Una de las principales predicciones para el año 2019 en nuestro informe anual de PandaLabs es el auge de los ataques sin malware. Esto se debe, por una parte, a la mayor dificultad para detectarlos, y por otra, a la mayor capacidad ciberofensiva mundial, tanto por parte de estados como de bandas criminales, asociadas o no a estados.
Para hacer frente a un tipo de ataque que es difícil de detectar, hace falta emplear técnicas más completas y avanzadas. Porque ahora el malware ya no es el principal reto para las empresas que cuentan con una ciberseguridad avanzada, pero sí lo es el detectar comportamientos sospechosos en usuarios, máquinas y procesos. Es por esta razón que el Threat Hunting es tan importante en el panorama de ciberseguridad actual; la búsqueda proactiva de amenazas es la mejor manera de asegurar una seguridad total frente a hackers cada vez más profesionalizados.
Threat Hunting Report 2019
El informe anual de Threat Hunting de Cybersecurity Insiders revela unas estadísticas muy importantes acerca de la integración y el conocimiento de esta técnica en el mundo de la ciberseguridad empresarial, y también los desafíos a los que se enfrentan los profesionales de ciberseguridad.
Los retos
El 46% de las empresas han experimentado un incremento de la severidad de los ciberataques, algo que sirve para subrayar la importancia de emplear las técnicas más avanzadas para frenar su avance. Esto lo saben los profesionales de ciberseguridad: son cada vez más conscientes de la importancia de buscar las amenazas de forma proactiva. Según el informe, el 77% de estos profesionales tienen algún conocimiento o mucho conocimiento del Threat Hunting, un aumento del 4% frente al año pasado.
Pero, ¿cuáles son los retos de seguridad para estos profesionales? El principal reto para el 55% de las empresas es la detección de las amenazas avanzadas. Otros retos importantes son el hecho de perder demasiado tiempo en las falsas positivas, y una falta de personal experto para mitigar las amenazas.
Los objetivos
El objetivo principal del Threat Hunting es, en general, proteger la empresa y asegurar los activos y la información de la empresa. Así lo reconocen los profesionales de ciberseguridad; para el 58% de los profesionales, el objetivo de su actividad de Threat Hunting es reducir la exposición a las amenazas externas. Otros objetivos son mejorar la rapidez y la precisión de la respuesta ante amenazas (53%) y reducir la cantidad de brechas (52%).
Con objetivos tan importantes para la seguridad de las empresas, no es de sorprender que el 83% de los profesionales cree que el Threat Hunting debería ser la iniciativa más importante para la detección temprana de las amenazas.
Frecuencia de Threat Hunting
Algo que subraya la falta de profesionales expertos en Threat Hunting es la cantidad de tiempo que se invierte en las actividades: de promedio, los profesionales de ciberseguridad pasan el 62% de su tiempo reaccionado a amenazas, y solo el 38% buscando amenazas de manera proactiva, la clave de esta técnica.
Otra estadística reveladora es la frecuencia con la que las empresas llevan a cabo el Threat Hunting. Solo el 32% de las empresas llevan a cabo el Threat Hunting de manera continuada, mientras el 40% lo llevan a cabo cuando es necesario. Ya que el Threat Hunting en sí es una técnica proactiva, emplearlo de manera reaccionaria reduce significativamente su eficacia.
Métodos de Threat Hunting
El Threat Hunting eficaz requiere una amplia gama de fuentes de datos para detectar anomalías y actividades sospechosas lo antes posible. La mayoría (66%) de las empresas priorizan los logs de sistemas como la fuente más importante de datos, seguido del tráfico del firewall/IDS y el tráfico de la red.
Hay múltiples conjuntos de datos para investigar durante una labor de Threat Hunting. La mejor opción es recopilar, normalizar y analizar los datos de todas las fuentes posibles para conseguir una idea más completa y más precisa de lo que ha ocurrido.
Junto con una visión comprehensiva de los datos, otro paso esencial para el Threat Hunting es entender los IoCs (indicadores de compromiso) para poder desarrollar métodos efectivos de defensa contra futuros problemas. Saber qué IoCs se tienen que buscar ayuda a los profesionales de ciberseguridad a clasificar y remediar las amenazas. Los IoCs que más investigan los equipos de ciberseguridad son anomalías de comportamiento (69%), direcciones IP sospechosas, y conexiones denegadas.
En cuanto a las capacidades necesarias para cazar las amenazas, el más importante para el 64% de los profesionales es la inteligencia de amenazas
Las ventajas de Threat Hunting
Está claro que el uso de esta técnica tiene muchas ventajas en un entorno corporativo a la hora de proteger los sistemas al proporcionar una protección contra las amenazas más avanzadas. En esto, los profesionales están de acuerdo; el 62% cree que la detección de las amenazas avanzadas es la ventaja más importante de Threat Hunting. Otras ventajas importantes incluyen una reducción en el tiempo necesario para investigaciones, un ahorro de tiempo al no tener que correlacionar los eventos manualmente, y la creación de nuevas maneras de descubrir amenazas.
La solución
Es evidente que una falta de profesionales expertos puede dificultar la labor de Threat Hunting en una empresa, mientras el tiempo investigando falsos positivos puede ralentizar el trabajo de los equipos de ciberseguridad.
Para conocer cómo llevar a cabo un proceso de Threat Hunting efectivo, no te pierdas las novedades en tecnología de producto que presentaremos este 23 de mayo en el Panda Security Summit, el mayor encuentro europeo de ciberseguridad. ¡Regístrate ya y ven a hablar con nuestros expertos!