jueves, 12 de septiembre de 2019

¿Por qué está ganando fama el Threat Hunting?



Hay docenas de miles de ciberdelincuentes que son entrenados por gobiernos, empresas de seguridad y organizaciones criminales, los cuales llevan a cabo ataques dirigidos con malware propio e incluso utilizan aplicaciones legítimas y goodware para no ser detectados. Todo esto requiere de una respuesta equivalente para salvaguardar las redes.

Las organizaciones no se pueden proteger de lo que no pueden vislumbrar. El uso de dispositivos multiplataformas, el exponencial uso de aplicaciones en la nube (con la capacidad de los usuarios de acceder a estas desde cualquier lugar y cualquier dispositivo) han convertido a las redes empresariales en un sistema complicado por el cual el concepto de red tradicional delimitada por un perímetro ha desaparecido.

Mantener seguras a las organizaciones significa proteger los datos del corporativo desde el Endpoint (punto final). Un incidente en el Endpoint ocurre en mil segundos, pero puede llevarse semanas o meses reconocer, detectar y responder a la violación que se ha producido. El Endpoint es la superficie de ataque más vulnerable y expuesta en el ambiente colaborativo actual. Para mantener los dispositivos de Endpoint seguros se debe cambiar el enfoque de protección, considerando: visibilidad total y control absoluto de las actividades que suceden.

El antivirus no funciona más

Desde su llegada al terreno de la seguridad alrededor de hace 25 años el antivirus no ha evolucionado en su modelo para proteger contra ataques que utilizan técnicas desconocidas. Esto es porque continua con su enfoque de encontrar solo lo malo que es conocido. El antivirus tampoco es capaz de identificar— y por lo tanto pasa de largo— los ataques que no utilizan archivos, y que infectan la memoria al escribir directamente en la memoria RAM en lugar de escribir en los sistemas de archivos.

Un porcentaje significativo de los ataques avanzados de hoy utilizan múltiples vectores, muchos de los cuales ni siquiera involucran archivos, por ejemplo, malware basado en memoria, ataques basados en scripts, exploits y el uso de elementos confiables (goodware) del sistema para realizar acciones maliciosas. Se descubre un ataque de día cero casi todas las semanas y hay casi 1 millón de nuevas variantes de malware lanzadas cada semana, si solo uno de ellos es efectivo podría ocasionar un daño enorme económico y en la reputación de la organización.

¿Qué ofrece el Threat Hunting?

Al no utilizar malware de ningún tipo, los sistemas de seguridad deben ser capaces de distinguir un ataque de este tipo basándose en el comportamiento exhibido por los usuarios de la red corporativa. Las tecnologías capaces de realizar estas labores se engloban dentro del concepto de Threat Hunting, el cual está ganando fama como forma de proteger la ciberseguridad de una compañía, ya que las empresas deben trabajar su defensa mucho antes de que sea necesaria y reciclar la forma en que detectan las posibles amenazas.

En la actualidad es necesaria una plataforma que combine perfectamente plataformas tecnológicas proactivas orquestadas por procesos automatizados en constante aprendizaje y adaptación, todo eso soportado por un grupo de personas expertas y creativas para identificar nuevas técnicas, tácticas y procedimientos que utilicen los atacantes para comprometer a las organizaciones.

Las plataformas de Threat Hunting deben ser capaces, entre otras cosas, de monitorizar el comportamiento de los equipos, las aplicaciones que se ejecutan en los mismos y sobre todo de los usuarios de la red. Técnicamente, el proceso de Threat Hunting se fundamenta en un inmenso almacén de datos con todo el comportamiento de las entidades monitorizadas actualizado en tiempo real a medida que suceden los nuevos eventos.

Si no dispones del tiempo, los recursos o el conocimiento, ¿cómo beneficiarse del Threat Hunting?

La respuesta es contar con un servicio gestionado, como es Panda Threat Hunting & Investigation Service. El equipo de expertos analistas identifican atacantes que estén usando formas y mecanismos completamente nuevos para ejecutar sus ataques. El objetivo de este servicio es detectar ataques para los cuales no hay IOC (Indicadores de Compromiso) o IOA (Indicadores de Ataque) conocidos, por lo que esta no es una tarea de correlación simple en un SIEM; se trata de descubrir y crear nuevos indicadores de ataque.

De hecho, Panda ayuda a identificar ciberdelincuentes, en vivo, que se hacen pasar por administradores de sistemas, sin utilizar malware, sin herramientas personalizadas (que serían muy fáciles de identificar para nosotros), sino herramientas administrativas, scripts, PowerShells, etc. Y también empleados malintencionados o usuarios descuidados que intenten dañar a la empresa, intenten robar información o causar algún deterioro.

La labor de los Threat Hunters se sirve de la tecnología para monitorizar y analizar la actividad del sistema, detectar comportamientos anómalos y comprobar detalladamente si esa anomalía puede entrañar un riesgo real o se trata de un falso positivo. El objetivo de Panda Security es que sus soluciones puedan clasificar automáticamente el 99.98% de las amenazas, dejando únicamente el 0.02% de ellas a los analistas. De esta forma se pueden centrar en ataques realmente peligrosos.

Y es que, a la hora de proteger la ciberseguridad empresarial de una compañía, ningún esfuerzo sobra. En la lucha contra el cibercrimen, la mejor solución es la acción humana, las soluciones tecnológicas, la prevención y la búsqueda proactiva de posibles amenazas.

No hay comentarios.:

Publicar un comentario