HackMadrid %27

Threat Hunting: El proceso de búsqueda activa de amenazas

A raíz de la proliferación de herramientas especializadas, en los últimos tiempos hay una función dentro del proceso de detección de amenazas que está empezando a sonar mucho dentro de las organizaciones, es el Threat Hunting.
En el contexto actual que vivimos, en el que los ciberataques son cada vez más complejos y sofisticados, muchas organizaciones ven en la “caza de amenazas” la evolución natural de las capacidades de un “Centro de Operaciones de Seguridad” (SOC). Pero, como veremos a lo largo de este artículo, no se trata sólo de monitorizar las alertas que generan las herramientas de detección que tenemos, se trata de ir un paso más allá, de dejar de lado las acciones “reactivas”, para intentar “cazar” y “analizar” aquellas amenazas que hayan podido pasar desapercibidas a nuestros sistemas de monitorización y alerta. Para posteriormente con toda la información, poder implantar controles de seguridad, que nos permitan detectarlos.
El Threat Hunting puede ayudar en la prevención de incidentes de seguridad, en la medida en la que, la estrategia definida para la “caza de amenazas”, no esté centrada únicamente, en la búsqueda tradicional de IOC’s (indicadores de compromiso) sino en la búsqueda e investigación basada en conocer las TTPs (Tácticas, Técnicas y Procedimientos) usadas por los ciberdelincuentes en sus ataques. Entender cómo funcionan estas amenazas se convierte en algo imprescindible para poder asegurar los activos de nuestra compañía, ayudando también a los Centros de operaciones de Seguridad (SOC) a implementar los controles necesarios para su posterior detección.
Sin embargo, como se deduce de lo anteriormente explicado, el Threat Hunting es una práctica compleja y que requiere de profesionales con grandes conocimientos, así como de un grado alto de madurez en ciberseguridad dentro de la organización; como consecuencia de esta exigencia, no todas las organizaciones están preparadas para comenzar a llevar a cabo estas prácticas.

Entendiendo lo que significa Threat Hunting

Antes de empezar a desplegar una estrategia de Threat Hunting en una organización, es importante que todas las partes entiendan correctamente lo que significa “Threat Hunting”.

“Práctica realizada por analistas (y asistida por herramientas) consistente en la búsqueda de forma proactiva de amenazas que han conseguido evadir los controles de seguridad existentes”.

Aunque tras leer la descripción pueda quedarnos más claro, por desgracia, no todas las organizaciones entienden perfectamente el concepto de Threat Hunting y continúan trabajando de forma reactiva frente a alertas, en vez de buscar proactivamente amenazas potenciales en su entorno.
Así se pudo demostrar en una reciente encuesta realizada por el SANS en la que se les ha preguntado a varias organizaciones cómo hacen “threat hunting”: “Monitorizamos las alertas que provienen del EDR, e investigamos anomalías” “Supervisamos los dashboards (cuando tenemos tiempo) y si vemos algo raro o inusual, investigamos” “A partir de una alerta originada en el SIEM, recogemos los IOC’s de la plataforma y empezamos el proceso de -caza-“ “Cuando se produce una alerta, un analista investiga los archivos, máquinas, en fin.. todos los indicadores a su alcance, y comprueba que no se encuentren en otros equipos”.
Como se puede observar por las respuestas de los encuestados, una gran mayoría de ellos sigue usando enfoques reactivos a partir de alertas (threat detection). Estos enfoques, si bien, son validos como complemento a un enfoque proactivo, no se pueden denominar en si mismos procedimientos de “caza de adversarios”.

img01

Source: https://www.pandasecurity.com/spain/mediacenter/adaptive-defense/threat-hunting-por-que-necesario/

Quiero implementar Threat Hunting en mi organización, ¿por dónde empiezo?

Antes de comenzar a implantar un equipo de Threat Hunting en nuestra organización, lo primero que debemos hacer es preguntarnos si estamos preparados o no para poder llevar a cabo este tipo de actividades.
Tratar de montar de la noche a la mañana un equipo de Threat Hunting, sin tener los cimientos bien afianzados puede ser un grave error. La mejor manera de comprobar en qué punto nos encontramos, es midiendo el nivel de madurez de nuestra organización. ¿Cómo lo medimos?, pues usando el Hunting Maturity Model (HMM)

Hunting Maturity Model (HMM)

