¿Qué es la caza de amenazas?

Autor

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es la caza de amenazas?

La caza de amenazas, también conocida como caza de amenazas cibernéticas, es un enfoque proactivo para identificar amenazas cibernéticas antes desconocidas o actualmente en curso en la red de una organización.

La caza de amenazas es importante porque ayuda a las organizaciones a reforzar su postura deseguridad contra el secuestro de datos (ransomware), amenazas internas y otros ataques cibernéticos que de otro modo podrían pasar desapercibidos.

Mientras que las herramientas de seguridad automatizadas y los analistas vigilantes de los centros de operaciones de seguridad (SOC) pueden detectar la mayoría de las amenazas de ciberseguridad antes de que causen daños importantes, ciertas amenazas sofisticadas pueden eludir estas defensas.

Cuando un actor malicioso entra en un sistema, puede acechar durante semanas o incluso meses antes de ser descubierto. Según el Informe del costo de una filtración de datos de IBM, en promedio toma 194 días identificar que se ha producido una filtración de datos. Mientras tanto, los atacantes sustraen datos y roban credenciales para desbloquear más acceso. 

¿Cuánto daño pueden causar estas amenazas potenciales? Según el Informe del costo de una filtración de datos, la filtración promedio le cuesta a una empresa 4.88 millones de dólares. Cuanto más tiempo transcurra entre el acceso inicial y la contención, mayor puede ser el costo para la organización.  

La caza de amenazas eficaz implica que los equipos de seguridad busquen de forma proactiva estas amenazas ocultas. De este modo, las organizaciones pueden descubrir intrusiones e implementar medidas de mitigación mucho más rápido, reduciendo así el daño que pueden causar los atacantes.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Cómo funciona la búsqueda de ciberamenazas

Los cazadores de ciberamenazas son profesionales expertos en ciberseguridad —por lo general analistas de seguridad del departamento de TI que conocen bien las operaciones de la organización, pero a veces son analistas externos—. Los equipos de caza de amenazas utilizan la automatización de seguridad para ayudar a buscar, registrar, supervisar y neutralizar las amenazas antes de que puedan causar problemas graves.

Los programas de caza de amenazas se basan en datos—específicamente, los conjuntos de datos recopilados por los sistemas de detección de amenazas de una organización y otras soluciones de seguridad empresarial—.  

Durante el proceso de caza de amenazas, los cazadores de amenazas analizan estos datos de seguridad en busca de malware oculto, atacantes sigilosos y cualquier otro indicio de actividad sospechosa que los sistemas automatizados puedan haber pasado por alto.  

Cuando los cazadores de amenazas encuentran algo, entran en acción, erradicando la amenaza y reforzando las defensas para asegurarse de que eso no vuelva a suceder.

Tipos de caza de amenazas

Comienzan con una hipótesis basada en sus observaciones, datos de seguridad o algún otro desencadenante. La hipótesis sirve como punto de partida para una investigación más profunda sobre las amenazas potenciales.  

Las investigaciones suelen adoptar una de tres formas: caza estructurada, caza no estructurada o caza situacional.

Caza estructurada

Las cacerías estructuradas se guían por un marco formal, como el marco MITRE Adversary Tactics Technicals and Common Knowledge (ATT&CK), y buscan indicadores definidos de ataque (IoA) y las tácticas, técnicas y procedimientos (TTP) de actores de amenazas conocidos.  
Caza no estructurada

Una búsqueda no estructurada es más reactiva que una búsqueda estructurada. A menudo se desencadena por el descubrimiento de un indicador de compromiso (IoC) en el sistema de una organización. Luego, los cazadores buscan la causa del IoC y si todavía está presente en la red.  
Caza situacional o impulsada por entidades

Una búsqueda situacional es una respuesta a la situación única de una organización. Generalmente es motivada por los resultados de una evaluación de riesgos interna o un análisis de tendencias y vulnerabilidades del entorno de TI.  

Las búsquedas basadas en entidades se centran específicamente en los activos y sistemas críticos de una red. Los cazadores de amenazas identifican las amenazas cibernéticas que podrían suponer un riesgo para estas entidades y buscan indicios de compromisos en curso.  

