Uno de los temas más tratados en el RSA 2018 fue la búsqueda de amenazas, ya que, según los expertos, es una práctica necesaria para contrarrestar los ataques de las APT. El problema es que no se ponen de acuerdo en qué es la búsqueda de amenazas exactamente, cuáles son las prácticas que se deben llevar a cabo. Por ello, acordaron el uso del libro How to Hunt for Security Threats (en español, Cómo buscar amenazas de seguridad), que afirma que la búsqueda de amenazas es un proceso que se centra en el análisis y permite a las organizaciones destapar amenazas avanzadas ocultas que hayan sobrepasado los controles automatizados de prevención y de detección.
Según esa definición, la búsqueda de amenazas debe ejecutarse por un experto de ciberseguridad. Es decir, el proceso no se puede automatizar. Sin embargo, después de que los expertos busquen anomalías, sus resultados contribuirán a la mejora de los sistemas de detección automática, que aprenderán a detectar situaciones de ataque que anteriormente requerían supervisión humana.
Cuándo buscar
Según los expertos no deberías preguntarte si hay enemigos en tu red, ya que es evidente que sí que hay. En resumen, estos expertos afirman que ya deberías estar buscando amenazas. Yo espero que eso no sea siempre así, aunque eso no quiere decir que no debas buscar, sobre todo si cuentas con toda una gran infraestructura empresarial distribuida.
Sin embargo, la búsqueda de amenazas es una práctica de seguridad avanzada que requiere recursos y sistemas de seguridad de cierto nivel. Por ello, si tienes que elegir entre organizar un proceso de búsqueda de amenazas o contratar un sistema de detección y respuesta desarrollado, deberías quedarte con el último.
Los sistemas desarrollados de detección y respuesta no solo te permitirán excluir amenazas menores del alcance de la búsqueda de amenazas, sino que también proporcionará mucha más información útil al experto.
Quién debe buscar
La cuestión principal es si el buscador debería ser un profesional contratado de forma externa o interna. Cada opción tienes sus pros y sus contras. Un especialista interno tiene conocimientos únicos sobre la arquitectura de la red local y sus especificaciones, mientras que un especialista de ciberseguridad externo aporta amplios conocimientos sobre el panorama de amenazas, pero necesitará un tiempo para conocer la infraestructura local. Ambos aspectos son importantes. Lo ideal sería que rotaras entre los expertos internos y externos (siempre que puedas y si ya tienes un especialista interno).
La mayoría de las redes de las empresas se parecen de algún modo. Está claro que las excepciones existen, pero escasean. Un experto externo acostumbrado a realizar búsqueda de amenazas para varias empresas agradecerá las ligeras variaciones que hay entre compañías.
Otro problema de los candidatos internos es que la búsqueda constante de amenazas puede llegar a ser muy monótona. Inspeccionar los registros para descubrir dónde se oculta un elemento contradictorio es una tarea monótona que desgastará incluso a los profesionales informáticos más entusiastas. Por ello, lo apropiado sería rotar especialistas de tu centro de operaciones de seguridad, mucho mejor que optar por un buscador de amenazas a tiempo completo.
En cuanto a las cualidades del candidato, busca a alguien atento, paciente y con experiencia en ciberamenazas. La intuición también es muy importante. Puede resultar complicado encontrar a alguien así, ya que la intuición no se puede medir y rara vez se menciona en los currículums.
Y, en cuanto a los expertos externos, te proponemos los servicios de nuestros especialistas en búsqueda de amenazas. Pueden explorar tu infraestructura para identificar cualquier elemento comprometedor, tanto presente como histórico, u organizar el monitoreo en todo momento y analizar constantemente los datos de las ciberamenazas. Si quieres conocer todos los servicios de Kaspersky Threat Hunting, visita esta página.