Pedro Rubio_WatchGuard Technologies
Pedro Rubio Senior Sales Engineer WatchGuard Technologies

Detener las amenazas avanzadas: una táctica clave para los MSSP

Los actores de las amenazas actuales acechan en Internet (tal vez incluso en su propia red), perfeccionando constantemente sus técnicas de hacking y esperando el momento perfecto para atacar a su objetivo. Los atacantes experimentados, generalmente, no necesitan desplegar malware durante las primeras etapas de un ataque, sino que implementan herramientas como software instalado, configuraciones erróneas o componentes del sistema operativo para atacar a sus víctimas.

En parte debido a esto, incluso la detección de amenazas más avanzadas (que a menudo identifica los ataques solo después de que hayan comenzado) podría quedarse corta para mantener a las organizaciones protegidas. Para desarrollar una estrategia de defensa más sólida, las entidades deben ser más proactivas en su enfoque utilizando técnicas como el threat hunting. El objetivo de este es predecir y detener los ataques mediante el análisis de las redes, los datos y los endpoint para identificar la actividad sospechosa que las soluciones tecnológicas existentes pueden pasar por alto.

Aunque estas soluciones basadas en la tecnología siguen siendo fundamentales en los planes de ciberseguridad, el threat hunting requiere un enfoque más centrado en el ser humano para ser eficaz de cara a detener las amenazas avanzadas. Esto proporciona a las organizaciones la capacidad de moverse más rápido que la amenaza, a menudo deteniendo los ataques antes de que comiencen.

Sin embargo, suelen surgir ciertos retos cuando las organizaciones intentan introducir un programa de threat hunting. Como se descubrió en una reciente encuesta de Pulse, más de la mitad de las organizaciones de TI se enfrentan a limitaciones presupuestarias y a la falta de experiencia en ciberseguridad a la hora de establecer una estrategia de threat hunting. Con obstáculos como estos, ¿es de extrañar que las organizaciones se dirijan a los proveedores de servicios gestionados (MSSP) para que se encarguen de sus actividades de threat hunting?

Una oportunidad para detener las amenazas avanzadas

Esta es una gran oportunidad para que los MSSP puedan detener las amenazas avanzadas. El threat hunting puede añadir un valor increíble a las posturas de ciberseguridad de sus clientes, por ejemplo:

  • Respuesta rápida a las amenazas. Un enfoque humano mejora los controles tecnológicos existentes antes de que se produzca una infracción.
  • Reducción del tiempo de investigación. Las amenazas pueden pasar desapercibidas durante meses o, a veces, incluso más. El threat hunting reduce el tiempo de permanencia y es esencial para desbaratar las brechas de forma fiable.
  • Mejor información para los equipos de seguridad. Cuando se lleva a cabo correctamente, una iniciativa de threat hunting con éxito dota a los equipos de seguridad de información eficaz para ayudar a recopilar datos importantes que permitan a los equipos descubrir las mejores prácticas y evitar futuras amenazas.
  • Superficies de ataque minimizadas y mejor detección automatizada. El threat hunting identifica nuevos patrones, lo que ayuda a las organizaciones a mejorar las capacidades de detección, dejando a las amenazas sin ningún lugar donde esconderse.

Para adoptar correctamente el threat hunting, las organizaciones (incluidos los MSSP) deben reconsiderar su mentalidad en materia de seguridad, mirando más allá de la prevención y la respuesta a incidentes hacia un modelo de respuesta proactivo y actualizado. Esto comienza con la suposición de que las organizaciones ya han sido vulneradas y que requieren una supervisión y una reparación permanentes.

Además, debe haber un nivel excepcional de visibilidad en cualquier programa exitoso de threat hunting. En cualquier momento, los usuarios y los endpoint están generando una valiosa información de telemetría sobre lo que está ocurriendo en una organización. Aunque la mayor parte de esta telemetría se refiere a la actividad legítima, las tecnologías avanzadas, como el análisis del comportamiento y el Machine Learning, pueden descubrir comportamientos anormales que apunten a una actividad sospechosa, lo que a su vez activa una alerta de seguridad. Este proceso se basa en el análisis automatizado y requiere tecnologías, procesos y recursos específicos para realizarse correctamente.

El threat hunting se ejecuta junto con este flujo de trabajo. La función principal es utilizar las consultas del océano de datos y las herramientas específicas para obtener información de la telemetría y automatizar nuevos análisis deterministas. En el threat hunting, los equipos de seguridad también pueden aplicar estos nuevos análisis a la telemetría, así como poner en contexto las señales débiles para agilizar la identificación de los ataques reales.

Mejor protección

Mientras que las organizaciones consideraban el threat hunting como algo bueno para detener las amenazas avanzadas que tener en sus listas de deseos, se está convirtiendo rápidamente en algo imprescindible en todos los sectores. Teniendo en cuenta la rapidez con la que crecen las amenazas, la búsqueda ya no es una opción, sino un requisito para que todas las organizaciones mantengan a los usuarios y los datos confidenciales a salvo. Con la incorporación del threat hunting a su cartera de servicios, los MSSP pueden ofrecer a sus clientes este nivel de protección más fuerte y una detección de amenazas aún más fiable. Todo ello antes de que se produzcan daños, al tiempo que se fortalecen las defensas contra futuros ataques.

El threat hunting requiere un enfoque más centrado en el ser humano para ser eficaz

El dicho «el tiempo es oro» se aplica realmente a los ciberataques, y cuando se produce uno, el reloj empieza a correr. Así que, ¿por qué no ser proactivo en lugar de adoptar un enfoque reactivo? Recuerde, los adversarios pueden estar acechando en su red o amenazando con entrar en ella utilizando métodos cada vez más sofisticados para alcanzar su objetivo. En pocas palabras, a menudo no es necesario que los adversarios desplieguen malware en las primeras etapas del ataque. Suelen tener todas las herramientas que necesitan para introducirse en la red y moverse lateralmente para instrumentalizar las aplicaciones legítimas presentes en los endpoint y ejecutar un ataque de tipo living-off-the-land.

Esta tendencia presenta graves desafíos para los programas de seguridad de las organizaciones. Conviene destacar, por tanto, la importancia de utilizar una combinación de control basado en la tecnología con la caza proactiva dirigida por el ser humano para garantizar que la organización se mueve más rápido que la velocidad de la amenaza, permaneciendo bien protegida y resiliente.