Threat Hunting

Threat Hunting

Mejora la eficiencia de detección y respuesta ante ciber amenazas

Contacto

¿Sabías que el tiempo medio para detectar una brecha de seguridad es de 200 días? ¿Sabías que, una vez detectada, se necesita una media de 66 días para contener el incidente? Esto nos enseña que los actuales mecanismos de detección y respuesta son insuficientes.

Aunque la mayor parte del mercado habla de threat hunting para explicar sus mecanismos de detección, la realidad es que muy pocos desarrollan enfoque de hunting preciso.

¿Por qué Threat Hunting Proactivo?

Todos conocemos casos de organizaciones que, aun dedicando un esfuerzo considerable, no terminan de tener éxito a la hora de detectar amenazas avanzadas. En algunos casos llegan incluso a ser impactadas por bandas de ransomware, debido a una falta de capacidades de detección y respuesta adecuadas.

Este escenario se hace evidente en la medida en que comprobamos que un enfoque Threat Detection clásico no es suficiente, por lo que se hace necesario evolucionar un modelo de SOC tradicional a otro de Threat Hunting proactivo. Esto implica una mayor focalización en el análisis de TTPs en lugar de IOCs, bajo un enfoque proactivo mediante la asunción de Hipótesis de Compromiso en lugar de enfoques reactivos como consecuencia de la detección de un evento de seguridad.

SOC tradicional

Threat Detection

Se protege contra un ataque bien conocido

Reactividad

La investigación se lleva a cabo tras una alerta o evento

Capas de detección

Tecnología SIEM, IDS, FWs o Proxy, entre otras

Ataques conocidos

Detección basada en Patrones e IOC

Setup complejo

Despliegue de tecnología, creación de casos de uso, diversidad de fuentes, puntos ciegos, fallos de configuración, alertas y falsos positivos

Enfoque avanzado

Threat Hunting

Se investigan nuevas formas de ataque

Proactividad

Estamos constantemente investigando escenarios de compromiso no detectado, lo cual requiere asumir que un ataque sofisticado se ha podido producir aunque no se hayan generado eventos de seguridad

Telemetría & Deception

Recogemos y analizamos actividad en los endpoints, servidores y campañas de deception

Ataques desconocidos y dirigidos

TPP, inteligencia, investigaciones y detección basada en hipótesis

Fácil setup

Detección basada en la telemetría proporcionada por tecnología EDR/XDR

¿Qué hace que nuestro enfoque de Threat Hunting sea tan especial?

Nuestro servicio de Threat Hunting Proactivo 24x7 conoce a los Adversarios Maliciosos mejor que un SOC tradicional, habilitando la posibilidad de detectar y responder ante una Operación Malicioso incluso antes de que se haya generado un solo evento de seguridad. Esto se consigue gracias a que nuestro modelo de Threat Hunting Proactivo se basa en los siguientes principios:

Agnóstico a la tecnología

Hunting solo con EDR/XDR aprobados

  • Analizamos continuamente la tecnología existente que nos permita realizar un servicio de Threat Hunting de alta calidad.
  • Para mantener nuestro estándar de calidad solo utilizamos tecnologías que hayan pasado un estricto proceso de evaluación interna

Mentalidad ofensiva

Conocemos a los adversarios

  • Incluso cuando no existe una detección por parte de la tecnología, nuestros expertos pueden identificar Operaciones Maliciosas a partir de la telemetría disponible
  • Nuestro equipo de Red Team es un extraordinario acelerador del servicio de Threat Hunting
  • Desplegamos nuestra tecnología de detección, llamada Threat Hunting Intelligence™, sobre las capacidades de detección del EDR/XDR

Hipótesis de compromiso

Threat Hunting Proactivo

  • Nuestro servicio contempla un proceso permanente de hunting proactivo basado en hipótesis de compromiso
  • Manteniendo hipótesis de compromiso se posibilita la detección de Actores Maliciosos desconocidos
  • Realizamos miles de consultas propias mensuales, sobre la telemetría disponible, para la detección de amenazas desconocidas

Equipo reconocido

Expertos

  • Nuestros hunters son auténticos investigadores pensando como adversarios reales
  • Esto nos permite tener un servicio excepcional que considera las técnicas de ataque más innovadoras y las posibilidades de evasión de detección
  • Utilizamos la tecnología más innovadora para analizar amenazas emergentes

Threat Hunting Intelligence ™ como valor diferencial de nuestro servicio de Threat Hunting

Threat Hunting Intelligence EDR/XDR gaps Threat actors Research Red team Malops Advisors

Nuestro servicio de Threat Hunting se ve acelerado no solo por la investigación continua, estudio de Operaciones Maliciosas, perfilado de Actores Maliciosos o el análisis de advisories públicos, si no también por la mejora de capacidades de detección incluso cuando la amenaza es capaz de realizar técnicas de evasión avanzadas.

