’Threat Hunting’: servicios cada vez más populares en las empresas
La popularidad de dichos servicios es consecuencia de detectar ataques cada vez más persistentes con una persistencia análoga en el tiempo.
Que las cosas están más cada vez más feas en esos mares de lo digital es tan cierto como que el sol sale por el oriente y se pone por el occidente Sólo hay que echar mano del informe 2018 Threat Hunting Survey (SANS) para cerciorarnos de que el 43% de las compañías ya lleva a cabo operaciones de Threat Hunting de manera continuada como parte de su estrategia de prevención de ciberriesgos, mientras que el 65% prevé una mayor inversión en herramientas de este tipo en los próximos dos años. Es más, cuando las empresas advirtieron o se encontraron con nuevas amenazas que podían desembocar en ciberataques, el 49% de ellas observó que la mayoría de aquellas amenazas eran desconocidas hasta el momento. Llegan, cada vez más rápido y más dañinas, pero ¿de dónde? ¿Cuál es su origen?
Y para eso ha llegado el Threat Hunting, unas técnicas de seguridad avanzadas que se pueden definir como el proceso de búsqueda iterativa y proactiva a través de las redes para detectar y aislar amenazas capaces de evadir las soluciones de seguridad existentes.
Unos servicios que son especialmente efectivos “cuando las soluciones de seguridad instaladas no han conseguido detener un ataque, ya que no sólo se consigue detenerlo, si no que sirve para aprender cómo se ha producido y los vectores de ataque utilizados, permitiendo adelantarse a futuros ataques y evitarlos con éxito”, detalla Josep Albors, responsable de Concienciación e Investigación en ESET España.
Ahora, ¿qué los hace tan especiales y, a la vez, diferentes? Desde Panda Security lo tienen claro: “La proactividad es lo que realmente diferencia el Threat Hunting de medidas tradicionales de gestión de amenazas como firewalls, intrusion detection systems (IDS), sandboxing y sistemas SIEM. Todas estas medidas implican una investigación después de que se haya producido una alerta de un ataque potencial o un incidente de seguridad. Es decir son medidas reactivas, no proactivas”, admiten desde aquel especialista en seguridad.
Es más, la proactividad es muy importante en las soluciones de ciberseguridad avanzadas. El cambio de enfoque de EPP (Endpoint Protection) a EDR (endpoint detection and response) significa que existe una telemetría en tiempo real, lo que es fundamental para poder realizar el Threat Hunting.
Y que se trata de una herramienta que cada día que pasa interesa a más empresas lo refrenda estas palabras de Josep Albors: “Por el momento, en el caso de ESET, el servicio va asociado a una nueva herramienta EDR que tenemos en proceso de lanzamiento en el mercado nacional. Sí es verdad que las pocas empresas de confianza a las que les hemos presentado sus características, tanto de la herramienta como del servicio, han demostrado un alto grado de interés y ya tienen en marcha sus pruebas de concepto. Estamos hablando de convertir nuestra defensa en proactiva en lugar de reactiva, como los software de seguridad tradicionales, por lo que existe una tipología clara de cliente que necesita de herramientas de este tipo”.
La diferencia
Nos preguntábamos antes, líneas más arriba, que qué es lo que hacía diferente a esta nueva tendencia en seguridad. Y el propio Albors no duda en darnos la respuesta: “Sin duda alguna, el hecho de tener un enfoque proactivo frente a las amenazas en lugar de únicamente reactivo. Esto permite detectar ataques analizando, por ejemplo, comportamientos anómalos o modificaciones de archivos fuera de lo común. También se requiere de mayores conocimientos para poder gestionar un servicio de Threat Hunting de forma efectiva, aunque las herramientas ya existentes en el mercado facilitan esta tarea a los analistas encargados de detectar ataques”.
Pues la clave del Threat Hunting reside, precisamente, en su proactividad, ya que actúa de manera preventiva e iterativa para localizar las nuevas amenazas, diseñar posibles respuestas y, de este modo, neutralizarlas y evitar que evadan la ciberseguridad de una empresa.
Pero también lo advertíamos antes cuando preguntábamos por el interés de las empresas en esta nueva tendencia. No en vano, no todas trabajan en esa línea. “Según el informe de SANS, el 37,3% actúa de manera reactiva, cuando la amenaza ya se ha producido, ya es visible o desde la compañía se tiene una sospecha fundada de ella —alimentan desde Panda Security—. Es más, el informe revela que, de los dos tipos de empresas que más frecuentemente recurren al Threat Hunting, el segundo es el de las compañías que previamente sufrieron un ataque que les ha obligado a reforzar su lucha contra el cibercrimen.
En cualquier caso, a la hora de abordar el Threat Hunting, según el mencionado informe, el 90,3% de las empresas consultadas recurre a herramientas estándares, aunque crecen las que trabajan con herramientas customizables (61,9%) y las que recurren a soluciones tecnológicas de compañías expertas en ciberseguridad (32,5%).
En consecuencia, y visto lo visto, “es un poco pronto para evaluar si representará un cambio importante. Evidentemente, es un concepto novedoso e interesante, pero debemos tener en cuenta que se trata de un proceso no automatizado por lo que su validez es relativa”, comenta José de la Cruz, director técnico de Trend Micro Iberia, al respecto.
Puede leer aquí el reportaje completo.
