¿Cómo enfocan el threat hunting los responsables de TI y sus MSP?
Las empresas son cada vez más conscientes de la importancia de crear capacidades de detección y caza que contribuyan a no poner en peligro el futuro de su negocio.
La popularidad de los servicios de threat-hunting es consecuencia de la detección de ataques cada vez más persistentes, que además duran cada vez más. Además, los ciberdelincuentes también disponen cada vez de más tácticas para evitar las medidas de defensa tradicionales. Además de detectar los ataques, cada vez es más importante intentar adelantarse a los ciberataques para reducir al máximo la brecha de detección.
En este ecosistema, el Threat Hunting destaca como una de las tendencias más importantes de los últimos años en ciberseguridad corporativa. Pero para entender por qué el Threat Hunting es un concepto tan importante hoy en día, es vital comprender exactamente qué es: una disciplina que las organizaciones deben dejar de considerar no como un nice-to-have, sino como un must-have. Debe ser una función continua, no puntual, ya que es esencial en cualquier programa de ciberseguridad robusto.
La característica más importante del Threat Hunting para los responsables de TI y sus MSPs es su enfoque: aquí hablamos de un enfoque proactivo de las amenazas. Esto significa que no se trata de una respuesta a incidentes, aunque este concepto está relacionado, ya que a partir de los resultados de la investigación y sus conclusiones, es posible establecer nuevos indicadores de ataque o compromiso. Las medidas de threat-hunting pretenden cubrir lo que las herramientas más tradicionales no pueden ver. A continuación, los cazadores de amenazas llevan a cabo sus investigaciones, que desentrañan la causa principal, obtienen una respuesta inmediata y orientan el plan de acción para reducir con éxito la superficie de ataque.
Cómo abordan el threat hunting los líderes de TI y los MSP
Hay decenas de miles de hackers en el mundo, entrenados por gobiernos, empresas de seguridad y organizaciones criminales. Llevan a cabo ataques selectivos con malware propio e incluso hacen uso de aplicaciones legítimas y goodware para permanecer ocultos.
Una de sus principales operaciones son los ataques sin malware, en los que el atacante asume la identidad del administrador tras obtener sus credenciales de red de una forma u otra y, a todos los efectos, parece ser el administrador de red haciendo su trabajo. Como no se utiliza ningún tipo de malware, los sistemas de seguridad deben ser capaces de reconocer este tipo de ataque detectando comportamientos anómalos de los usuarios en la red corporativa. Las tecnologías capaces de realizar estas tareas forman parte integrante del concepto de Threat Hunting.
Sin embargo, las organizaciones carecen del presupuesto, la tecnología, los procesos y el equipo de expertos necesarios para hacerlo desde cero. La encuesta SANS Threat Hunting Survey de este año muestra que la dotación de recursos para el threat hunting es una "pesadilla de personal cada vez mayor", ya que el 73% de los encuestados de este año afirma que uno de sus mayores retos es encontrar personal cualificado. Esto supone un aumento del 7% con respecto a 2022 y la friolera de un 43% con respecto a 2021. Esto hace imposible que la mayoría de las empresas construyan y aumenten sus defensas al mismo ritmo que evoluciona la ciberdelincuencia.
Creación de un equipo de threat hunting
Como podemos ver, está claro que la proactividad es una habilidad clave para un buen cazador de amenazas. Pero no es la única. A continuación, repasaremos las características que debe tener todo profesional del threat-hunting.
- Conocimientos técnicos: antes de emprender cualquier proceso de threat-hunting, es vital contar con profesionales con conocimientos y experiencia en ciberseguridad. Deben conocer el enfoque de las herramientas tradicionales de protección de endpoints (EPP), pero también el nuevo enfoque: Endpoint Detection and Response (EDR), que implica el uso de herramientas de monitorización en tiempo real, algo vital para el threat hunting.
- Visión corporativa y geopolítica: los ciberatacantes son cada vez más profesionales y pertenecen a organizaciones o incluso a Estados. Por ello, los cazadores de amenazas deben conocer el contexto corporativo y geopolítico que puede estar motivando estos ciberataques. Los conocimientos técnicos son fundamentales, pero cada vez es más necesario tener ideas que nos acerquen a una visión más general para adelantarnos a los ciberataques.
- Creatividad: el primer paso en el proceso de threat-hunting es crear hipótesis para buscar amenazas potenciales. Por lo tanto, el cazador de amenazas debe idear posibles escenarios, teniendo en cuenta numerosos elementos y vectores de ataque que pueden no ser tan obvios para las soluciones tradicionales de ciberseguridad.
