Cabecera blog ciberseguridad

Threat Hunting & Respuesta a Incidentes: Dos servicios complementarios y necesarios

- Ciber 4 All Team

35 millones de dólares. Este es el importe de las pérdidas provocadas por un ciberataque que sufrió en agosto Halliburton, una multinacional del sector energético. Aunque la cifra es impactante, las consecuencias del incidente podrían haber sido más graves si la víctima hubiese sido una compañía con menos recursos y un nivel de madurez de ciberseguridad inferior.

Incidentes como este evidencian que servicios de ciberseguridad avanzados como Threat Hunting e Incident Response son esenciales a la hora de detectar ciberamenazas, ser proactivos en su erradicación y actuar con la máxima eficacia desde el segundo 1 de un incidente de seguridad.

1. ¿Qué es el Threat Hunting?

Para abordar la comparativa entre Threat Hunting e Incident Response debemos entender en qué consiste cada uno de estos servicios. Los Threat Hunters se encargan de:

  • Realizar una búsqueda activa y continua de amenazas a partir de hipótesis de compromiso.
  • Detectar técnicas, tácticas y procedimientos (TTPs) de actores hostiles que no han generado alertas por parte de los mecanismos de detección de una empresa.
  • Identificar nuevas TTPs.
  • Analizar la telemetría disponible gracias a la tecnología EDR/XDR de cara a detectar si se ha producido actividad maliciosa en el contexto de la empresa.
  • Aportar información de gran relevancia al equipo de Red Team para que realice ejercicios lo más realistas posibles.

Así, los servicios de Threat Hunting permiten a las compañías detectar amenazas de forma temprana y descubrir operaciones maliciosas, aunque la tecnología no sea capaz de hacerlo.

2. ¿En qué consiste el Incident Response?

Por su parte, los servicios de respuesta a incidentes tienen una doble misión:

  • Preparar a las empresas para hacer frente a un ciberataque.
  • Responder en el menor tiempo posible y con la máxima eficacia a un incidente de seguridad.

Para cumplir estos objetivos, los profesionales de Incident Response deben realizar antes de que se produzca un ciberataque:

  • Readiness Assessment periódicos que les permita responder a un ciberataque en menos de 1 hora.
  • Compromise Assessment continuos para identificar actividad maliciosa que no haya sido detectada con anterioridad.
  • Simulacros de incidentes, de cara a optimizar la forma de responder ante ellos.
  • Análisis de amenazas que sirvan para identificar actores hostiles que podrían lanzar ciberataques contra la empresa y poner en marcha medidas que contribuyan a evitarlo.

¿Qué sucede cuando un incidente de seguridad está en marcha? Los servicios de Respuesta a Incidentes se encargan de:

  • Comprender el incidente de seguridad en toda su amplitud.
  • Investigar el incidente e identificar el alcance e impacto del compromiso. Lo que implica conocer los permisos de los que disponen los actores hostiles y dilucidar su capacidad de dañar a la empresa.
  • Orquestar una respuesta a medida del incidente y lograr expulsar al actor malicioso de la infraestructura corporativa.
  • Asegurarse de que el actor hostil no puede volver a comprometer a la empresa.
  • Analizar el incidente y la respuesta al mismo para saber con precisión qué sucedió, identificar las debilidades explotadas por los actores maliciosos y proponer una serie de recomendaciones que permitan evitar incidentes futuros.

Así, la comparativa entre Threat Hunting e Incident Response nos permite vislumbrar que no se tratan de servicios excluyentes, sino al contrario, se complementan y contribuyen a mejorar las capacidades de detección y respuesta ante incidentes de las compañías.

Why it is important to have a continuous threat hunting and incident response service

3. La importancia de la proactividad y la continuidad en el Threat Hunting y el Incident Response

Más allá de las diferencias entre Threat Hunting e Incident Response que venimos de listar, ambos servicios deben tener dos características comunes que son críticas para garantizar su eficacia:

  • Proactividad. Si los servicios de Threat Hunting y Respuesta a Incidentes no son proactivos en la detección de actividad maliciosa y operaciones delictivas, su efectividad se ve resentida. Por el contrario, un servicio de Threat Hunting que se realice desde un enfoque proactivo puede detectar amenazas en fases muy tempranas y evitar que el actor malicioso llegue a producir un incidente significativo. De la misma manera, si una empresa opta por implementar un servicio de Respuesta a Incidentes proactivo podrá tomar medidas para estar preparada para un incidente de seguridad y responder eficientemente desde el primer momento y así minimizar cualquier impacto.
  • Continuidad. Algunas empresas no disponen de servicios de Threat Hunting y Respuesta a Incidentes que trabajen de forma continua, sino que optan por:
    • Un Threat Hunting basado en Campañas, con una frecuencia, alcance y adaptabilidad limitadas.
    • Una Respuesta a Incidentes reactiva, es decir, que solo comience a trabajar cuando se detecta un incidente y no realice ningún tipo de preparación previa, lo que reduce la capacidad de responder con rapidez y eficacia. Solo mediante servicios de Threat Hunting e Incident Response continuos se puede optimizar al máximo la detección de amenazas y la respuesta ante incidentes.

4. Threat Hunting & Incident Response: Quién debe responder a una amenaza detectada

Habida cuenta de lo que venimos de contar, resulta evidente que más que hablar de Threat Hunting o Incident Response debemos señalar la importancia de que ambos servicios se presten de manera colaborativa. ¿Por qué?

  • El conocimiento y la experiencia de los Threat Hunters es esencial a la hora de realizar tareas clave de Incident Response proactivo y que ponga el foco en la preparación y la prevención:
    • Compromise Assessment.
    • Análisis de amenazas.
  • Como ya hemos apuntado, los Threat Hunters son capaces de analizar la información que ofrece la telemetría y detectar amenazas en fases muy tempranas. Esto redunda en la capacidad para resolver un incidente en poco tiempo y lograr que su impacto en el funcionamiento de una empresa sea muy limitado.
  • Entre los propios profesionales de ciberseguridad existe un debate en torno a quién debe hacerse cargo de:
    • La respuesta a una amenaza detectada por los Threat Hunters.
    • La identificación del alcance de un compromiso.
    • El diseño de estrategias y planes de contención y remediación.

Que exista esta duda evidencia que la colaboración entre los equipos de Threat Hunting e Incident Response debe ser lo más estrecha posible para optimizar su forma de operar e incrementar la capacidad de detección y respuesta de una empresa.

5. Cinco beneficios de implementar Threat Hunting e Incident Response

La comparativa entre Threat Hunting e Incident Response nos ayuda a vislumbrar cinco grandes beneficios muy atractivos para las empresas que implementen ambos servicios:

  1. Detección más temprana de amenazas y neutralización eficaz de las mismas, incluso antes de que se llegue a producir un incidente significativo.
  2. Mayor cobertura de tácticas, técnicas y procedimientos maliciosos e investigación continua sobre nuevas TTPs.
  3. Incremento de la capacidad de contener el impacto y reducir la duración de un incidente de seguridad.
  4. Proteger la continuidad de negocio en caso de que se produzca un incidente y minimizar el daño que pueda causar en clientes, proveedores o trabajadores.
  5. Reducir el impacto económico de un ciberataque exitoso. Gracias a los servicios de Threat Hunting y Respuesta a Incidentes se puede mitigar el impacto de un ciberataque en la operatividad de una empresa, y no resulta necesario invertir una gran cantidad de recursos de gestionar un incidente desde cero.

Si quieres recibir más información sobre cómo preparar tu empresa ante las amenazas de seguridad, ponte en contacto con nosotros y te asesoraremos sin compromiso.