En una empresa es imprescindible evitar las fugas de información, causadas tanto por el malware como por empleados. Es por ello que hay personas que se dedican a descubrir vulnerabilidades en los sistemas y aplicaciones, y detectan ataques dirigidos contra los equipos. Ya no es suficiente sólo tener elementos tecnológicos en las diferentes barreras de protección, se debe crear ambiente donde todas las herramientas se compartan y compartan inteligencia.
Es evidente que los servicios de ciberseguridad por sí solos no son suficientes para proteger a la empresa actualmente. Por esa razón, las herramientas de Threat Hunting combinan la búsqueda y la recopilación automática de datos con un análisis humano en profundidad.
¿Qué es Threat Hunting?
Según el Sans Analyst Program, la caza de amenazas se centra acertadamente en las amenazas, y para ser una amenaza, un adversario debe tener tres características: la intención, la capacidad y la oportunidad de dañar. Los cazadores de amenazas centran su búsqueda en adversarios que tienen esas tres características y ya están dentro de las redes y sistemas de la organización de cazadores de amenazas, donde los cazadores tienen la autoridad para recopilar datos y desplegar contramedidas. Una buena práctica de Threat Hunting es reunir información, desarrollar una hipótesis, crear un ámbito y ejecutar la cacería.
Panda Security realizó un informe para presentar datos de amenazas correspondientes a las capas de protección más significativas. La información recopilada este 2018 sigue reflejando la prevalencia de los ataques de malware, con 9 millones de URLs maliciosas y 2.4 millones de ataques prevenidos por millón de endpoints, por mes. El 20.7% de las máquinas objeto de estudio recibió al menos un ataque de malware durante el periodo analizado.
En el periodo de enero-noviembre, un promedio mensual de 5.8 millones de ficheros ejecutables distintos fueron observados por millón de endpoints. Los ataques «en memoria», que se aprovechan de las vulnerabilidades en aplicaciones en ejecución, se detectan mediante un módulo anti-exploit dinámico e integrado. Este módulo detectó de media más de 8,100 intentos de explotación durante el periodo analizado, por millón de endpoints, por mes. Internet Explorer, Outlook fueron las aplicaciones que más ataques sufrieron.
El Servicio de Threat Hunting and Investigation de Panda Security, como componente integrado de las soluciones de Panda Adaptive Defense, tiene como objetivo identificar estos ataques. En 2019, se confirmaron y se investigaron aproximadamente 90 incidentes. Destacamos 2 casos:
- Compañía de servicios grande. Se detectaron Conexiones salientes hacia China sospechosas en un sistema no protegido por Panda, utilizando telemetría de sistemas protegidos. Las investigaciones llevaron a la neutralización de un troyano dirigido, diseñado para exfiltrar datos sensibles. El troyano «se compiló/auto-compiló» más de 100 veces, creando variantes de sí mismo para intentar, sin éxito, evitar ser bloqueado.
- Múltiples clientes. Un usuario recibió un correo dirigido con un documento Word, utilizado para lanzar un script que, a su vez, llamó a PowerShell para que descargara una herramienta de red legítima (socat.exe) y Tor. La herramienta de conectividad se utilizaba para crear un relay con Tor utilizando puertos locales para esconderla de las herramientas de monitorización de red. Se ha informado de esta técnica antes, en relación con troyanos de banca.
La caza de amenazas está ganando impulso y las organizaciones están haciendo la inversión en recursos y presupuesto para pasar de reaccionar a los ataques a la creación de programas de caza de amenazas proactivo y equipos dedicados. Seis de cada 10 organizaciones de la encuesta del Threat Hunting Report 2018 planean construir programas de caza de amenazas en los próximos tres años.
“Existen dos opciones: realizar Threat Hunting con equipo interno o bien con proveedor de servicios. Si es la primera, la compañía debe considerar la visibilidad de datos y el flujo de información. Con la segunda, al tener un grupo de especialistas altamente capacitados, ellos pueden realizar la cacería de amenazas pues cuentan con analistas entrenados y capacitados para detectar intrusos y amenazas de manera proactiva”, dijo Shinué Salas, Ingeniero de preventa para Panda Security en México.
Los cibercriminales tienen en mente maneras de evadir las medidas de defensa tradicionales. Por lo tanto, además de detectar los ataques, es cada vez más importante tratar de adelantarse a los ciberataques para que la brecha de detección se reduzca todo lo posible. La detección temprana de las infracciones cibernéticas y la respuesta rápida pueden mitigar la severidad y el impacto de los daños.
