El Threat Hunting, o caza de amenazas cibernéticas, es el proceso de búsqueda proactiva en redes para identificar amenazas que evaden las soluciones de seguridad ya implementadas por una organización.

Este trabajo complementa las herramientas automatizadas presentes en el entorno y debe ser realizado por cazadores de amenazas humanos que puedan pensar como lo haría un atacante.

Sin embargo, el éxito de una iniciativa de Threat Hunting depende de la calidad de los datos disponibles. Idealmente, una empresa ya debería emplear soluciones de seguridad de endpoints (EDR o XDR) y sensores de red que monitoreen todo lo que sucede dentro de la red. Todos estos datos deben estar disponibles en un sistema de gestión para facilitar el acceso, pero el cazador puede ir más allá de lo que está fácilmente disponible en estos sistemas, si es necesario.

¿Por qué es necesario el Threat Hunting?

El Threat Hunting se asocia frecuentemente con los desafíos que plantean las Amenazas Persistentes Avanzadas (APT). Este término describe a los atacantes sofisticados que realizan ataques dirigidos – es decir, eligen sus objetivos y ajustan sus estrategias en consecuencia. Esto contrasta con los ataques oportunistas que no buscan un objetivo particular y no son únicos.

Los adversarios con APT pueden utilizar herramientas personalizadas e implantar malware diseñado para derrotar o evadir las soluciones de seguridad presentes en el entorno (también pueden pasar desapercibidos cuando los equipos de seguridad no tienen tiempo para revisar todas las alertas de seguridad). De este modo, logran infiltrarse en una red corporativa sin ser detectados.

Mientras que en el pasado se consideraba que estas amenazas avanzadas eran raras – y a menudo se asociaban exclusivamente con agencias de inteligencia y otros actores estatales – ya no es así.

El aumento del ransomware y el fraude realizado con datos corporativos ha llevado a un cambio en el comportamiento de los delincuentes comunes. En lugar de defraudar a individuos directamente, los delincuentes han desarrollado esquemas que incluyen robo de identidad, extorsión, compromiso de correos electrónicos corporativos y otros tipos de fraude, haciendo que los datos corporativos sean más valiosos que antes.

Con este nuevo enfoque, estos adversarios ahora también ven razones para elegir y estudiar sus objetivos, que suelen ser empresas. Quieren asegurarse de que puedan permanecer en la red el mayor tiempo posible, exfiltrando datos mientras puedan o moviéndose lateralmente para desplegar ransomware de la manera más destructiva posible.

En otras palabras, los atacantes podrían estar buscando específicamente evitar las herramientas automatizadas e incluso los esfuerzos de inteligencia de amenazas basados en el intercambio de datos al hacer algo único en cada uno de sus objetivos. Al introducir un elemento humano en las defensas de la red, el cazador de amenazas puede detectar, aislar y neutralizar estas amenazas antes de que causen daños graves.

La relevancia de los datos para el Threat Hunting

Como el Threat Hunting busca descubrir la presencia de un adversario que aún no ha sido detectado, no hay una respuesta definitiva sobre cuándo se debe descartar una línea de investigación.

El Threat Hunting puede ser un esfuerzo continuo y permanente, y no encontrar amenazas es algo esperado cuando no hay amenazas que encontrar. Cuando los datos no están disponibles o no son confiables, la búsqueda puede demorar más o producir resultados inexactos que conduzcan a conclusiones erróneas.

Para garantizar que el proceso de búsqueda sea robusto y exhaustivo, los analistas deben buscar fuentes de datos de alta calidad, tanto internas como externas a la organización.

Ciberseguridad externa y Threat Hunting

La plataforma Axur está introduciendo una solución de Threat Hunting para brindar a los cazadores de amenazas el poder de consultar los datos recopilados por nuestra plataforma utilizando los criterios de búsqueda que más necesitan, con fuentes externas.

Muchas credenciales corporativas se venden en la Dark Web. Estas combinaciones de usuario/contraseña pueden ser utilizadas para infiltrar una red (incluyendo VPNs y plataformas web utilizadas por trabajadores remotos). Un cazador de amenazas puede usar esta información para buscar actividad maliciosa en la red y encontrar cualquier amenaza que haya pasado desapercibida, incluyendo el malware que puede haber robado esta información en primer lugar.

Por esta razón, los nombres de usuario, nombres de dominio y URLs de inicio de sesión son todos buscables en nuestra solución.

Nuestra solución de Threat Hunting también puede ser utilizado en escenarios de respuesta a incidentes o forenses. Una consulta en nuestra plataforma puede ayudar a identificar qué credencial fue utilizada por un atacante, o que alguien estaba usando una tarjeta de crédito robada y cuándo fue vista esa tarjeta.

Aunque las fuentes de datos en la Deep & Dark Web no siempre son confiables, pueden ser lo suficientemente precisas para determinar cómo se obtuvo una información (una fuga de datos o un malware que roba credenciales, por ejemplo).

Los programas que roban credenciales a menudo informan la dirección IP y el sistema operativo de la computadora de la cual se robaron los datos. Esta información es útil cuando los cazadores de amenazas necesitan saber si un sistema estuvo presente en la cadena de ataque y dónde estaba conectado, por lo que nuestra solución incluye un operador de búsqueda para ambos campos.

Aunque la plataforma Axur es una solución de ciberseguridad externa, puede y debe apoyar la ciberseguridad interna, incluyendo los valiosos esfuerzos de Threat Hunting necesarios para combatir las amenazas más desafiantes de la actualidad.