Threat Hunting y Threat Intelligence

El presente artículo distingue entre Threat Hunting y Threat Intelligence, y comenta con gran detalle el ciclo de vida de la inteligencia de amenazas, incluyendo las etapas que lo conforman. También resalta el uso de marcos como MITRE ATT&CK y otras herramientas de uso libre utilizadas en ambas prácticas para fortalecer las capacidades de ciberseguridad en las organizaciones.

Es posible observar un dinámico y complejo escenario cibernético, en el que los incidentes y ataques en el ciberespacio a nivel mundial continúan en aumento, con múltiples ataques satisfactorios y redituables para los actores malintencionados, ataques cada vez más sofisticados y con un impacto considerable para todos los afectados. Por ello, cada día es más complicado realizar el resguardo y gestión apropiada de nuestros activos digitales.

Los equipos funcionales de ciberseguridad presentan como un reto en común el desarrollo de habilidades que fortalezcan las capacidades cibernéticas de sus organizaciones. Parte de estas habilidades para una defensa proactiva, preventiva y más efectiva ante los ciberataques son las habilidades asociadas a Threat Hunting o cacería de amenazas, y Threat Intelligence o inteligencia de amenazas. Ambas con elementos críticos y de suma importancia para la defensa de ataques cibernéticos, sobre todo de aquellos que podrían ser considerados como Advanced Persistent Threat (APT) o amenazas persistentes avanzadas.

Sin embargo, es imperativo señalar que Threat Hunting y Threat Intelligence son prácticas diferentes. Threat Intelligence o Cyber Threat Intelligence (CTI) es un proceso amplio y complejo que implica análisis y datos que rodean las tácticas, técnicas y procedimientos (TTP) usados en diversos ataques por los ciberdelincuentes o grupos criminales con actividad en Internet y sus múltiples zonas (Dark Web, Dark Net, Deep Web y Surface Web). En comparación, Threat Hunting se asocia a la búsqueda iterativa y proactiva para detectar amenazas avanzadas que pudieran tener la capacidad de evadir las soluciones de seguridad ya existentes en la organización.

La inteligencia de amenazas (Threat Intelligence) hace referencia a la información avanzada sobre amenazas para prevenir y combatir las amenazas cibernéticas hacia una organización. Se ha convertido en una de las herramientas más útiles y de mayor impacto para hacer frente a los complejos ataques cibernéticos, los equipos funcionales de ciberseguridad, como los blue team y los red team, sin duda han incrementado la visibilidad y detección de las amenazas al perfeccionar sus habilidades en esta práctica.

La inteligencia implica la recolección de información de diversas fuentes, correlacionar y realizar análisis avanzado para identificar tendencias, patrones, y relaciones que revelen oportunamente amenazas reales y potenciales. Como lo señala IBM “la inteligencia de amenazas ayuda a los equipos de seguridad a ser más proactivos, lo que les permite tomar medidas efectivas basadas en datos para impedir ciberataques antes de que ocurran”[1]. Lo anterior, permite a las organizaciones incrementar la capacidad cibernética defensiva incluso para hacer frente a los ataques en curso.

Cuando se hace uso de la inteligencia de amenazas no se habla de una o dos actividades, sino se hace referencia a todo un proceso, un ciclo mediante el cual los equipos de ciberseguridad operan y mantienen un modelo permanente para la inteligencia de amenazas.

El ciclo de vida del que hablamos considera en general las siguientes etapas: 1) Planificación, 2) Recopilación de datos, 3) Procesamiento, 4) Análisis, 5) Difusión y 6) Retroalimentación. En cada una, intervienen diferentes actores de la organización, pero los equipos funcionales de ciberseguridad requieren apoyo de todas las áreas de la organización. Además, la relevancia de la colaboración con otros equipos y otras instancias normalmente aumenta las capacidades cibernéticas de los mismos equipos, en beneficio mutuo.

Durante el ciclo de vida de la inteligencia de amenazas se hace uso de canales de inteligencia, comunidades de intercambio de información, registros y documentación interna de sistemas SIEM, SOAR, EDR, XDR, y ASM, entre otros. En la actualidad, también hace uso de marcos de inteligencia de amenazas como MITRE ATT&CK y herramientas potenciadas con inteligencia artificial (AI) y Machine Learning.

MITRE ATT&CK y MITRE CALDERA se han convertido en dos herramientas primordiales para estas prácticas, ya que además de ser un repositorio de alto valor y dar un marco de referencia en el cual se pueden encontrar y analizar las diversos TTP usadas en los ataques cibernéticos, permiten simular las TTP y verificar o probar operaciones de los adversarios.

Es significativo subrayar que la inteligencia de amenazas permite obtener información de alto valor que impacta diversas áreas de la organización, no solo a los equipos de ciberseguridad. La información resultante del proceso de inteligencia de amenazas es aplicada a la toma de decisiones a nivel operativo, táctico y estratégico. Los expertos y diversas organizaciones a nivel mundial con más frecuencia incorporan procesos de inteligencia de amenazas para fortalecer a las organizaciones y sus activos críticos.

Por último, les dejo algunas de las herramientas open source que se usan comúnmente para complementar las actividades de Threat Hunting y Threat Intelligence, subrayando que en la actualidad ambas prácticas se complementan con el único objetivo de robustecer las capacidades de ciberseguridad de las organizaciones.

Herramientas Open Source[2]

Threat Intelligence

Cyber Threat Hunting

YETI

MISP

OpenCTI

Harpoon

DeepBlueCLI

APT-Hunter

Sysmon

Los invitamos a investigar y explorar más sobre estas y otras herramientas que pueden complementar las herramientas y servicios que los equipos funcionales de ciberseguridad al interior de su organización y sobre todo a considerar el fortalecimiento de los equipos de ciberseguridad mediante el desarrollo de nuevas habilidades y técnicas avanzadas para la defensa en el ciberespacio.

[email protected]

Fuentes de consulta

IBM. (2023). “Threat Intelligence”.

Garther. (2017). “How to Hunt for Security Threats”.

ESET. (2021). “Herramientas para realizar Threat Hunting y Threat Intelligence”.

[1] IBM. (2023). “Threat Intelligence”.

[2] ESET. (2021). “Herramientas para realizar Threat Hunting y Threat Intelligence”.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Threat Hunting y Threat Intelligence

Deja tu comentario