Threat Hunting Continuo vs. Threat Hunting basado en Campañas
El Threat Hunting activo permite detectar amenazas de forma temprana y es más completo que el Threat Hunting basado en campañas
El modelo clásico de Threat Detection ha sido considerado tradicionalmente un modelo reactivo, entendiendo dicha reactividad desde la perspectiva de las investigaciones que se llevan a cabo tras la generación de una alerta previa.
Hasta no hace mucho, la tecnología no ha sido capaz de recopilar suficiente información fiable (telemetría) para detectar patrones maliciosos que escapan a los sistemas de detección tradicionales. En cambio ahora, con la madurez tecnológica suficiente, el Threat Hunting se alza como un nuevo servicio que permite buscar proactivamente estas amenazas.
Qué es y qué no es Threat Hunting
El hecho de que no exista un consenso unívoco de qué es o qué no es Threat Hunting es especialmente revelador, y valgan los siguientes ejemplos como casos que comúnmente pueden generar algún tipo de confusión:
- Responder a una amenaza detectada para identificar el alcance de un compromiso y desarrollar estrategias de contención o remediación, ¿es Threat Hunting o Incident Response?
- Investigar una alerta de una herramienta de seguridad para determinar si es un falso positivo o actividad maliciosa, ¿es Threat Hunting o Threat Detection?
- Recopilar información sobre actores y sus TTPs e infraestructura, ¿es Threat Hunting o Threat Intelligence?
- Añadir una lista de IOCs, tales como IPs, hashes, dominios o URLs a una herramienta de seguridad y esperar a que se encuentren coincidencias, ¿es Threat Hunting o actividades propias de un SOC?
En lo que la mayoría sí nos ponemos de acuerdo es que Threat Hunting incluye, al menos:
- La búsqueda proactiva de amenazas en la que se descubren trazas de adversarios que no han generado una alerta.
- Confirmar actividad maliciosa mediante el análisis de la telemetría disponible en el contexto de una organización concreta.
- Habitualmente se complementa con capacidades de contención de amenaza, reduciendo de este modo su impacto.
- Ya menos habitual, pero igualmente positiva, es la emisión de recomendaciones de recuperación (que no serían ejecutadas bajo el contexto del servicio de Threat Hunting).
Bajo esta definición, un servicio de Threat Hunting es perfectamente sinérgico y complementario a otras iniciativas de Threat Intelligence, Threat Detection (generalmente ofrecido por SOCs o los propios vendors de EDRs) o como pieza clave dentro de un proceso de Incident Response.
Comparativa entre Threat Hunting Continuo y Threat Hunting basado en Campañas
Todo sería maravilloso si hubiese consenso sobre lo anteriormente expuesto, pero incluso entre aquellos que abogamos por lo que venimos de señalar existen diferentes modelos de Threat Hunting. En la actualidad nos encontramos con la existencia de diferentes modelos hegemónicos de Threat Hunting, cada uno de los cuales contempla sus propias prioridades y arrojan diferentes resultados en cuanto a capacidad de detectar precozmente cualquier actividad maliciosa. El pilar fundamental de un modelo de Threat Hunting es la búsqueda proactiva de amenazas mediante el establecimiento de Hipótesis de Compromiso.
De entre los modelos más habituales se destacan los siguientes:
- Threat Hunting Continuo.
- Threat Hunting basado en Campañas.
El modelo de Threat Hunting Continuo proporciona una mayor cobertura y mejores tiempos de respuesta. Éste se basa en tres puntos fundamentales: frecuencia, alcance y adaptabilidad.
A continuación, se compara el modelo de Threat Hunting Continuo con el otro modelo más popular, el conocido como Threat Hunting basado en Campañas.
Frecuencia
El modelo de Threat Hunting Continuo parte de la premisa de que el parque de activos que protegemos está siempre comprometido. Esto obliga a mantener una posición proactiva que requiere el establecimiento de Hipótesis de Compromiso y búsquedas en la telemetría para confirmar o descartar dichas hipótesis. Manteniendo dichas búsquedas en la telemetría de forma continua en el tiempo, se reduce significativamente el tiempo de detección de amenazas cuya presencia no ha generado ninguna alerta.
Este modelo contrasta con el enfoque de Threat Hunting basado en Campañas, donde la cobertura se limita al período de la campaña y a las TTPs que dicha campaña contempla. Este modelo arroja puntos ciegos en la detección y periodos amplios en los que un adversario podría pasar desapercibido.
Otro punto crítico dependiente del modelo de Threat Hunting es la gestión de los datos y la telemetría. En un modelo de Threat Hunting Continuo, retenciones a corto plazo de datos por parte de los EDR no supondrán un problema para hacer un análisis retrospectivo completo. Al realizar búsquedas de forma continua, las acciones maliciosas siempre tendrán reflejo en la telemetría disponible, por corto que sea el periodo de retención de la telemetría. Por el contrario, un modelo de Threat Hunting basado en Campañas correrá el riesgo de no buscar una determinada TTP debido a que la telemetría ya haya rotado, impidiendo de este modo su detección.
Alcance
Otro de los puntos fuertes del modelo de Threat Hunting Continuo es la exhaustividad en la búsqueda de amenazas. Mientras que el Threat Hunting basado en campañas se centra únicamente en las TTPs específicas asociadas con la campaña en curso, el modelo de Threat Hunting Continuo cubre todas las TTPs conocidas por el servicio. Esto garantiza que todas las TTPs sean analizadas de forma continua, y no solo aquellas que contempla una determinada campaña.
Adaptabilidad
Además de su mayor cobertura, el modelo de Threat Hunting Continuo también ofrece una ventaja en términos de adaptabilidad y capacidad de respuesta. Al mantener una vigilancia constante, los equipos de seguridad pueden identificar y abordar nuevas tácticas y técnicas utilizadas por los adversarios, incluso antes de que se conviertan en una amenaza generalizada.
El Threat Hunter puede analizar e incluir en el modelo de Threat Hunting Continuo una nueva amenaza desde el día cero en el que se detecta, sin esperar a que forme parte de una campaña. Por lo tanto, basándonos en la definición de Threat Hunting Proactivo, el modelo de Threat Hunting Continuo ofrece no solo una mejor cobertura y tiempos de detección más cortos, si no que asume antes las nuevas amenazas emergentes que todavía no cualifican para incluirse en una campaña.
Conclusión
Un modelo de Threat Hunting Continuo como el que proporciona la división BlackArrow de Tarlogic es manifiestamente más completo que un modelo de Threat Hunting basado en Campañas, ya que proporciona:
- Mayor cobertura de TTPs.
- Detección más temprana de amenazas.
- Mayor agilidad a la hora de probar nuevas TTPs.
Mientras que un modelo de Threat Hunting basado en Campañas introduce una serie de riesgos que, desde nuestro punto de vista, no deberían ser aceptables. Como por ejemplo, el riesgo de no buscar una determinada TTP en tiempo y forma, e incluso una vez la telemetría disponible haya rotado, lo cual imposibilitaría del todo su detección.