Red Seguridad 84

red seguridad primer trimestre 2019 27 amenazas opinión 'Threat hunting' ha llegado para quedarse. La mayoría de fabricantes ya tienen tecnología lista ampliando las capacidades de los agentes de 'endpoint protection', con un producto específico o una combinación de varios en los próximos dos trimestres y para siempre (nótese la ironía, ama- ble lector). Por último, y no menos importante en la decisión surge la pregunta: ¿lo hago yo o lo externalizo? Pues como todo, depende. Hacerlo inter- namente es siempre interesante ya que te permite tener el control y el conocimiento de lo que ocurre en la propia organización. Por otro lado, parece complicado que alguien externo (SOC, MSS, Threat Hunting as a Service , o como queramos llamarlo) pueda adquirir ese cono- cimiento que tiene tu equipo. Pero una cosa está clara, es una labor compleja, el conocimiento técnico para llevarla a cabo es muy elevado y los perfiles necesarios para la tarea son escasos y de difícil retención (como todos sabéis, estos perfiles tan técnicos escasean y es muy complicado encontrarlos y poder ficharlos, a lo que se suma que su nivel de rotación es muy alto). Es muy posible que externalizarlo como servicio y beneficiarse de las hipóte- sis que se crean para otros clientes tenga sentido. No sería un servi- cio commodity más al uso, como los que se brindan desde SOC, sino que realmente nos ofrecería un conocimiento experto. Espero haberos resuelto algunas de vuestras dudas. Como veis, el threat hunting es un tema del que podríamos hablar largo y tendido y esto ha sido una breve introducción para despejar las dudas más comu- nes. Aunque si queréis saber más estaré encantado de debatir con vosotros sobre este tema. se almacenará en el data center , sino que lo hará en cloud . La can- tidad diaria de datos a recoger es inmensa y cada día va en aumento, por lo que parece inteligente que lo soporte la nube del fabricante para que la información esté dis- ponible y se pueda consultar en cualquier momento. Porque si no tienes toda esa cantidad de datos, no podrás detectar anomalías, con lo que la gracia de hacer threat hunting decaerá. A mayor canti- dad de diferentes datos del puesto, más sencillo será detectar compor- tamientos extraños, porque como todos sabemos "la información es poder". Si además la solución tiene capacidades de UEBA ( User and Entity Behavior Analytics ), mejor. Hasta ahora las capacidades que yo he visto son reducidas, pero muy interesantes, en los fabricantes que las ofrecen. Pero bueno, nada que machine learning e Inteligencia Artificial no nos vayan a solucionar con el incidente será considerado parte de él; perseguirás fantasmas que consumen recursos y tiempo. ¿Qué tecnología compro? El threat hunting ha llegado al sec- tor para quedarse. La mayoría de fabricantes ya tienen tecnología lista ampliando las capacidades de los agentes de endpoint protection , con un producto específico o una combinación de varias tecnologías. Prácticamente todas las organizacio- nes cuentan con tecnología en el puesto y servidor de protección de un determinado fabricante. Las nuevas soluciones de EDR (creo que son una gran mayoría) pueden convivir con nuestro antivirus tradicional de toda la vida. El despliegue te dará los mismos quebraderos de cabeza (o no) que te daría la solución de endpoint , por lo que no debería ser nada traumático. Un punto importante a tener en cuenta es que hay soluciones en las que la telemetría del puesto no Si no se dispone de una gran cantidad de datos, no será posible detectar anomalías, con lo que la gracia de hacer threat hunting decaerá. tendencias 2019