Todas estas mejoras conforman nuestra Threat Hunting Intelligence™, la cual se incluye en nuestro único servicio de Threat Hunting.

Bajo este contexto resulta particularmente relevante el hecho de que nuestro equipo de Red Team aporta un extraordinario acelerador del servicio de Threat Hunting y viceversa. De hecho, el enfoque combinado de ambos servicios al mismo tiempo es una posibilidad cada vez más demandada:

Servicio de Red team

Nuestro Red Team simula Actores Maliciosos, adversarios o ciber ejercicios para evadir capas defensivas

Reportamos continuas posibilidades de mejora al equipo de Threat Hunting

Servicio de Threat hunting

Nuestros investigadores están aprendiendo continuamente nuevas técnicas, tácticas y procedimientos (TTPs) utilizadas por actores maliciosos, proceso que es acelerado por ejercicios de Red Team

Sobrepasando las capacidades de detección del EDR/XDR

Con el objeto de realizar un servicio de Proactive Threat Hunting extraordinario, solo utilizamos soluciones EDR/XDR una vez éstas han sido aceptadas tras un intenso proceso de testing* y sometimiento a técnicas de evasión llevadas a cabo en nuestro laboratorio.

Adicionalmente a las capacidades de detección proporcionadas por la tecnología EDR/XDR, nuestro servicio de Threat Hunting despliega capacidades adicionales y de forma proactiva realiza miles de pruebas de detección adaptadas al contexto de cada cliente.

*El proceso de aprobación de la tecnología EDR/XDR utilizada es continuo, por lo que si está interesado en alguna otra solución tecnológica no dude en contactar con nosotros para más información.

crowdstrike sentinelone Microsoft_endpoint_defender Cortex

Preguntas frecuentes sobre threat hunting

¿Qué es Threat Hunting?

Threat Hunting es un servicio destinado a la detección proactiva de amenazas avanzadas, tanto en equipos corporativos como redes, mediante el establecimiento de hipótesis de compromiso, así como la respuesta a dichos compromisos.

¿Cuáles son los beneficios del Threat Hunting?

Un servicio de Threat Hunting está específicamente focalizado en afrontar amenazas desconocidas. Esto puede llevarse a cabo gracias a que, en lugar de poner el foco en Indicadores de Compromiso (IOC), utiliza técnicas, tácticas y procedimientos de MITRE para detectar Operaciones Maliciosas que pudiera realizar un APT allá donde no existan IOCs.

¿Qué hace un Threat Hunter?

Un Threat Hunter necesitan cubrir las siguientes actividades:

  • Analizar detecciones sospechosas provenientes de tecnologías EDR o XDR, incluyendo aquellas investigaciones que requieran confirmar una operación maliciosa o su descarte por falso positivo.
  • Investigación de amenazas, incluyendo el mantenimiento de un conocimiento actualizado y detalles a bajo nivel de vulnerabilidades, exploits, APT, campañas de ataque, técnicas, tácticas y procedimientos que un actor malicioso podría llegar a utilizar para comprometer a las organizaciones y sus recursos.
  • Transformar resultados de las actividades de investigación en hunting proactivo mediante la explotación de los datos o telemetría disponibles.

¿Cuáles son los tipos de Threat Hunting?

Aunque el objetivo sea el mismo, las actividades de Threat Hunting difieren con respecto al Threat Detection tradicional en el modo con el que se logran dichos objetivos. Algunas de las principales diferencias podrían resumirse de la siguiente forma:

  • El Threat Hunting requiere investigar proactivamente amenazas desconocidas, mientras que el Threat Detection es un proceso reactivo inicializado a partir de la generación de una alerta.
  • El Threat Hunting analiza TTPs, mientras que el Threat Detection se focaliza en IOCs y patrones previamente conocidos.

El Threat Hunting se focaliza en el análisis de datos y telemetría proporcionada por tecnologías EDR o XDR, mientras que el Threat Detection analiza eventos y logs centralizados en un SIEM.

¿Qué es un equipo de hunting?

El equipo que realiza actividades de Threat Hunting de ciberseguridad no está basado en capas como un servicio de Threat detection tradicional. En su lugar, los Threat Hunters siempre poseen las máximas capacidades técnicas que permitan conocer cómo un ataque funciona internamente, de modo que pueda identificar cualquier operación maliciosa con tan solo analizar los recursos disponibles, tales como datos y telemetría (incluso cuando no exista una alerta en la tecnología asociada a la operación maliciosa).

De entre las disciplinas que un equipo de Threat Hunting necesita disponer, se destacan (entre otras):

  • Ámplia Experiencia en técnicas ofensivas
  • Excelente comprensión de Windows y Linux internals, así como redes y comunicaciones.
  • Ingeniería inversa de malware
  • Investigación continua para conocer las nuevas técnicas ofensivas emergentes.
  • Soporte a los equipos involucrados en la Respuesta a Incidentes.