Modelos de caza

Caza basada en Intel

La búsqueda basada en inteligencia se apoya en indicadores de compromiso (IoC) procedentes de fuentes de inteligencia sobre amenazas. Los cazadores de amenazas utilizan herramientas tales como sistemas de gestión de información y eventos de seguridad (SIEM) para supervisar los IoC conocidos, entre ellos los valores hash, las direcciones IP, los nombres de dominio y los artefactos de host. Cuando descubren IoC, investigan posibles actividades maliciosas examinando el estado de la red antes y después de la alerta.

Caza basada en hipótesis

La caza basada en hipótesis se guía por los IoA conocidos registrados en infraestructuras como MITRE ATT&CK. Este tipo de caza explorar la posibilidad de que los atacantes utilicen determinadas TTP para acceder a una red concreta. Cuando se identifica un comportamiento, los cazadores de amenazas pueden supervisar los patrones de actividad para detectar, identificar y aislar cualquier amenaza sustentada en ese comportamiento.  

Debido a su naturaleza proactiva, las cacerías basadas en hipótesis pueden ayudar a identificar y detener las amenazas persistentes avanzadas (APT) antes de que causen daños grandes.

Caza personalizada

La caza personalizada se basa en el contexto de una organización: incidentes de seguridad anteriores, cuestiones geopolíticas, ataques selectivos, alertas de los sistemas de seguridad y otros factores. Puede combinar las cualidades de las metodologías de caza basadas en inteligencia y en hipótesis.  

Herramientas de caza de amenazas

Los equipos de seguridad emplean diversas herramientas para ayudar en la búsqueda de amenazas. Algunas de las más comunes son:

Información de seguridad y gestión de eventos (SIEM)

SIEM, una solución de seguridad que ayuda a las organizaciones a reconocer y enfrentar las amenazas y vulnerabilidades antes de que puedan perturbar las operaciones comerciales. La SIEM puede ayudar a detectar ataques más rápidamente y reducir la cantidad de falsos positivos que los cazadores de amenazas deben investigar.

Detección y respuesta de endpoints (EDR) 

Software EDR, que utiliza análisis en tiempo real y automatización impulsada por IA para proteger a los usuarios finales, los dispositivos endpoint y los activos de TI de una organización contra las amenazas cibernéticas que superan las herramientas de seguridad endpoint tradicionales.

Detección y respuesta administradas (MDR) 

MDR, un servicio de ciberseguridad que supervisa y detecta las amenazas y responde a ellas en tiempo real. Combina tecnología avanzada y análisis de expertos para impulsar la caza proactiva de amenazas, permitir respuestas eficaces a incidentes y llevar a cabo una rápida corrección de las amenazas.

Analytics de seguridad

Estos sistemas ofrecen insights más profundos sobre los datos de seguridad al combinar big data con sofisticadas herramientas de machine learning e inteligencia artificial. Los analytics de seguridad pueden acelerar la caza de amenazas cibernéticas proporcionando datos de observabilidad detallados.

Caza de amenazas versus inteligencia de amenazas

La inteligencia de amenazas, también llamada “inteligencia de ciberamenazas”, es información detallada y aplicable en la práctica que las organizaciones pueden utilizar para prevenir y combatir las amenazas de ciberseguridad.

La inteligencia de amenazas ofrece a las organizaciones insights sobre las últimas amenazas dirigidas a sus redes y el escenario de amenazas más amplio. 

Los cazadores de amenazas utilizan la inteligencia de amenazas para realizar búsquedas exhaustivas y sistemáticas en busca de actores maliciosos. En otras palabras, la caza de amenazas comienza donde termina la inteligencia de amenazas. Convierte los insights de la inteligencia de amenazas en acciones concretas necesarias para erradicar las amenazas existentes y prevenir ataques futuros.
Soluciones relacionadas
Servicios de gestión de amenazas

Predecir, prevenir y responder a las amenazas modernas, aumentando la resiliencia del negocio.

 

 Explore los servicios de gestión de amenazas
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 Explorar las soluciones de detección de amenazas
Soluciones de defensa contra amenazas móviles (MTD)

Proteja su entorno móvil con las soluciones integrales de defensa contra amenazas móviles de IBM MaaS360.

 Explore las soluciones de defensa frente a amenazas móviles
Dé el siguiente paso

Obtenga soluciones integrales de administración de amenazas, protegiendo de manera experta su negocio contra ataques cibernéticos.

 Explore los servicios de gestión de amenazas Reserve una sesión informativa centrada en las amenazas