Sufrir un atraco es, sin duda, una experiencia traumática. Sin embargo, un robo inadvertido que se prolongue en el tiempo puede tener consecuencias peores. Detectar estas amenazas y reaccionar a tiempo es esencial para evitar males mayores. Algo así es lo que propone el Threat Hunting, la última tendencia en seguridad que trata de adelantarse a los ciberataques. Hasta el punto de intentar leer la mente de los cibercriminales antes de que actúen.
No es para menos. Aunque las amenazas avanzadas persistentes (APT) y ataques dirigidos suponen solo el 1% de todos los ataques, las pérdidas que pueden causar son muy elevadas. Según datos de Kaspersky Lab, las consecuencias de un único ataque ascienden a 1,23 millones de dólares de media para las empresas.
Qué es Threat Hunting: definición y concepto
El valor diferencial del Threat Hunting como estrategia de ciberseguridad reside en su proactividad. A diferencia de otras soluciones más tradicionales, no se limita a responder ante un incidente.
El Threat Hunting es una actividad de defensa activa, que se basa en una búsqueda iterativa y proactiva de amenazas avanzadas. Su objetivo consiste en detectarlas y aislarlas cuanto antes. Para ello, emplea herramientas y recursos humanos que analizan constantemente nuevas técnicas de malware o ataques. De esta manera, adquiere la inteligencia necesaria para saber cómo se mueven los atacantes y reaccionar adecuadamente ante cualquier amenaza.
Buena parte de los equipos actuales de seguridad adoptan un enfoque basado en alertas de incidentes de ciberseguridad. De esta manera, reaccionan solo ante ataques conocidos. Como las nuevas amenazas se suelen mover bajo el radar, esta manera de proceder puede producir una falsa sensación de seguridad. Es necesario introducir herramientas de predicción, detección y respuesta, sin tener que esperar a recibir una alerta ante un ataque potencial o un incidente de seguridad. La simple prevención ante un peligro conocido ya no es suficiente.
Según algunas estimaciones, las empresas invierten actualmente entre el 80 y el 90% de los recursos en prevención y solo entre el 20% y el 10% en predicción, detección y respuesta. Sin embargo, se advierte un cambio de tendencia que apunta a que, en los próximos tres años, la proporción será del 40% en prevención y del 60% en predicción, detección y respuesta.
El Threat Hunting está orientado a organizaciones con un alto grado de madurez en ciberseguridad: grandes compañías de sectores como los servicios financieros, transporte, telecomunicaciones, asistencia sanitaria, comercio minorista o infraestructuras críticas
Andrés Algaba, Large Account Marketing Product Manager for Cybersecurity Services de Orange, explica que la popularidad actual de los servicios de Threat Hunting para las empresas se debe a la necesidad de detectar ataques cada vez más persistentes con una duración cada vez más dilatada en el tiempo.
“De hecho, los cibercriminales tienen en mente maneras de evadir las medidas de defensa tradicionales. Por lo tanto, además de detectar los ataques, es cada vez más importante tratar de adelantarse a ellos para que el gap de detección se reduzca todo lo posible”, añade el experto.
Threat Hunting para empresas
Como es posible deducir, el Threat Hunting es una práctica de seguridad avanzada, de última generación, que resulta especialmente adecuada para organizaciones que se enfrentan a amenazas persistentes avanzadas (APT) y sigilosas. Su búsqueda es una práctica que requiere recursos y sistemas de seguridad de cierto nivel. Por esa razón, suelen ser las grandes empresas las que utilizan este tipo de servicios.
Alfonso Ramírez, director general de Kaspersky Lab Iberia indica que, en principio, el Threat Hunting está orientado a organizaciones con un alto grado de madurez en ciberseguridad: “Hablamos de grandes compañías de sectores como los servicios financieros, transporte, telecomunicaciones, asistencia sanitaria o comercio minorista. También de infraestructuras críticas propias de entornos de fabricación o la administración pública”.
Las grandes corporaciones han ido por delante en cuanto a este tipo de prácticas, dedicando partidas presupuestarias importantes a tecnologías y servicios. “Ahora, el foco para los fabricantes consiste en intentar aplicar esta tendencia a empresas de menor tamaño. Para ello se usan tecnologías semiautomatizadas y servicios que les permitan depender en menor medida de recursos personales”, añade Ramírez.
En opinión de Andrés Algaba, para aplicar técnicas de Threat Hunting en una empresa es indispensable tener una visibilidad completa del entorno corporativo, incluidos los dispositivos que se conectan a la red corporativa o endpoints. “El cambio de enfoque de las soluciones de Endpoint Protection a Endpoint Detection and Response permite obtener una telemetría en tiempo real sobre todos los procesos que se ejecutan en los endpoints corporativos. Esto es fundamental para poder realizar el Threat Hunting”, subraya.
