Temas técnicos

¿Qué es la caza de ciberamenazas?

Ilustración de artículos informáticos centrada en un ordenador portátil

Visión general

La caza de ciberamenazas es un enfoque de la seguridad en Internet con visión de futuro en el que los cazadores de amenazas buscan proactivamente riesgos de seguridad ocultos en la red de una organización. A diferencia de otras estrategias de ciberseguridad más pasivas -como los sistemas automatizados de detección de amenazas-, la caza de ciberamenazas busca activamente amenazas no detectadas, desconocidas o no remediadas que podrían haber eludido los sistemas de defensa automatizados de su red.

Caza de ciberamenazas

¿Qué es la TI híbrida?

Los ciberdelincuentes son cada vez más sofisticados, por lo que la caza de ciberamenazas es un componente esencial de las estrategias de seguridad sólidas de redes, puntos finales y conjuntos de datos. Si un atacante externo avanzado o una amenaza interna eluden los sistemas iniciales de defensa de la red, pueden pasar meses sin ser detectados. Durante este tiempo, pueden recopilar datos sensibles, comprometer información confidencial o conseguir credenciales de inicio de sesión que les permitan infiltrarse lateralmente en su entorno de red.

El personal de seguridad ya no puede permitirse sentarse a esperar a que los sistemas automatizados de detección de ciberamenazas le notifiquen un ataque inminente. Con la caza de ciberamenazas, pueden identificar proactivamente vulnerabilidades o amenazas potenciales antes de que un ataque pueda causar daños.

¿Cómo funciona la caza de ciberamenazas?

La caza de ciberamenazas combina el elemento humano con la capacidad de procesamiento de big data de una solución de software. Los cazadores de amenazas humanos -que utilizan soluciones e inteligencia/datos para encontrar adversarios que puedan eludir las defensas típicas- se apoyan en datos de complejas herramientas de supervisión y análisis de la seguridad para ayudarles a identificar y neutralizar las amenazas de forma proactiva.

La intuición humana, el pensamiento estratégico y ético y la resolución creativa de problemas desempeñan un papel integral en el proceso de ciberespionaje. Estas características humanas permiten a las organizaciones aplicar soluciones a las amenazas de forma más rápida y precisa que si solo dependieran de herramientas automatizadas de detección de amenazas.

¿Qué se necesita para empezar a cazar amenazas?

Para que la caza de ciberamenazas funcione, los cazadores de amenazas deben establecer primero una línea de base de eventos previstos o autorizados para identificar mejor las anomalías. A partir de esta línea de base y de la inteligencia sobre amenazas más reciente, los cazadores de amenazas pueden examinar los datos de seguridad y la información recopilada por las tecnologías de detección de amenazas. Estas tecnologías pueden incluir soluciones de gestión de eventos e información de seguridad (SIEM), detección y respuesta gestionadas (MDR) u otras herramientas de análisis de seguridad.

Una vez equipados con datos de diversas fuentes -como datos de endpoints, de la red y de la nube-, los cazadores de amenazas pueden explorar sus sistemas en busca de riesgos potenciales, actividades sospechosas o desencadenantes que se desvíen de lo normal. Si se detecta una amenaza conocida o potencial, los cazadores de amenazas pueden desarrollar hipótesis e investigaciones en profundidad de la red. Durante estas investigaciones, los cazadores de amenazas intentan descubrir si una amenaza es maliciosa o benigna, o si la red está adecuadamente protegida frente a nuevos tipos de ciberamenazas.

¿La caza de ciberamenazas forma parte de la inteligencia sobre amenazas?

La inteligencia sobre ciberamenazas se centra en el análisis, la recopilación y la priorización de datos para mejorar nuestra comprensión de las amenazas a las que se enfrenta una empresa.

Tipos de investigación de la caza de amenazas

Existen tres tipos principales de investigación de la caza de amenazas:

  • Estructurada: Este tipo de caza de ciberseguridad se basa en un indicador de ataque, así como en las tácticas, técnicas y procedimientos (TTP) de un atacante. Utilizando el marco de MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK®), la caza estructurada permite a los cazadores de amenazas identificar a un actor malicioso antes de que pueda dañar la red.
  • No estructurada: Basándose en un desencadenante o indicador de compromiso (IoC), los cazadores de amenazas utilizan la caza no estructurada para buscar cualquier patrón perceptible en toda la red, tanto antes como después de que se haya encontrado un desencadenante o IoC.
  • Basadas en la situación o en la inteligencia sobre amenazas: Las hipótesis se derivan de circunstancias situacionales, como vulnerabilidades descubiertas durante una evaluación de riesgos de la red. Con la inteligencia sobre amenazas más reciente, los cazadores de amenazas pueden hacer referencia a datos internos o crowdsourced sobre tendencias de ciberataques o TTP de atacantes al analizar su red.

En estos tres tipos de investigación, los cazadores de amenazas buscan en los eventos anomalías, puntos débiles o actividad sospechosa fuera de los eventos previstos o autorizados. Si se detecta alguna brecha de seguridad o actividad inusual, los cazadores pueden parchear la red antes de que se produzca o vuelva a producirse un ciberataque.

