Threat Hunting para Proveedores de Servicios Administrados (MSP): Cómo Superar las Barreras para Lograr una Implementación Exitosa

Establecer un programa interno de Threat Hunting presenta desafíos como:

1. Falta de experiencia humana dedicada al Threat Hunting

Solo cazadores de amenazas con experiencia pueden tomar decisiones sobre qué aspectos del análisis es necesario automatizar para la detección proactiva y para la orientaciónen el aporte y las consultas, y sobre cómo hacerlo. Estas decisiones están en constante evolución, lo que implica integrar el Threat Hunting continuo a sus flujos de trabajo de seguridad diarios. Muchas organizaciones suman esto a las responsabilidades de los analistas de seguridad que ya están sobrecargados. Por eso, las actividades de búsqueda solo se realizan si se dispone de tiempo y no se cuenta con la estructura necesaria para definir, ejecutar e implementar los aprendizajes y las observaciones.

El servicio de Threat Hunting de WatchGuard ofrece una experiencia de nivel superior y amplía las capacidades existentes del equipo de seguridad.

2. Falta de flujos de trabajo estructurados para acelerar el procesamiento

Los flujos de trabajo uniformes y estructurados son aspectos fundamentales para alcanzar el éxito al realizar esfuerzos de búsqueda. Implementar un enfoque no estructurado en las operaciones de búsqueda limita las posibilidades de tener éxito en la lucha contra amenazas organizadas y con buenos recursos.

El proceso de Threat Hunting de WatchGuard sigue una metodología de búsqueda bien estructurada para aprovechar al máximo la telemetría valiosa y de largo plazo. El proceso abarca las herramientas y los flujos de trabajo que exploran la telemetría en busca de amenazas ocultas y, al mismo tiempo, garantizan que los hallazgos de la búsqueda se aprovechen para mejorar la detección automatizada,lo que genera conocimiento para mitigar las amenazas y reducir la superficie de ataque.

3. Falta de visibilidad

Ya sea para búsqueda, investigación o análisis forense, el acceso a largo plazo a la telemetría es fundamental, de modo que la telemetría en todos los endpoints es crítica para la detección y respuesta de endpoints. Los agentes de endpoints ligeros reúnen datos sólidos y brindan visibilidad profunda para hacer posible una búsqueda, investigación y respuesta ante incidentes más precisas y rápidas durante el ciclo de protección contra amenazas.

La telemetría debe normalizarse de manera automática, almacenarse a escala y ser accesible para un análisis inmediato y uniforme. Según Ponemon Institute, en 2021 el tiempo promedio en identificar una vulneración de datos era 212 días, mientras que el tiempo promedio para contenerla era 75 días. Los buscadores de amenazas deben hacer una investigación retrospectiva de al menos 300 días; de lo contrario, podrían ser tomados por sorpresa en sus búsquedas e investigaciones.

Para WatchGuard, se necesitan 365 días de retención. Nuestros buscadores de amenazas utilizan telemetría completa en tiempo real, con visibilidad absoluta a su alcance.

4. Falta de tecnologías, herramientas e inteligencia ante amenazas actualizadas en minutos

Las soluciones efectivas de EDR requieren enormes cantidades de datos de telemetría que se recopilan de los endpoints, se enriquecen con contexto y se correlacionan para ser inspeccionados en busca de señales de ataques. Las herramientas de búsqueda de telemetría veloces y sencillas son fundamentales para que los cazadores detecten amenazas más rápido con un acelerado cambio de rumbo de las entidades, los eventos y los parámetros para identificar patrones de ataque y examinar qué sucede en los endpoints.

Los programas de Threat Hunting exitosos deben contar con información de inteligencia. La mayoría de las organizaciones que actualmente aplican Threat Hunting de manera interna operan a un bajo nivel en el modelo de consolidación de búsqueda, ya que en sus actividades de búsqueda a menudo cuentan con información de IoCs conocidos. Sin embargo, el verdadero Threat Huntinges un ejercicio proactivo e implica la búsqueda de comportamientos desconocidos para descubrir y bloquear amenazas antes de que se produzcan daños. Por eso, para lograr un éxito continuo, los buscadores de amenazas deben contar con información de inteligencia de alta calidad, en tiempo real y en contexto.

WatchGuard Unified Security Platform™ enriquece la telemetría con el servicio de Zero-Trust Application y un enorme volumen de inteligencia de amenazas actualizada en minutos, de alta calidad y contextualizada.

5. Costos impagables y complejidad

Las organizaciones observan una necesidad cada vez mayor de interceptar amenazas que evolucionan constantemente. No obstante, aquellas que intentaron establecer un programa de Threat Hunting consolidado de manera interna reconocieron rápidamente las complejidades y los costos inherentes debido a la infraestructura, las herramientas, el conocimiento, la inteligencia de amenazas y los flujos de trabajo que se necesitan.

Mantener la uniformidad en las prácticas, sin respaldo externo, suele estar fuera de alcance, incluso para los equipos de seguridad más expertos.

Obtenga más información en nuestro último libro electrónico, “Your Threat Hunting Service Program Simplified With WatchGuard” (Programa de Threat Hunting Simplificado con WatchGuard) y comience una ruta exitosa de servicio de Threat Hunting con Seguridad Avanzada de Endpoints de WatchGuard.