Si como responsable de ciberseguridad te estás haciendo la pregunta que titula este artículo, significa que ya has oído hablar del tema. Quizá algún fabricante te ha contado las ‘bondades’ de su solución y tú lo primero que has pensado es: «otro lío en el que me tengo que meter, ¿o quizá no?».
Podría ayudar a despejar muchísimas dudas saber qué es el threat hunting, cuál debería ser su función, por quién puede ser ejecutado, qué dificultades te puedes encontrar desde el punto de vista tecnológico y de despliegue y qué resultados deberías poder obtener a través ella. Vamos a ver si, mediante este artículo, te ayudo a despejar todas esas dudas, o por lo menos una gran parte.
Bajo mi punto de vista, threat hunting es una labor, eminentemente técnica, de búsqueda de la amenaza sin tener la certidumbre de que ésta se encuentre en tu entorno TI. Dicha acción debe ejecutarse desde un prisma de visión que implica tener un profundo conocimiento de qué se busca y ser capaz de plantearse una hipótesis de trabajo (que se antoja la parte más complicada) que, a través de la tecnología, puede dar unos resultados satisfactorios o no. Y al día siguiente, repetir la tarea habiendo planteado una hipótesis diferente. A nuevas amenazas-y-vulnerabilidades, que podrás conocer por tus medios, por servicios de threat intelligence o incluso leyendo el periódico, toca plantear nuevas hipótesis. Así conseguirás crearte tu catálogo de amenazas-y-vulnerabilidades y ser capaz de medir el riesgo real que suponen para la organización.
Si tienes un incidente localizado, trata de conceptualizar por qué ha sucedido, no qué ha ocurrido
Ahora es cuándo piensas: «¡Ajá!, éste dice que me plantee hipótesis de amenazas-y-vulnerabilidades, como si fuese algo tan sencillo; pero ¿cuáles? ¿cuántas?». Esta respuesta es muy sencilla: las que no te vuelvan loco. En este mundo nuestro de la seguridad, ser un paranoico suele tener premio; pero el nivel de paranoia que puedes desarrollar haciendo threat hunting es elevado. Ese altísimo nivel va a lograr que tengas a tu equipo técnico loco buscando una amenaza que, según alguien dice, le ha ocurrido a alguien (y ése alguien tiene interés en venderte su producto; digamos, al azar, un antiAPT) y que no ha circulado por tus sistemas, ni se la espera. Pero tú, por tu expertise en el trabajo, sí conoces cosas que te han ocurrido y que te interesa buscar periódicamente (spear phishing a tus empleados es un buen ejemplo), o también puedes plantear búsquedas acerca de aquello sobre lo que has tenido que hacer forenses. Con el tiempo, podrás hacer cada vez más complejas las actuaciones y volverás a lidiar con otro clásico de nuestra industria, el falso positivo.
Cuando tengas un incidente localizado, trata de conceptualizar por qué ha sucedido, en lugar de qué ha ocurrido (datos robados, número de equipos infectados). Si lo haces, estarás tratando de hacer forense con herramientas y metodologías que no son propias de esa actividad. Es cierto, las herramientas se parecen y es fácil poder confundirte, lo que te puede llevar a exagerar el impacto de la supuesta amenaza dentro de tu entidad. Todo lo que parezca sospechoso relacionado con el incidente será considerado parte de él; perseguirás fantasmas que consumen recursos y tiempo.
¿Qué tecnología compro?
El threat hunting ha llegado al sector para quedarse. La mayoría de fabricantes ya tienen tecnología lista ampliando las capacidades de los agentes de endpoint protection, con un producto específico o una combinación de varias tecnologías. Prácticamente todas las organizaciones cuentan con tecnología en el puesto y servidor de protección de un determinado fabricante. Las nuevas soluciones de EDR (creo que son una gran mayoría) pueden convivir con nuestro antivirus tradicional de toda la vida. El despliegue te dará los mismos quebraderos de cabeza (o no) que te daría la solución de endpoint, por lo que no debería ser nada traumático.
‘Threat hunting’ ha llegado para quedarse. La mayoría de fabricantes ya tienen tecnología lista ampliando las capacidades de los agentes de ‘endpoint protection’, con un producto específico o una combinación de varios
Un punto importante a tener en cuenta es que hay soluciones en las que la telemetría del puesto no se almacenará en el data center, sino que lo hará en cloud. La cantidad diaria de datos a recoger es inmensa y cada día va en aumento, por lo que parece inteligente que lo soporte la nube del fabricante para que la información esté disponible y se pueda consultar en cualquier momento. Porque si no tienes toda esa cantidad de datos, no podrás detectar anomalías, con lo que la gracia de hacer threat hunting decaerá. A mayor cantidad de diferentes datos del puesto, más sencillo será detectar comportamientos extraños, porque como todos sabemos «la información es poder». Si además la solución tiene capacidades de UEBA (User and Entity Behavior Analytics), mejor. Hasta ahora las capacidades que yo he visto son reducidas, pero muy interesantes, en los fabricantes que las ofrecen. Pero bueno, nada que machine learning e Inteligencia Artificial no nos vayan a solucionar en los próximos dos trimestres y para siempre (nótese la ironía, amable lector).
Por último, y no menos importante en la decisión surge la pregunta: ¿lo hago yo o lo externalizo? Pues como todo, depende. Hacerlo internamente es siempre interesante ya que te permite tener el control y el conocimiento de lo que ocurre en la propia organización. Por otro lado, parece complicado que alguien externo (SOC, MSS, Threat Hunting as a Service, o como queramos llamarlo) pueda adquirir ese conocimiento que tiene tu equipo. Pero una cosa está clara, es una labor compleja, el conocimiento técnico para llevarla a cabo es muy elevado y los perfiles necesarios para la tarea son escasos y de difícil retención (como todos sabéis, estos perfiles tan técnicos escasean y es muy complicado encontrarlos y poder ficharlos, a lo que se suma que su nivel de rotación es muy alto). Es muy posible que externalizarlo como servicio y beneficiarse de las hipótesis que se crean para otros clientes tenga sentido. No sería un servicio commodity más al uso, como los que se brindan desde SOC, sino que realmente nos ofrecería un conocimiento experto.
Espero haberos resuelto algunas de vuestras dudas. Como veis, el threat hunting es un tema del que podríamos hablar largo y tendido y esto ha sido una breve introducción para despejar las dudas más comunes. Aunque si queréis saber más estaré encantado de debatir con vosotros sobre este tema.
