No hay duda de que la transformación digital está creando muchas profesiones nuevas, desde científicos de datos y arquitectos de aprendizaje automático o machine learning hasta estrategas digitales o ingenieros de la nube. Algunas de estas habilidades existían antes, pero no se consideraban un trabajo de tiempo completo.
Una de las viejas habilidades que dice tener su propia entidad en el espacio de la ciberseguridad es la caza de amenazas.
Según muchos analistas y estudios, el tiempo promedio para detectar una brecha de seguridad es de más de 6 meses, y este número va en aumento.
Los ciberdelincuentes no solo invierten mucho esfuerzo y dinero para hacerse un hueco dentro de las organizaciones. También necesitan ganar tiempo para moverse lateralmente y planificar sus actividades delictivas. Por ello, muchos de sus recursos están enfocados a diseñar engaños y estrategias encubiertas, para que las medidas tradicionales de seguridad no alerten de su presencia.
Logran sus objetivos disfrazándose de procesos y comunicaciones legítimos regulares, utilizando canales encubiertos para comunicarse con los servidores de C&C y evitando escribir nada en los discos de los equipos afectados, en lo que se conoce como ataques «file-less», una tendencia creciente de los delincuentes pandillas, muy difíciles de rastrear y contener una vez detectadas.
Pero, ¿cómo podemos detectar lo indetectable?
Lo creas o no, la astronomía puede darnos algunos consejos: cuando los físicos y los astrónomos buscan un nuevo planeta, no buscan el planeta en sí. La luz del planeta es muy débil en comparación con las estrellas que lo rodean (nuestro Sol, por ejemplo, es mil millones de veces más brillante que Júpiter). Entonces, para encontrar nuevos planetas, miran la estrella principal en su sistema y ven las sutiles perturbaciones en su velocidad causadas por la influencia del planeta «invisible» que orbita alrededor de la estrella. En otras palabras, no buscan el planeta en sí, sino los efectos que crea en los objetos que lo rodean.
Este es precisamente el trabajo de un cazador de amenazas, exprimir cada bit de información, interna o externa, que pueda obtener sobre la organización (registros, sitios externos, eventos, patrones de comportamiento, informes de tráfico, información sobre otros incidentes, etc.) en busca de signos tempranos de indicadores de que alguna de ellas puede estar comprometida.
El Threat Hunting preventivo y reactivo es cada vez más importante para detectar la presencia de ataques de día cero y actividades ilegales externas en entornos de TI complejos, así como para ayudar a la organización a contener y erradicar amenazas en caso de incumplimiento.
¿Qué constituye un buen cazador de amenazas?
No es un arquitecto, ni un auditor, ni un operador de seguridad y, Dios no lo quiera, no es un «Consultor Estratégico de Ciberseguridad» de las grandes firmas de Consultoría. Un cazador de amenazas es alguien:
- Que comprenda profundamente el nuevo contexto en torno a TI y Transformación Digital en entornos corporativos. Y por profundo me refiero a que tiene que ser alguien que pueda ir más allá del PowerPoint y la pizarra y que entienda cómo funcionan las cosas en un nivel muy bajo.
- Idealmente, posee una amplia experiencia en el campo de la Ciberseguridad. Las habilidades de integración de tecnología son importantes, pero es muy útil tener a alguien que entienda también cómo penetrar y moverse lateralmente (Pentester). Un cazador de amenazas también debe tener conocimiento de cómo operan el malware y las bandas criminales, para que pueda formular hipótesis basadas en el comportamiento criminal típico.
- Tiene que ser una persona curiosa y tomarse las cosas «personalmente». Siempre hay una nueva hipótesis para probar, y siempre es la última la que cuenta.
- Tiene que ser un profesional estructurado y disciplinado, seguir una metodología específica, capaz de documentar cada hipótesis y nunca dejar piedra sin remover.
- También necesita ser alguien que no tenga miedo de hacer hipótesis y demostrar que está equivocada. Estar equivocado es una parte esencial de Threat Hunting, pero en el momento en que se demuestra que la hipótesis es incorrecta, no debe obsesionarse con ella y comenzar a buscar en otra parte.
- Y, por supuesto, debe contar con el apoyo y la dirección de un equipo de inteligencia, que pueda informarle sobre los TTP y las tendencias de los delincuentes.
El Threat Hunting preventivo y reactivo es cada vez más importante para detectar la presencia de ataques de día cero y actividades ilegales externas en entornos de TI complejos, así como para ayudar a la organización a contener y erradicar amenazas en caso de incumplimiento. Se puede dotar de personal interno o externo como un servicio, ya que las habilidades que requiere son muy difíciles de encontrar en una sola persona.
¿Qué opinas? ¿Estás de acuerdo con la importancia de una buena estrategia de Threat Hunting? ¿Sigues buscando los planetas o estás usando formas alternativas para encontrarlos? ¿Tiene las habilidades adecuadas para Threat Hunt o está trabajando con una empresa externa para este proceso?
