- El threat hunting es la búsqueda activa de amenazas potenciales que pongan en riesgo la seguridad de una red cibernética
Qué es el threat hunting
El threat hunting es la búsqueda activa de amenazas potenciales que pongan en riesgo la seguridad de una red cibernética.
Esta estrategia tiene como objetivo identificar, evaluar y neutralizar los peligros para garantizar el buen desempeño de un sitio, plataforma digital o espacio de trabajo virtual.
Consiste en la búsqueda de amenazas iterativamente a través de redes para detectar indicadores de compromiso (IoC) y amenazas como Advanced Persistent Threats (APT) que eluden su sistema de seguridad.
Los expertos en ciberseguridad utilizan software y herramientas de búsqueda de amenazas para localizar e interceptar ataques ocultos.
Si tenemos en cuenta que hasta el 20 % de las amenazas no son detectadas por herramientas de seguridad automatizadas como antivirus o firewalls, resulta lógico que muchas empresas incorporen a su plantilla equipos threat hunters que mitiguen los efectos de los ataques y mantengan seguros sus datos.
Característica principal
La característica más importante del threat hunting es su enfoque. Hablamos de un enfoque proactivo frente las amenazas y esto quiere decir que no es una respuesta ante incidentes, aunque sí están conectados, ya que a partir de los resultados de la investigación y las conclusiones es posible establecer nuevos indicadores de ataque o de compromiso.
Las medidas de threat hunting tratan de suplir lo que las herramientas más tradicionales no pueden ver.
Etapas del threat hunting
Estas son las tres etapas de la caza de amenazas:
Búsqueda
Las empresas con presencia digital siempre están expuestas a peligros, hecho que exige mantener un equipo de detección de amenazas que supervise constantemente programas, plataformas y redes.
Investigación
Se investiga dónde se ubican las amenazas, de dónde vienen y cómo actuar. Es recomendable que, antes de actuar, se cree un mapa de la extensión de la amenaza y de los cambios registrados en su sistema.
Resolución
En el threat hunting, la fase de resolución hace referencia a la planificación estratégica de la respuesta, no a la solución en sí misma. Las amenazas digitales, virus, malware y spam cambian constantemente y hay que mantenerse actualizado en ciberseguridad.
Las organizaciones que practican threat hunting operan bajo el concepto de “asumir la brecha”. Estas organizaciones buscan mejorar su postura de seguridad reduciendo el riesgo de que los atacantes y su actividad maliciosa interrumpan, dañen o roben activos de la organización. Para ello, identifican la presencia de estas actividades los antes posible, minimizando así la oportunidad de que los adversarios permanezcan activos bajo el radar por mayor tiempo, y provocando directamente un refuerzo de visibilidad, monitoreo y detección en las soluciones de seguridad ya existentes.