La Metodología Ad Hoc de Hunter: Evaluación de EDR en la Ciberseguridad

En el dinámico mundo de la ciberseguridad, el término “Threat Hunting” o caza de amenazas, ha ganado notable relevancia en los últimos años. Sin embargo, a pesar de su creciente popularidad, no existe una definición universalmente aceptada para este rol. Las divergencias emergen porque cada profesional en el campo tienden a definir e implementar sus propias versiones de caza de amenazas, considerándolas como las metodologías correctas. Aun cuando no hay consenso sobre qué implica exactamente ser un Threat Hunter y cuál es su alcance, se ha logrado cierto acuerdo en algunos aspectos fundamentales.

EL protagonista del Threat Hunter

En primer lugar, el Threat Hunting se define por una búsqueda proactiva de amenazas, algo que va más allá de los roles defensivos tradicionales en la ciberseguridad.

Históricamente, las organizaciones han puesto el foco en medidas preventivas y reactivas para proteger su infraestructura, con la esperanza de evitar ser comprometidas o al menos mitigar los daños cuando se produzcan incidentes de seguridad. Sin embargo, el rol del Threat Hunter surge de la necesidad de adoptar una postura defensiva proactiva, en respuesta al constante incremento en la cantidad y sofisticación de los ataques cibernéticos.

El Threat Hunter es un nuevo jugador en el tablero de la ciberseguridad, cuyo papel requiere un conocimiento profundo de tácticas ofensivas. Por primera vez, este conocimiento se emplea con el fin de anticiparse a los Threat Actors (actores de amenazas). Los Threat Hunters investigan los ataques más avanzados, desglosando sus mecanismos para entender cómo piensan los adversarios actuales y cuáles son sus técnicas de ataque. Esta comprensión les permite detectar y neutralizar amenazas antes de que causen daños significativos.

Metodología Ad Hoc de Evaluación de EDR

Nuestra concepción de Threat Hunting se basa en la premisa de que un Threat Hunter debe poseer habilidades transversales que le permitan ser autosuficiente en todas las áreas donde un atacante podría dejar rastro. Aunque evaluamos la telemetría proporcionada por soluciones EDR (Endpoint Detection and Response), nos centramos en datos concretos recuperados de cada fuente.

El EDR, y su evolución XDR (Extended Detection and Response), se convierten en nuestras herramientas preferidas, partiendo de la hipótesis de que todos nuestros clientes han sido comprometidos de alguna manera. Para refutar esta hipótesis, llevamos a cabo una consulta proactiva de su infraestructura en busca de evidencias, utilizando cientos de consultas que detectan trazas de técnicas específicas empleadas por los adversarios.

Características Clave del EDR en la Caza de Amenazas

Durante nuestra evaluación y uso de EDR en el proceso de Threat Hunting, identificamos varias características críticas:

  1. Facilidad de Recuperación de Artefactos: La capacidad del EDR para recuperar artefactos es esencial para analizar y comprender el alcance de un compromiso.
  2. Flexibilidad para Establecer Exclusiones: La posibilidad de configurar exclusiones con precisión permite enfocar los esfuerzos de detección en áreas críticas, reduciendo falsos positivos y mejorando la eficiencia del proceso de caza de amenazas.
  3. Acciones de Respuesta y Mitigación: Las diversas opciones que ofrece el EDR para responder y mitigar amenazas son cruciales. Estas incluyen desde la cuarentena de archivos hasta el aislamiento de sistemas comprometidos, permitiendo una rápida contención de las amenazas detectadas.
  4. Capacidades de Telemetría y Visibilidad: La telemetría proporcionada por el EDR debe ser rica y detallada, ofreciendo una visibilidad profunda de las actividades en los endpoints. Esto es vital para identificar patrones anómalos y posibles indicadores de compromiso.
  5. Automatización y Orquestación: La capacidad del EDR para integrarse con otras herramientas de seguridad y automatizar respuestas mejora significativamente la eficacia de la caza de amenazas, permitiendo una reacción más rápida y coordinada ante incidentes de seguridad.

Conclusión

El rol del Threat Hunter es fundamental en el moderno panorama de la ciberseguridad, aportando una postura defensiva proactiva esencial para enfrentar las amenazas avanzadas. Al definir una metodología ad hoc de evaluación de EDR, es posible mejorar significativamente la capacidad de una organización para detectar, analizar y mitigar amenazas antes de que causen daño. La combinación de habilidades transversales del Threat Hunter con las avanzadas capacidades de las soluciones EDR/XDR crea un entorno robusto y resiliente frente a los crecientes desafíos en ciberseguridad.

El camino del Hunter es uno de constante aprendizaje y adaptación, donde el conocimiento profundo y la tecnología avanzada se unen para proteger de manera proactiva el ciberespacio.

Noticias
relacionadas

LogMeIn, teletrabajo y mucho más

LogMeIn, teletrabajo y mucho más Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ COMUNICADO DE PRENSA ADM Cloud & Services anuncia la incorporación a su catálogo del fabricante LogMeIn, empresa fundada en 2003 y que lleva desde entonces creando herramientas que permiten a las personas trabajar desde cualquier lugar.La crisis provocada por la…

Nuevos retos y cambios de paradigma gracias a la seguridad gestionada

Nuevos retos y cambios de paradigma gracias a la seguridad gestionada Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ El pasado 12 de marzo de 2021, ADM Cloud & Services entrevistó a Juan Carlos Tórtola, miembro de Grupo TOSA Ingenieros. El objetivo de la entrevista es indagar acerca de "Nuevos retos y…

Informe de consecuencias comerciales COVID-19.

Informe de consecuencias comerciales COVID-19. CONTENIDO DEL ARTÍCULO La compañía SolarWinds realizó una encuesta global a sus socios en todo el mundo, solicitando opiniones sobre cómo Covid-19 afectó a sus negocios y sobre qué planes y objetivos tenían para el año siguiente. Descargue ahora el ebook gratuito ''Herramientas para la ciberseguridad'' Se realizaron 500 encuestas completas,…

Cifrado simétrico: qué es y cómo funciona

La historia de la criptografía se remonta miles de años atrás. En el siglo V a. C se datan los primeros mensajes cifrados conocidos, y desde entonces, se han utilizado diferentes métodos de criptografía para enviar y recibir mensajes entre personas. En la actualidad, con el enorme desarrollo de la tecnología, se han conseguido técnicas…

Secretos de escoger un software de monitorización sistemas

Secretos de escoger un software de monitorización sistemas Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO ¿Qué es un software de monitorización de sistemas informáticos? Un único panel para centralizar todos los servicios Automatización de tareas Detección de fallos en cadena en tiempo real Self-healing o automatización de…

Rorschach: un ransomware con características exclusivas

Rorschach: un ransomware con características exclusivas Conoce las principales herramientas de ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es un ransomware? Diferentes tipos de ransomware. Ransomware Rorschach. Infección de Rorschach Nota de rescate de Rorschach A principios de este año, investigadores descubrieron una nueva cepa de ransomware: Rorschach. Parece tener unas características de cifrado únicas…