- Dominio del método empírico: una vez creadas las hipótesis, el siguiente paso en el proceso de threat-hunting es validarlas, buscar pruebas y descubrir patrones. Estas etapas son similares a las que sigue un investigador científico. Como tales, los cazadores de amenazas necesitan comprender métodos de trabajo basados en el análisis y las pruebas. Los cazadores de amenazas no son tan diferentes de los científicos que hacen grandes descubrimientos.
Los proveedores de servicios de seguridad gestionada permiten una amplia variedad de funciones de seguridad proactiva, como la supervisión de alertas, el establecimiento de prioridades, la investigación y el threat hunting. Utilizan sofisticadas soluciones de detección y respuesta para endpoints y redes, aplicando modelos de inteligencia artificial para correlacionar y priorizar las amenazas avanzadas.
Definición de los objetivos del threat hunting
El principal reto que impide a los equipos de TI llevar a cabo el threat-hunting es el tiempo. Se necesita tiempo para buscar amenazas, recopilar datos y crear hipótesis válidas. Además, también es necesario para investigar los indicadores de ataque -IOA e IOC- y los patrones de ataque. Por ello, el tiempo es clave.
Las plataformas de threat-hunting deben ser capaces, entre otras cosas, de supervisar el comportamiento de los ordenadores, las aplicaciones que se ejecutan en ellos y, en particular, sus usuarios. Estos requisitos suponen un reto más, teniendo en cuenta que el factor humano es clave para complementar el proceso de automatización: la contratación de expertos cualificados puede ser otro proceso difícil y costoso, y la construcción o explotación de las herramientas necesarias otro gasto considerable, que muchos departamentos de TI no pueden permitirse.
Desafíos únicos del Threat Hunting para los MSP
Hay tres retos principales a los que tienen que enfrentarse: la escasa eficacia de las soluciones de seguridad que les hacen perder demasiado tiempo en alertas de falsos positivas, y la falta de habilidades y procesos de seguridad para cazar, detectar, priorizar, investigar y responder de forma eficiente.
Al añadir el threat hunting a sus arsenales, los MSP pueden ofrecer a los clientes una mejor protección y una detección de amenazas más fiable antes de que se produzca ningún daño, al tiempo que refuerzan las defensas contra cualquier ataque futuro.
Invertir en servicios de seguridad proactivos
La mayoría de los líderes de los MSP, el 62% de ellos, invierte en personal más cualificado, mientras que el 52% lo hace en mejores soluciones EDR/NDR. Se consideran la inversión más impactante para mejorar la práctica de threat-hunting especialmente para los proveedores de servicios de seguridad más grandes.
Utilizar EDR
El 73% de los MSP utilizan soluciones EDR como parte de su enfoque de threat-hunting y el 55% soluciones NDR. El 45% considera que la actividad de los endpoints es la fuente de datos más valiosa a la hora de cazar e investigar incidentes.
El informe de WatchGuard: el estado del arte del threat hunting en los MSP ofrece un análisis en profundidad de la adopción, los retos y el nivel de madurez de los MSP a la hora de proporcionar servicios de threat hunting a sus clientes.
Crear tu equipo de threat hunting con WatchGuard
WatchGuard Endpoint Security es una cartera de productos de seguridad para endpoints avanzada y nativa en la nube que protege a las empresas de cualquier tipo frente a ciberataques presentes y futuros. Su solución estrella, WatchGuard EDPR, impulsada por inteligencia artificial, mejora inmediatamente la postura de seguridad de las organizaciones. Combina las capacidades de protección de endpoints (EPP) y detección y respuesta (EDR) con Zero-Trust Application Service y Threat Hunting Service para ayudar a los MSP a proporcionar de forma eficiente servicios automatizados de prevención, detección y respuesta con servicios de threat hunting de extremo a extremo.
Nuestro Threat Hunting Service, incluido en WatchGuard EDR y WatchGuard EPDR, permite a los MSP añadir un servicio de caza como parte de su oferta. Permite la detección de amenazas antes de que se produzca el daño y mejora las defensas contra futuros ataques a sus clientes.
También puedes aprender más sobre cómo leyendo nuestro último eBook: ¿Está preparado para llevar su servicio de seguridad gestionada al siguiente nivel?e inicia tu camino de threat-hunting con WatchGuard Advanced Endpoint Security