Los cuatro pasos de la caza de ciberamenazas

Para iniciar eficazmente un programa de caza de ciberamenazas, su personal de seguridad debe seguir cuatro pasos:

  • Desarrollar una hipótesis: Los cazadores de amenazas deben desarrollar una hipótesis basada en los riesgos o vulnerabilidades que puedan existir en la infraestructura de la organización, la información actual sobre amenazas o las TTP de los atacantes, o a partir de una actividad sospechosa o un desencadenante que se desvíe de la actividad de referencia estándar. También pueden utilizar sus conocimientos, experiencia y habilidades creativas de resolución de problemas para establecer una hipótesis de amenaza y decidir el camino a seguir para ponerla a prueba.
  • Comenzar la investigación: Durante una investigación, un cazador de amenazas puede apoyarse en conjuntos de datos complejos e históricos derivados de soluciones de caza de amenazas como SIEM, MDR y User Entity Behavior Analytics. La investigación avanzará hasta que se confirme la hipótesis y se detecten anomalías, o hasta que se descubra que la hipótesis es benigna.
  • Descubrir nuevos patrones: Cuando se detectan anomalías o actividad maliciosa, el siguiente paso es desplegar una respuesta rápida y eficaz. Esto podría incluir la desactivación de usuarios, el bloqueo de direcciones IP, la aplicación de parches de seguridad, la alteración de las configuraciones de red, la actualización de los privilegios de autorización o la introducción de nuevos requisitos de identificación. A medida que sus equipos de seguridad trabajen para resolver las amenazas a la red de forma proactiva, aprenderán intrínsecamente las TTP de los actores de las amenazas y cómo pueden mitigarlas en el futuro.
  • Responda, enriquezca y automatice: El trabajo de búsqueda de amenazas nunca termina, ya que los ciberdelincuentes siempre están avanzando y creando nuevas amenazas para la red. La búsqueda de amenazas cibernéticas debe convertirse en una práctica cotidiana dentro de su organización, que funcione junto con las tecnologías de detección de amenazas automatizadas y los procesos actuales de identificación y corrección de amenazas de su equipo de seguridad.

¿Cuáles son los principales retos de la caza de ciberamenazas?

Dado que la caza de ciberamenazas adopta un enfoque proactivo y práctico para la detección y corrección de amenazas, algunas organizaciones se enfrentan a importantes retos a la hora de implantar esta práctica de seguridad. Para que un programa de caza de ciberamenazas tenga éxito, una organización debe tener tres componentes clave que funcionen en armonía:

  • Cazadores de amenazas expertos: El capital humano implicado en la caza de ciberamenazas es posiblemente el componente más crítico. Los cazadores de amenazas deben ser expertos en el panorama de las amenazas y ser capaces de identificar rápidamente las señales de advertencia de ataques sofisticados.
  • Datos exhaustivos: Para buscar adecuadamente las amenazas, los cazadores deben tener acceso a una gran cantidad de datos (tanto actuales como históricos) que proporcionen visibilidad de toda una infraestructura. Sin estos datos agregados, los cazadores de amenazas no podrán crear hipótesis de amenazas fundamentadas basadas en sus endpoints, red o infraestructura en la nube.
  • Inteligencia sobre amenazas actualizada: Los cazadores de amenazas deben estar equipados con la inteligencia sobre amenazas más actualizada, que les permita comparar las tendencias actuales de los ciberataques con los datos internos. Sin saber qué amenazas nuevas o en tendencia existen, los cazadores de amenazas no dispondrán de la información necesaria para analizar correctamente las posibles amenazas a la red.

Desplegar estos tres componentes y garantizar que funcionen juntos a la perfección requiere muchos recursos organizativos. Por desgracia, algunos equipos de seguridad no tienen acceso a las herramientas, el personal o la información adecuados para establecer un programa completo de caza de ciberamenazas.

Descubra la caza gestionada de ciberamenazas con OpenText Cybersecurity

Proteger con éxito la infraestructura de su organización requiere un enfoque proactivo más que reactivo. Atrás quedaron los días en que las tecnologías de detección automática de amenazas bastaban por sí solas para salvaguardar los datos o la información confidenciales. En su lugar, sus equipos de seguridad deben implantar un programa continuo de caza de ciberamenazas que les permita crear hipótesis fundamentadas y detectar anomalías, riesgos o actividades sospechosas en la red antes de que un atacante externo o una amenaza interna pueda causar daños.

¿Busca un servicio gestionado que le ofrezca detección de ciberamenazas sin necesidad de invertir en software y recursos? OpenText™ Security Services ofrece cazas de amenazas puntuales y servicios basados en suscripciones para realizar cazas situacionales, no estructuradas y estructuradas e identificar anomalías, puntos débiles y actividades sospechosas. Combinados con nuestra experiencia en riesgos y cumplimiento, análisis forense digital y respuesta a incidentes, nuestros clientes confían en OpenText para mejorar su resistencia cibernética.

Caza de ciberamenazas

Empiece hoy mismo.

Solicitar una demostración

Productos relacionados

OpenText™ Cybersecurity Cloud

Protección más inteligente y sencilla

OpenText™ ArcSight™ Enterprise Security Manager (ESM)

Acelere la detección y respuesta a las amenazas con detección en tiempo real y SOAR nativo.

OpenText™ ArcSight™ Inteligencia

Detección proactiva de riesgos internos, nuevos ataques y amenazas persistentes avanzadas.

ArcSight Recon por OpenText™

Simplifique la gestión de registros y el cumplimiento de normativas al tiempo que acelera la investigación forense. Caza y derrota amenazas con búsqueda, visualización y generación de informes de big data.

ArcSight Security Open Data Platform (SODP) por OpenText™

Utilice una plataforma abierta que recopila y enriquece los datos en tiempo real para obtener información organizada que puede utilizarse donde se necesite

ArcSight SIEM como servicio

Potencie su equipo SOC con: detección de amenazas en tiempo real; mitigación de amenazas internas; gestión de registros, cumplimiento de normativas y funciones de caza de amenazas; orquestación, automatización y respuesta de seguridad.

Ver todos los productos relacionados

¿Cómo podemos ayudarle?

Notas a pie de página