Ciclos de Threat Hunting para Proveedores de Servicios Administrados (MSP): Lo Ayudamos a Capitalizar la Oportunidad
Cuando se trata analizar operaciones de threat hunting, las actividades detrás de estas pueden ser abrumadoras o incluso imposibles de realizar sin los datos, la tecnología, los procesos y la experiencia necesarios.
Las operaciones de threat hunting pueden agruparse de manera amplia en uno de los siguientes tres espacios claves:
- El enfoque impulsado por análisis. Utilizando métodos estadísticos, el proceso real de threat hunting, a menudo, implica examinar valores atípicos y realizar análisis sistemáticos para detectar algo que no se haya visto antes, o bien, irregularidades que podrían ser malintencionadas conforme a datos de la línea de base del entorno.
- El enfoque basado en hipótesis es donde los buscadores de amenazas de jerarquía tienen la oportunidad de ser creativos y pensar como los adversarios. Implica desarrollar y probar teorías sobre el lugar y la forma en que un atacante determinado podría intentar operar, moverse por la red y valerse de los recursos sin ser visto hasta que define el mejor momento para atacar.
- Por último, el enfoque basado en inteligencia es el tipo de operación más común e implica utilizar inteligencia sobre amenazas actualizada al instante para buscar indicios de intrusiones en los datos históricos.
La aplicación de inteligencia sobre amenazas para threat hunting no debería limitarse a los indicadores de peligro (IoC). Más imprescindible para los buscadores de amenazas es una clase de inteligencia sobre amenazas conocida como “herramientas, técnicas y procedimientos” (TTP). Las TTP se pueden definir como “patrones de actividades o métodos asociados con una amenaza o grupo de amenazas específicas”.
En comparación con los IoC, el sistema TTP resulta mucho más difícil de alterar para los atacantes. Los adversarios reutilizan sus TTP en diferentes ataques mientras cambian los binarios o la infraestructura comando y control (C&C). Cambiar una dirección IP C&C es sencillo. Sin embargo, cambiar el protocolo de comunicación en uso es mucho más desafiante porque requiere un enorme esfuerzo de programación. El framework MITRE ATT&CK intenta asignar este conjunto de TTP a algo utilizable.
El Servicio de Threat Hunting de WatchGuard como Extensión de su Equipo
Un enfoque colaborativo y coordinado es la clave para detener las intrusiones en la actualidad y brindar a sus clientes el nivel más alto de seguridad administrada sin problemas.
Nuestro Servicio de Threat Hunting, que se incluye en WatchGuard EDR y WatchGuard EPDR, le brinda una herramienta poderosa que permite la detección temprana de técnicas comunes de living-off-the-land, lo que reduce el tiempo de permanencia y mejora las defensas contra futuros ataques.
Nuestros partners pueden expandir sus servicios aprovechando los resultados del Servicio de Threat Hunting al validar los indicadores de ataque (IoA) y responder al ataque.
WatchGuard EDR y WatchGuard EPDR pueden notificar a los partners de manera inmediata cuando aparece un nuevo IoA. Estos incluyen una lista de acciones recomendadas para bloquear, subsanar y evitar ataques futuros a través del uso de los mismos conjuntos de TTP como punto de partida para los partners.
Además, cada IoA se asigna al framework MITRE ATT&CK™ (una base de conocimiento de acceso global de tácticas y técnicas del adversario que se basa en observaciones del mundo real) para ayudar a mejorar la productividad de los analistas al validar los IoA identificados en las consolas de administración de WatchGuard EDR y WatchGuard EPDR.
¿Quiere saber más sobre el Servicio de Threat Hunting? Descargue el libro electrónico “Programa de Threat Hunting Simplificado con WatchGuard” e inicie el camino del servicio de threat hunting con Seguridad Avanzada de Endpoints de WatchGuard.
