La detección de amenazas es importante porque las amenazas sofisticadas pueden superar la ciberseguridad automatizada. Si bien las herramientas de seguridad automatizadas y los analistas del centro de operaciones de seguridad (SOC) de nivel 1 y 2 deberían poder lidiar con aproximadamente el 80 % de las amenazas, aún debe preocuparse por el 20 % restante. Es más probable que el 20 % restante de las amenazas incluya amenazas sofisticadas que pueden causar daños significativos. Con el tiempo y los recursos suficientes, entrarán en cualquier red y evitarán la detección durante un promedio de hasta 280 días. La búsqueda de amenazas efectiva ayuda a reducir el tiempo desde la intrusión hasta el descubrimiento, lo que reduce la cantidad de daño causado por los atacantes.
Los atacantes a menudo acechan durante semanas, o incluso meses, antes de ser descubiertos. Esperan pacientemente para desviar los datos y descubrir suficiente información confidencial o credenciales para desbloquear más acceso, preparando el escenario para una brecha de datos significativa. ¿Cuánto daño pueden causar las amenazas potenciales? De acuerdo con el "Cost of a Data Breach Report 2020", una brecha de datos le cuesta a una empresa casi USD 4 millones en promedio. Y los efectos nocivos de una brecha pueden persistir durante años. Cuanto mayor sea el tiempo entre la falla del sistema y la implementación de la respuesta, más puede costarle a una organización.
Un programa exitoso de detección de amenazas se basa en la fertilidad de los datos de un entorno. En otras palabras, una organización primero debe contar con un sistema de seguridad empresarial que recopile datos. La información recopilada proporciona pistas valiosas para los cazadores de amenazas.
Los cazadores de amenazas cibernéticas aportan un elemento humano a la seguridad empresarial, complementando los sistemas automatizados. Son profesionales expertos en seguridad de TI que buscan, registran, supervisan y neutralizan amenazas antes de que puedan causar problemas graves. Idealmente, son analistas de seguridad del departamento de TI de una empresa que conocen bien sus operaciones, pero a veces son analistas externos.
El arte de la detección de amenazas encuentra las incógnitas del entorno. Va más allá de las tecnologías de detección tradicionales, como la gestión de información de seguridad y eventos (SIEM) , detección y respuesta de punto final (EDR) y otros. Los cazadores de amenazas analizan los datos de seguridad. Buscan malware oculto o atacantes y buscan patrones de actividad sospechosa que una computadora podría haber pasado por alto o haber considerado que se solucionó, cuando no es así. También ayudan a parchear el sistema de seguridad de una empresa para evitar que ese tipo de ataque cibernético se repita.
Los cazadores comienzan con una hipótesis basada en datos de seguridad o un disparador. La hipótesis o el desencadenante sirven como trampolines para una investigación más profunda de los riesgos potenciales. Y estas investigaciones más profundas son la detección estructurada, no estructurada y situacional.
Una detección estructurada se basa en un indicador de ataque (IoA) y tácticas, técnicas y procedimientos (TTP) de un atacante. Todas las detecciones están alineadas y basadas en los TTP de los actores de amenazas. Por lo tanto, el cazador generalmente puede identificar a un actor de amenazas incluso antes de que el atacante pueda causar daños al entorno. Este tipo de caza utiliza el marco MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK) (enlace externo a ibm.com), utilizando marcos empresariales y PRE-ATT&CK.
Se inicia una búsqueda no estructurada en función de un disparador, uno de los muchos indicadores de falla (IoC). Este desencadenante a menudo indica a un cazador que busque patrones previos y posteriores a la detección. Guiando su enfoque, el cazador puede investigar hasta donde lo permitan la retención de datos y los delitos asociados previamente.
Una hipótesis situacional proviene de la evaluación de riesgos internos de una empresa o de un análisis de tendencias y vulnerabilidades exclusivo de su entorno de TI. Los clientes potenciales orientados a la entidad provienen de datos de ataques de fuentes múltiples que, cuando se revisan, revelan los TTP más recientes de las ciberamenazas actuales. Luego, un cazador de amenazas puede buscar estos comportamientos específicos dentro del entorno.
La detección basada en Intel es un modelo reactivo de detección (enlace externo a ibm.com) que utiliza IoC de fuentes de inteligencia de amenazas. A partir de ahí, la detección sigue reglas predefinidas establecidas por el SIEM y la inteligencia de amenazas.
Las detecciones basadas en Intel pueden usar IoC, valores hash, direcciones IP, nombres de dominio, redes o artefactos de host proporcionados por plataformas de intercambio de inteligencia, como equipos de respuesta a emergencias informáticas (CERT). Una alerta automatizada se puede exportar desde estas plataformas e ingresar en el SIEM como expresión de información de amenaza estructurada (STIX) (enlace externo a ibm.com) y el intercambio automatizado confiable de información de inteligencia (TAXII ) (enlace externo a ibm.com). Cuando SIEM tenga el alerta basado en un IoC, el cazador de amenazas puede investigar la actividad maliciosa antes y después del alerta para identificar cualquier riesgo en el entorno.
La detección de hipótesis es un modelo de detección proactivo que utiliza una biblioteca de detección de amenazas. Está alineado con el marco MITRE ATT&CK y utiliza libros de jugadas de detección global para identificar grupos de amenazas persistentes avanzadas y ataques de malware.
