La inestabilidad en materia de ciberseguridad viene acrecentada por la guerra de Ucrania. De hecho, se están desarrollando programas cada vez más sofisticados por parte de los actores maliciosos, capaces de poner en riesgo la estabilidad de las organizaciones y de generar un impacto económico importante. Por ejemplo, según los expertos, un ataque de ransomware puede llegar a suponer un coste de más de un millón de euros a una compañía, con independencia del sector: solo en España los efectos superan los 200.000 euros.
Pero ante este contexto, ¿estamos invirtiendo suficiente en ciberseguridad? El coste de un ciberataque es seis veces superior a la inversión que una empresa realiza en sistemas de protección; y, por otro lado, son muchas las amenazas que persisten sin ser detectadas por los especialistas.
Las organizaciones necesitan buscar soluciones disruptivas que permitan anticiparse a cualquier posible ciberataque con el objetivo de reducir los efectos negativos.
Por ello, en S21sec apostamos por el servicio threat hunting, el proceso de investigación iterativa y proactiva en las redes para detectar y aislar amenazas avanzadas que pueden evadir las soluciones de seguridad existentes.
Cazador de amenazas
Los ciberataques tienen, además, un factor impredecible. Las máquinas no son capaces de entender y ajustarse en tiempo real a lo que es el ciberataque. Por esta razón, el papel del threat hunter o cazador de amenazas es indispensable para captar de manera proactiva y eficaz las vulnerabilidades.
Asimismo, las máquinas están diseñadas para tomar decisiones por nosotros y responder según esté programado. Los ciberdelincuentes pueden modificar su manera de actuar, pero la naturaleza de las máquinas no permite que ese factor diferencial de pensamiento y razonamiento esté incorporado entre sus funciones. El humano, el especialista, aporta eso que las máquinas y las tecnologías no pueden.
Asumamos que ya estamos comprometidos y busquemos evidencias de ello
Por consiguiente, la proactividad es lo que realmente diferencia el threat hunting de medidas tradicionales de gestión de amenazas como firewalls, intrusion detection systems, sandboxing y sistemas SIEM.
Teniendo en cuenta todo esto, en S21sec somos un equipo multidisciplinar especializado que piensa como un adversario, comprendemos las amenazas y definimos las hipótesis. Sabemos identificar el estado inicial de madurez del ataque y definimos un programa de evolución para reducir el tiempo de respuesta ante el incidente.
‘Threat hunting’: objetivos
En este sentido, podemos decir que los objetivos del threat hunting son los siguientes:
- Detección de cualquier actividad maliciosa que escape de los controles tradicionales.
- Implementación de mejoras en capacidades de detection & response.
- Creación de nuevos casos de uso para la detección de incidentes.
- Reducción del tiempo de respuesta ante el incidente.
- Evaluación de las medidas de seguridad.
La metodología de threat hunting de S21sec se apoya en los frameworks de referencia del mercado, añadiendo componentes propios desarrollados a lo largo de la amplia experiencia de la compañía en investigaciones y en la gestión de incidentes críticos. Asumamos que ya estamos comprometidos y busquemos evidencias de ello haciendo uso de todas las herramientas disponibles. Y de paso, propongamos mejoras que ayuden a aumentar nuestra capacidad de detección y respuesta.