Más allá del malware, ahora el reto se centra en detectar comportamientos extraños de usuarios, procesos y máquinas. Gracias al análisis de información retrospectiva, se puede perfilar cualquier activo de la organización y responder ante su desviación
Para Pedro Viñuales, Global VP Presales en Panda Security, “más allá del malware, ahora el reto se centra en detectar comportamientos extraños de usuarios, procesos y máquinas. Conductas sospechosas que, aun usando herramientas lícitas, puedan alertar de una posible incursión en nuestros sistemas. Ante este tipo de amenazas, el Threat Hunting se convierte en la solución más eficaz. Gracias al análisis de información retrospectiva, se puede perfilar cualquier activo de la organización y se puede responder ante su desviación”.
Un servicio externo
La falta de presupuesto de muchas organizaciones, que no suelen contar con las tecnologías, procesos y equipos de expertos necesarios para desplegar el Threat Hunting desde cero, les dificulta evolucionar su defensa al ritmo al que se desarrolla el cibercrimen.
“Por esa razón, suelen externalizar este tipo de servicios a proveedores expertos con Centros de Operaciones de Seguridad. Ellos sí tienen capacidad para contratar y retener personal de seguridad con las habilidades necesarias para la realización de las tareas de Threat Hunting”, puntualiza Algaba.
Una consideración con la que coincide Pedro Viñuales: “Hay que entender que resulta muy costoso dedicar perfiles a analizar a tiempo completo este tipo de amenazas. El volumen de información que se maneja es enorme y creciente. Cuantas más amenazas analices, mayor inteligencia acumulas. Eso solo se lo pueden permitir las empresas expertas en seguridad”.
Secure Endpoint y AntiDDOS de Orange
El servicio Threat Hunting incluido en Secure Endpoint de Orange asegura la confidencialidad e integridad de los activos digitales de las empresas, pero es importante asegurar adicionalmente la disponibilidad de los mismos cuando estos están expuestos a Internet, siendo clave soluciones de AntiDDoS como la que Orange incluye en su portfolio de Ciberseguridad.
En el caso de Secure Endpoint, incluye un servicio de detección y respuesta (EDR). Este clasifica cada proceso ejecutado en los equipos de las organizaciones de forma precisa y permite ejecutar únicamente lo que es confiable. La capacidad de monitorización en tiempo real de todos los procesos aporta la telemetría necesaria para poder realizar el Threat Hunting. Así, se pueden descubrir nuevos patrones de ataque, mediante la identificación automática de anomalías en el comportamiento de cada usuario, proceso y máquina.
Por su parte, el servicio AntiDDOS se dirige especialmente a la protección frente a ataques de denegación de servicios, cuyo tamaño y frecuencia son cada vez mayores. A diferencia de antaño, ahora persiguen beneficios materializables en dinero, que incluyen la extorsión, la ventaja competitiva y la venganza corporativa.
Andrés Algaba explica que, en los últimos años, los dispositivos IoT se convirtieron en el arma preferida para lanzar ataques DDoS. “Esto se debe principalmente al gran número de dispositivos no seguros conectados a Internet (27 billones en la actualidad y con un crecimiento esperado hasta alcanzar los 125 billones en 2030). A medida que aumentan los dispositivos conectados, lo hacen las vulnerabilidades asociadas a los mismos. Esto ha permitido a los atacantes desarrollar nuevas y complejas formas de detectar, infectar y comprometer estos dispositivos, incluso aunque se encuentren protegidos detrás de firewalls”.
El servicio AntiDDOS de Orange ofrece protección frente a ataques DoS y DDoS totalmente gestionada por expertos de ciberseguridad de la compañía. También proporciona mecanismos de detección y mitigación completamente automatizados. Gracias a eso, reducen los tiempos de exposición de los activos del cliente durante un ataque hacia sus servicios publicados en internet. La monitorización se realiza en modalidad 24/7. Este servicio no requiere infraestructuras adicionales, cuenta con redundancia geográfica e incluye informes mensuales.
Además, AntiDDOS de Orange realiza las labores de detección y mitigación dentro de las propias infraestructuras de Orange. Esto permite reducir la latencia y entregar el tráfico limpio hacia la red del cliente, sin necesidad de establecer túneles o configuraciones específicas.
Alcanzar el paso del cibercrimen es crucial para mantener la seguridad en las empresas. El Threat Hunting es una gran herramienta para mitigar e, incluso, evitar ataques que pueden salir muy caros.
Imágenes | iStock: scyther5, HYWARDS, PraewBlackWhile, Vladimir_Timofeev