Las detecciones basadas en hipótesis utilizan los IoA y los TTP de los atacantes. El cazador identifica a los actores de amenazas en función del entorno, el dominio y los comportamientos de ataque empleados para crear una hipótesis alineada con el marco MITRE. Una vez que se identifica un comportamiento, el cazador de amenazas supervisa los patrones de actividad para detectar, identificar y aislar la amenaza. De esta manera, el cazador puede detectar proactivamente a los actores de amenazas antes de que puedan dañar un entorno.
La detección personalizada se basa en la conciencia situacional y en metodologías de detección basadas en la industria. Identifica anomalías en las herramientas SIEM y EDR y se puede personalizar según los requisitos del cliente.
Las detecciones personalizadas o situacionales se basan en los requisitos de los clientes o se ejecutan de forma proactiva en función de situaciones, como problemas geopolíticos y ataques dirigidos. Estas actividades de detección pueden basarse en modelos de detección basados tanto en inteligencia como en hipótesis utilizando información de IoA e IoC.
Los cazadores usan datos de MDR, SIEM y herramientas de análisis de seguridad como base para una detección. También pueden usar otras herramientas, como analizadores de empacadores, para ejecutar detecciones basadas en la red. Sin embargo, el uso de herramientas SIEM y MDR requiere que todas las fuentes y herramientas esenciales en un entorno estén integradas. Esta integración garantiza que las pistas de IoA e IoC puedan proporcionar una dirección de detección adecuada.
MDR aplica inteligencia de amenazas y detección proactiva de amenazas para identificar y remediar amenazas avanzadas. Este tipo de solución de seguridad puede ayudar a reducir el tiempo de permanencia de los ataques y brindar respuestas rápidas y decisivas a los ataques dentro de la red.
Al combinar la administración de información de seguridad (SIM) y la administración de eventos de seguridad (SEM), la administración de eventos e información de seguridad (SIEM) ofrece monitoreo y análisis de eventos en tiempo real, así como también seguimiento y registro de datos de seguridad. SIEM puede descubrir anomalías en el comportamiento del usuario y otras irregularidades que brindan pistas esenciales para una investigación más profunda.
El análisis de seguridad se esfuerza por ir más allá de los sistemas SIEM básicos para ofrecer información más profunda sobre sus datos de seguridad. Al combinar los grandes datos recopilados por la tecnología de seguridad con machine learning e IA más rápidos, más sofisticados y más integrados, el análisis de seguridad puede acelerar las investigaciones de amenazas al proporcionar datos de observabilidad detallados para la detección de ciberamenazas.
La inteligencia de amenazas es un conjunto de datos sobre intrusiones intentadas o exitosas, generalmente recopiladas y analizadas por sistemas de seguridad automatizados con machine learning e IA.
La detección de amenazas utiliza esta inteligencia para llevar a cabo una búsqueda exhaustiva en todo el sistema de actores negativos. En otras palabras, la detección de amenazas comienza donde termina la inteligencia de amenazas. Además, una detección de amenazas exitosa puede identificar amenazas que aún no se han detectado en la naturaleza.
Y también, la detección de amenazas utiliza indicadores de amenazas como pista o hipótesis para una detección. Los indicadores de amenazas son huellas digitales virtuales dejadas por malware o un atacante, una dirección IP extraña, correos electrónicos de phishing u otro tráfico de red inusual.
Mejore significativamente las tasas de detección y acelere el tiempo para detectar, investigar y remediar amenazas. Aprenda a iniciar su propio programa de detección de ciberamenazas.
IBM Security Managed Detection and Response (MDR) ofrece una capacidad de prevención, detección y respuesta llave en mano, 24 horas al día, 7 días a la semana. Los cazadores de amenazas proactivos de IBM trabajan con las organizaciones para ayudar a identificar sus activos más importantes y sus preocupaciones fundamentales.
Construya su base SIEM y desarrolle un programa integral que pueda mejorarse con los tiempos cambiantes. Identifique amenazas internas, realice un seguimiento de los dispositivos de punto final, asegure la nube y gestione el cumplimiento con IBM Security.
La detección de amenazas es solo la mitad de la ecuación de seguridad. Para mejorar su centro de operaciones de seguridad (SOC), también debe considerar la respuesta inteligente a incidentes y una única plataforma integrada de orquestación, automatización y respuesta de seguridad (SOAR) con servicios administrados.
Encuentre y corrija sus vulnerabilidades conocidas y desconocidas más fundamentales con X-Force® Red. Este equipo autónomo de hackers veteranos trabaja con IBM para probar su seguridad y descubrir debilidades que los atacantes criminales pueden usar para beneficio personal.
Lea artículos sobre la detección de amenazas cibernéticas, incluida la inteligencia de amenazas, nuevas tácticas y defensas.
¿Qué es MDR y cómo alinea a su equipo de seguridad con las mejores prácticas? Descubra cómo un servicio de MDR eficaz ayuda a las organizaciones a lograr sus objetivos, incluida la detección de amenazas enfocada.
Comprenda sus riesgos de ataques cibernéticos con una visualización global del panorama de las amenazas.
El 2020 Cost of a Data Breach Report explora los impactos financieros y las medidas de seguridad que pueden ayudar a su organización a evitar una brecha de datos o, en caso de una brecha, a mitigar los costos.