Para determinar el nivel de madurez de “hunting” de una organización, tomaremos como referencia el modelo desarrollado por David J. Bianco que describe, en base a 5 niveles, las capacidades de una organización para ejecutar tareas de Threat Hunting.
Pero antes de profundizar en esos cinco niveles, es importante considerar, al menos, tres factores que son determinantes para ir alcanzando esa madurez necesaria: La calidad y cantidad de datos (logs) recogidos Las herramientas de las que se dispone para acceder y analizar los datos El número de personas dedicadas a estas tareas Las capacidades (skills) del equipo de analistas
De los puntos anteriores, quizás el que mayor importancia tiene es el último, ya que las capacidades de los analistas son determinantes para diseñar procedimientos de “caza” adaptados al ecosistema de la organización, sin tener que recurrir a terceros. Evidentemente, la calidad y cantidad de los datos (logs) que recoge diariamente una organización, también es un factor importante para poder determinar el nivel de madurez de HMM (Hunting Maturity Model). Cuanta mayor y más variada información alrededor de la empresa tenga el analista, mejores resultados obtendrá. Pero claro, todo esto sin una buena selección de herramientas se hace complejo, por lo que la combinación equilibrada de estos tres factores son determinantes para situar a la organización en uno de los cinco niveles de madurez, como se puede ver a continuación:

img01

Source https://www.flu-project.com/2019/10/threat-hunting-de-presas-cazadores.html

HMM Nivel 0: Inicial

En este nivel, la organización todavía se encuentra en el punto en el que todavía depende de las alertas generadas por las herramientas de detección para impulsar su proceso de “hunting”. Se diferencian de las organizaciones que están en el nivel 0 en que, a menudo hacen uso de información obtenida de fuentes de inteligencia externas (abiertas y/o cerradas) en las que basan sus decisiones.
En este nivel, las organizaciones comienzan a mejorar sus procesos de recolección de información, centralizando todos sus datos en una ubicación central, normalmente un SIEM.
El disponer de la información en un punto centralizado permite que, cuando a través de fuentes de información externas llegue información de alguna campaña los analistas extraigan los indicadores de compromiso de esos informes y en base a esos datos comiencen a buscar entre los históricos de datos para averiguar si se han visto comprometidos, al menos, en un pasado cercano.
Gracias a esta capacidad de búsqueda, en este nivel se puede afirmar que se están realizando tareas de hunting, aunque sean mínimas.

HMM Nivel 2: Procedimentado

Llegados a este nivel, las organizaciones comienzan a tener cierta soltura en la aplicación de procedimientos generados por terceros, son capaces de aplicarlos y adaptarlos a su entorno y necesidades. Pero siguen sin estar en el punto de madurez suficiente como para ser capaces de crear por si mismos estos procedimientos de “caza” y como se indica, siguen basándose en playbooks de terceros.
Para poder llegar a este nivel, las organizaciones han madurado mucho sus procesos de recopilación de información de sus sistemas, y disponen de gran cantidad de datos con calidad suficiente para poder realizar investigaciones. Además, suelen contar con herramientas que les facilitan mucho la labor de búsqueda.

HMM Nivel 3: Innovador

Llegar a un nivel tres no es sencillo. A diferencia del nivel 2, en este punto de madurez las organizaciones ya son capaces de poder crear y aplicar procedimientos creados por ellos mismos.
Normalmente ya se cuenta con un equipo de varias personas dedicadas exclusivamente a esta tarea. El equipo de “caza” tiene experiencia suficiente para identificar actividades maliciosas, sabe analizar correctamente la información recibida aplicando para ello diversas técnicas.

HMM Nivel 4: Lider

La diferencia principal entre el nivel 3 y el 4 lo determina la “automatización”. A diferencia de los niveles anteriores, en este nivel de madurez la organización ha sido capaz de liberar a los analistas de la carga de ejecutar ellos mismos todos los procesos de forma manual una y otra vez.
La ventaja de poder automatizarlo, es que los analistas pueden centrar su trabajo en el diseño de nuevos procedimientos, en conocer mejor los TTP’s de los adversarios e ir mejorando el programa de “threat hunting”.

CONCLUSIONES

Seguramente muchas organizaciones, estén planteándose la definición de una estrategia de “Threat Hunting” para migrar hacia modelos más proactivos.
Identificar y erradicar las amenazas ocultas en la red corporativa, descubrir cómo entraron los ciberatacantes, y aprender a aplicar medidas y controles para prevenir futuros ataques es el camino que todas las organizaciones quieren alcanzar. No cabe duda de que ese es el camino correcto, y que el Threat Hunting puede ayudar en gran medida a conseguirlo, pero como hemos visto a lo largo del artículo desplegar estas capacidades, no es sencillo y por supuesto no todas las empresas están en el momento de madurez adecuado para llevarlo a cabo.
Diseñar un plan, y seguir un modelo de HMM como el presentado en este artículo puede ser un buen punto de partida para conseguir desplegar adecuadamente una estrategia de Threat Hunting. Pero como en todo proyecto de ciberseguridad, no hay que improvisar; es importante saber en qué punto nos encontramos y a donde queremos llegar.
En el siguiente artículo abordaremos más en profundidad los procesos que deben seguir los equipos de Threat Hunting, las herramientas y los frameworks que pueden ayudarles a realizar con eficacia su trabajo.

REFERENCIAS

Hunting Maturity Model (HMM)

AUTOR

Autor: Alejandro Aliaga Casanova Twitter: @alexaliagasec Web: https://www.linkedin.com/in/alexaliag

 

atras

Calendario de Eventos