Threat Hunting: De presas a cazadores

Buenas a todos, en el post de hoy vamos hablaros de una actividad que cada vez va cobrando mayor relevancia en aquellas organizaciones que presentan un nivel de madurez alto en la capacidad de detección y respuesta, el Threat Hunting.

¿Que es el Threat Hunting?

El Threat Hunting es una actividad de defensa activa, basada en la búsqueda iterativa y proactiva a través de la red, con el fin de detectar y aislar amenazas avanzadas que están evadiendo las soluciones y controles de seguridad existentes.

Para esta actividad, nace la figura del Threat hunter, un analista de amenazas de ciberseguridad que utiliza métodos proactivos para descubrir incidentes de seguridad que no están siendo detectados.

Nivel de madurez

Antes de empezar a realizar cualquier campaña de Threat Hutning, hay que plantearse si nuestra organización esta preparada o no para realizar este tipo de actividades, y para ello, lo primero es determinar nuestro nivel de madurez.

El nivel de madurez vendrá definido por una serie de factores como son:

• La cantidad y calidad de los datos que se recopilan de nuestra infraestructura TI.
• De qué manera se pueden visualizar y analizar los diferentes tipos de datos recopilados.
• Qué tipo de análisis automatizado se puede aplicar a los datos para mejorar la información que reciben los analistas

Ciclo de caza

El ciclo de caza, es el proceso mediante el cual vamos a poder realizar nuestras operaciones de cacería:

1.- Toda cacería comienza con la creación de una hipótesis sobre algún tipo de actividad que podría estar ocurriendo en la organización. Ejemplos:

• Los usuarios que han viajado recientemente al extranjero tienen un riesgo elevado de ser objetivo de actores maliciosos patrocinados por el estado, por lo que pueden comenzar su búsqueda planeando buscar indicadores de compromiso en sus portátiles o asumiendo que sus cuentas han sido comprometidas para ser utilizadas en la red.
• Búsqueda de movimientos laterales dentro de la red mediante técnicas de Pass the Hash (Método de autenticación sin necesidad de conocer la contraseña, solo se necesita el hash).

2.- En segundo lugar, las hipótesis se investigan a partir de diversas fuentes y técnicas:

• Fuentes como:
• Alertas de usuarios
• Informes de amenazas externas e internas
• Todo tipo de Logs: firewalls, IDS,  aplicaciones, proxies, bases de datos de malware, etc.
• Técnicas como :
• Búsqueda
• Clustering
• Grouping
• Stack Counting

3.- Las herramientas y técnicas descubren nuevos patrones maliciosos de comportamiento y TTPs . Esta es una parte crítica del ciclo de caza. Un ejemplo de este proceso podría ser:

• Una investigación previa reveló que una cuenta de usuario se estaba comportando de manera anómala, y que la cuenta generaba una gran de tráfico saliente. 
• Después de realizar esta investigación, se descubre que la cuenta del usuario se vio comprometida inicialmente a través de un exploit dirigido a un proveedor de servicios externo de la organización.
• Este TTP (compromiso inicial a través de un sistema de terceros a través de un tipo particular de malware) debe registrarse, compartirse (tanto interna como externamente) y rastrearse dentro del contexto de una campaña de ataque mayor. 

4.- Por último, las búsquedas exitosas forman la base para informar y enriquecer los análisis automatizados. Una vez que encuentre una técnica que funcione para encontrar amenazas, hay que automatizarla mediante su análisis para que su equipo pueda continuar concentrándose en la próxima nueva cacería. No hay que hacer perder el tiempo del equipo de hunting en realizar las mismas cacerías una y otra vez, por lo que en la optimización, está la clave.

En próximos artículos iremos profundizando en este apasionante tema.

Un saludo y happy hunting!!!!

Referencia: https://en.wikipedia.org/wiki/Sqrrl