significa que debe llevarse a cabo continuamente en un bucle, comenzando con una hipótesis.

• Impulsado por la analítica: "Aprendizaje automático y UEBA, utilizados para desarrollar puntuaciones de riesgo agregadas que también pueden servir como hipótesis de búsqueda"
• Impulsado por la conciencia situacional: "Análisis de la joya de la corona, evaluaciones de riesgos empresariales, tendencias a nivel de empresa o empleado"
• Basado en inteligencia: "Informes de inteligencia sobre amenazas, fuentes de inteligencia sobre amenazas, análisis de malware, análisis de vulnerabilidades"

Los analistas investigan sus hipótesis analizando grandes cantidades de datos sobre la red. Los resultados se almacenan para poder utilizarlos para mejorar la parte automatizada del sistema de detección y servir de base para futuras hipótesis.

El modelo de nivel de madurez de detección (DML) ^[6] expresa que los indicadores de amenaza se pueden detectar en diferentes niveles semánticos. Los indicadores semánticos altos, como el objetivo y la estrategia o las tácticas, técnicas y procedimientos (TTP), son más valiosos de identificar que los indicadores semánticos bajos, como los artefactos de red y los indicadores atómicos, como las direcciones IP. ^{[7] [8]} Las herramientas SIEM generalmente solo proporcionan indicadores en niveles semánticos relativamente bajos. Por lo tanto, existe la necesidad de desarrollar herramientas SIEM que puedan proporcionar indicadores de amenaza en niveles semánticos más altos. ^[9]

Indicadores

Hay dos tipos de indicadores:

1. Indicador de compromiso : un indicador de compromiso (IOC) le indica que se ha producido una acción y que se encuentra en modo reactivo. Este tipo de IOC se realiza analizando internamente sus propios datos de registros de transacciones o datos SIEM. Algunos ejemplos de IOC incluyen tráfico de red inusual, actividad inusual de cuentas de usuarios con privilegios, anomalías de inicio de sesión, aumentos en los volúmenes de lectura de bases de datos, cambios sospechosos en el registro o en archivos del sistema, solicitudes DNS inusuales y tráfico web que muestra un comportamiento no humano. Este tipo de actividades inusuales permiten a los equipos de administración de seguridad detectar a los actores maliciosos en una etapa más temprana del proceso de ciberataque .
2. Indicador de preocupación: mediante el uso de inteligencia de fuentes abiertas (OSINT), se pueden recopilar datos de fuentes disponibles públicamente para usarlos en la detección de ciberataques y la búsqueda de amenazas.

Tácticas, técnicas y procedimientos (TTP)

El Instituto SANS identifica un modelo de madurez de búsqueda de amenazas de la siguiente manera: ^[10]

• Inicial: En el nivel de madurez 0, una organización depende principalmente de informes automatizados y realiza poca o ninguna recopilación rutinaria de datos .
• Mínimo: en el nivel 1 de madurez, una organización incorpora búsquedas de indicadores de inteligencia de amenazas. Tiene un nivel moderado o alto de recopilación de datos rutinarios.
• Procedimiento: en el nivel 2 de madurez, una organización sigue procedimientos de análisis creados por otros. Tiene un nivel alto o muy alto de recopilación de datos rutinarios.
• Innovador: en el nivel 3 de madurez, una organización crea nuevos procedimientos de análisis de datos. Tiene un nivel alto o muy alto de recopilación rutinaria de datos.
• Líder: en el nivel 4 de madurez, automatiza la mayoría de los procedimientos de análisis de datos exitosos. Tiene un nivel alto o muy alto de recopilación de datos rutinarios.

Tiempo de permanencia

El tiempo de permanencia indica el lapso completo de un incidente de seguridad ( el compromiso inicial hasta la detección y limpieza completa ) o el "tiempo medio de detección" (desde el compromiso inicial hasta la detección). Según el Informe Mandiant M-Trends de 2022, los ciberatacantes operan sin ser detectados durante un promedio de 21 días (una reducción del 79%, en comparación con 2016), pero esto varía mucho según la región. ^[11] Según Mandiant, el tiempo de permanencia ^[12] puede ser tan bajo como 17 días (en América ) o tan alto como 48 días (en EMEA ). ^[11] El estudio también mostró que el 47% de los ataques se descubren solo después de la notificación de una parte externa.

Ejemplos de informes

• Gusano de semillas: grupo compromete agencias gubernamentales, empresas de petróleo y gas, ONG, telecomunicaciones y empresas de TI

Ejemplo de búsqueda de amenazas

• Búsqueda de amenazas mediante firewalls DNS y enriquecimiento de datos

Metodologías de búsqueda de amenazas

Dentro del perímetro de la red

• Búsqueda reactiva de amenazas: este método se activa a raíz de un evento malicioso, generalmente después de que se descubre una violación o un robo de datos. Los esfuerzos suelen centrarse en la investigación forense y la reparación.
• Búsqueda proactiva de amenazas: este método busca activamente eventos y actividades maliciosas en curso dentro de la red. El objetivo es detectar un ciberataque en curso. Los esfuerzos suelen centrarse en la detección y la reparación.

Fuera del perímetro de la red

• Búsqueda de amenazas externas: este método busca de forma proactiva la infraestructura de actores maliciosos para mapear y predecir dónde es probable que surjan ataques cibernéticos y preparar estrategias defensivas. Los esfuerzos se centran generalmente en el reconocimiento de amenazas cibernéticas, el mapeo de la superficie de amenazas y el monitoreo de riesgos de terceros.

Véase también

• Programa de recompensas por errores
• Defensa cibernética proactiva

Referencias

1. "Caza de amenazas cibernéticas: cómo esta estrategia de detección de vulnerabilidades ofrece una ventaja a los analistas - TechRepublic". TechRepublic . Consultado el 7 de junio de 2016 .
2. "Cadena de muerte MITRE" . Consultado el 27 de agosto de 2020 .
3. "Plataforma de inteligencia sobre amenazas en la guerra contra los cibercriminales" . Consultado el 17 de febrero de 2019 .
4. "El futuro de la ciberseguridad y la IA: cómo proteger el mundo digital". Blue Big Data . Consultado el 13 de octubre de 2023 .
5. "Inteligencia sobre amenazas cibernéticas (CTI) en pocas palabras". Medium.com . Consultado el 27 de julio de 2020 .
6. Stillions, Ryan (2014). "El modelo DML". Blog de seguridad de Ryan Stillions .
7. Bianco, David (17 de enero de 2014). "La pirámide del dolor". detect-respond.blogspot.com . Consultado el 1 de julio de 2023 .
8. Bianco, David. "La pirámide del dolor". SANS Institute . Consultado el 1 de julio de 2023 .
9. Bromander, Siri (2016). "Modelado semántico de ciberamenazas" (PDF) . Tecnología semántica para inteligencia, defensa y seguridad (STIDS 2016).
10. Lee, Robert. "Quién, qué, dónde, cuándo y cómo de una búsqueda eficaz de amenazas". SANS Institute . Consultado el 29 de mayo de 2018 .
11. "Mandian M-Trends 2022" (PDF) . Mandiant . págs. 7, 9, 12, 16. Archivado desde el original el 13 de mayo de 2022 . Consultado el 16 de mayo de 2022 .
12. En el informe M-Trends de Mandiant, el tiempo de permanencia "se calcula como el número de días que un atacante está presente en el entorno de una víctima antes de ser detectado" , lo que corresponde al "tiempo medio de detección".