Cada vez más, las empresas toman conciencia de la importancia de crear capacidades de detección y caza de amenazas que evite poner en riesgo la continuidad de su negocio.
La popularidad de los servicios de Threat Hunting es consecuencia de detectar ataques cada vez más persistentes con una duración cada vez más dilatada en el tiempo. Es más, los cibercriminales tienen en mente maneras de evadir las medidas de defensa tradicionales. Por lo tanto, además de detectar los ataques, es cada vez más importante tratar de adelantarse a los ciberataques para que el gap de detección se reduzca todo lo posible.
Sin embargo, la falta de presupuesto de las organizaciones, de tecnologías, de procesos y, sobre todo, de un equipo de expertos para hacerlo desde cero, hace que sea imposible para la mayoría construir y evolucionar su defensa tan rápidamente como lo hace el cibercrimen.
En este ecosistema, el Threat Hunting se posiciona como una de las tendencias más importantes en la ciberseguridad corporativa de los últimos tiempos. Pero para entender por qué Threat Hunting es un concepto tan importante hoy en día, es imprescindible saber exactamente qué es.
¿Qué es Threat Hunting? Se puede definir como “…el proceso de búsqueda iterativa y proactiva a través de las redes para detectar y aislar amenazas avanzadas capaces de evadir las soluciones de seguridad existentes.”
¿Qué lo hace diferente? La proactividad es lo que realmente diferencia el Threat Hunting de medidas tradicionales de gestión de amenazas como firewalls, intrusion detection systems (IDS), sandboxing, y sistemas SIEM. Todas estas medidas implican una investigación después de que se haya producido una alerta de un ataque potencial o un incidente de seguridad, es decir son medidas reactivas, no proactivas.
Es más, la proactividad es muy importante en las soluciones de ciberseguridad avanzadas. El cambio de enfoque de EPP (Endpoint Protection) a EDR (endpoint detection and response) significa que existe una telemetría en tiempo real, lo que es fundamental para poder realizar el Threat Hunting.
Desgrana todos los destalles y ventajas que el Threat Hunting puede aportar a tu compañía en el webinar dirigido por Conrado Crespo, Country Partners Presales Manager de Panda Security.
Características de Threat Hunting
La característica más importante de Threat Hunting es, tal como hemos comentado, su enfoque: aquí hablamos de un enfoque proactivo frente las amenazas. Esto quiere decir que no es una respuesta ante incidentes, aunque sí están conectados, ya que a partir de los resultados de la investigación y las conclusiones es posible establecer nuevos indicadores de ataque o de compromiso. Las medidas de Threat Hunting tratan de suplir lo que las herramientas más tradicionales no pueden ver.
Sin embargo, aunque lo pueda parecer, el Threat Hunting no reemplazará a otras estrategias como Threat Detection.
¿Y cómo funciona la caza de amenazas?
Threat Hunting de Panda Adaptive Defense descubre nuevos patrones de ataque mediante la identificación automática de anomalías en el comportamiento de cada usuario, proceso y máquina.
A continuación, los cazadores de amenazas dirigen las investigaciones que desentrañan la causa principal, toman una respuesta inmediata y guían el plan de acción para reducir la superficie de ataque de manera exitosa,
Además, cada nuevo patrón de ataque se convierte también en un comportamiento de detección de amenazas para detener a futuros hackers antes de que se produzcan daños, creando así un ciclo de aprendizaje y detección.
¿Esto pone fin a la ciberdelincuencia? En realidad, no. Pero se vuelve tan difícil y costoso para el atacante que deja de ser rentable, hasta el punto de pasar a otro objetivo. Porque definitivamente, el Threat Hunting hace que tu negocio prevalezca.