En el último año, el 59% de las organizaciones experimentaron un aumento en la complejidad de los ciberataques1. Los ciberdelincuentes son más astutos que nunca, desplegando cada vez más técnicas sigilosas dirigidas por humanos para llevar a cabo sus ataques.
Como resultado, los equipos de seguridad han recurrido a la práctica de la caza de amenazas para detener estas amenazas avanzadas, pero no es fácil.
En nuestra nueva guía, Getting Started With Threat Hunting, cubrimos lo que es la caza de amenazas, por qué se ha convertido en una parte esencial de los esfuerzos de ciberseguridad y cómo hacerlo. También ofrecemos una visión general en profundidad de las herramientas y los marcos de trabajo que los equipos de seguridad están aprovechando para ayudarles a adelantarse a las últimas amenazas y responder rápidamente a cualquier ataque potencial.
Cinco consejos para la caza de amenazas
En lo que respecta a las operaciones de seguridad, la preparación es la clave del éxito. Es importante sentar las bases adecuadas antes de empezar a cazar en serio. Recomendamos los siguientes cinco pasos para preparar a tu organización y a tu equipo para el éxito:
- Comprender la madurez de las operaciones actuales de ciberseguridad
La asignación de tus procesos a un modelo de madurez de ciberseguridad (como el CMMC) es una buena manera de establecer lo bien equipado (o no) que estás para comenzar la caza de amenazas. También es una buena idea auditar tu postura de seguridad para determinar lo susceptible que puedes ser a las amenazas.
- Decide cómo quieres proceder a la caza de amenazas
Una vez que hayas establecido tu madurez cibernética, puedes decidir si la búsqueda de amenazas es algo que quieres hacer internamente, subcontratar totalmente o una combinación de ambos.
- Identifica las carencias tecnológicas
Revisa tus herramientas actuales e identifica qué más necesitas para realizar una caza de amenazas eficaz. ¿Cuál es la eficacia de tu tecnología de prevención? ¿Dispones de capacidades de detección de amenazas o las admites?
- Identifica las carencias de habilidades
La caza de amenazas requiere conocimientos especializados. Si no cuentas con la experiencia necesaria en tu empresa, estudia la posibilidad de realizar cursos de formación que te ayuden a desarrollar las habilidades necesarias. Además, considera la posibilidad de trabajar con un proveedor externo para complementar tu equipo.
- Desarrolla y aplica un plan de respuesta a incidentes
Es esencial contar con un plan de respuesta a incidentes completo para garantizar que cualquier respuesta sea medida y controlada. Disponer de un plan de respuesta bien preparado que todas las partes clave puedan poner en marcha inmediatamente reducirá drásticamente el impacto de un ataque en tu organización.
Para más detalles, lee Getting Started With Threat Hunting.
Habilitadores de la caza de amenazas
Una caza de amenazas eficaz requiere una combinación de tecnologías de última generación con una amplia experiencia humana.
Tecnologías de prevención: reducir la fatiga de las señales
Los cazadores de amenazas sólo pueden desempeñar sus funciones con eficacia si no se les inunda de alertas de seguridad. Una forma de conseguirlo es introducir las mejores tecnologías de prevención para que los defensores puedan centrarse en menos detecciones, más precisas, y agilizar el proceso de investigación y respuesta posterior.
Las funciones de prevención de la protección Sophos Intercept X Endpoint bloquean el 99,98% de las amenazas2, lo que permite a los defensores centrarse mejor en las señales sospechosas que requieren la intervención humana.
Puedes obtener más información o realizar una prueba de Intercept X Endpoint aquí.
Tecnologías de caza de amenazas: detección y respuesta ampliada de endpoints (EDR/XDR)
Para que los cazadores de amenazas identifiquen e investiguen las actividades potencialmente maliciosas, necesitan entradas y herramientas de investigación. Para ello, se utilizan las tecnologías EDR y XDR, que permiten a los cazadores ver rápidamente las detecciones sospechosas e investigarlas a fondo.
El EDR proporciona entradas desde la solución de endpoint. En cambio, la XDR consolida las señales procedentes de todo el entorno de TI, incluidos los firewalls, los dispositivos móviles, el correo electrónico y las soluciones de seguridad en la nube. Dado que los adversarios aprovechan todas las oportunidades de ataque, cuanto más amplia sea la red de señales, mejor podrás detectarlos a tiempo.
Diseñado para analistas de seguridad y administradores de TI por igual, Sophos XDR permite a tu equipo detectar, investigar y responder a incidentes en todo tu entorno de TI. Obtén al instante la información que te interesa eligiendo entre una biblioteca de plantillas prescritas y personalizables que cubren muchos escenarios diferentes de caza de amenazas y operaciones de TI, o escribe las tuyas propias.
Para probar las capacidades de búsqueda de amenazas de Sophos XDR, puedes iniciar una prueba del producto (si tienes una cuenta de Sophos Central) o probar Sophos Intercept X Endpoint, que incluye XDR.
Servicios de caza de amenazas: detección y respuesta gestionados (MDR)
MDR, proporcionado como un servicio totalmente gestionado, permite a las organizaciones contar con un equipo de analistas de seguridad dedicado a la búsqueda de amenazas al acecho las 24 horas del día y los 365 días del año. De hecho, “el 51% utiliza un proveedor de servicios de detección y respuesta gestionados (MDR) para ayudar a integrar los datos de telemetría para la detección y respuesta a las amenazas”, según ESG Research.
Los proveedores de MDR, como Sophos Managed Threat Response (MTR), tienen una serie de ventajas sobre un programa de operaciones de seguridad sólo interno. La ventaja más significativa de todas ellas suele ser la experiencia.
El equipo de Sophos MTR cuenta con miles de horas de experiencia, habiendo visto y enfrentado todo lo que los adversarios pueden lanzarles. También pueden aprender de los ataques a una organización y aplicarlos a todos los clientes. Otra ventaja es la escala: el equipo de Sophos MTR puede proporcionar asistencia 24 horas al día, 7 días a la semana, a través de tres equipos globales.
Para saber cómo Sophos MTR puede ayudar a tu organización, habla con tu representante de Sophos o solicita una llamada. Mientras tanto, ponte al día con las últimas investigaciones y casos prácticos de MTR.
1: El estado del ransomware 2022 – Sophos
2: Puntuación media de la prueba AV: Enero-Noviembre 2021