En la actualidad, las empresas buscan sistemas de protección a nivel de ciberseguridad ante la entrada de amenazas como pueden ser los diferentes tipos de malware: ransomware, troyanos, etc. Gran parte de los esfuerzos se basan en la seguridad perimetral evitando al máximo la entrada de este tipo de amenazas, pero…, ¿qué sucede si ya están dentro?
Aquí es donde nos ayuda el Threat Hunting, el cual se basa en analizar de forma proactiva nuestros sistemas para detectar amenazas ya existentes en nuestra organización pudiendo así tomar las medidas correctivas necesarias para eliminarlas y mitigar su efecto malicioso.
Esto permite que nuestra organización mejore en protección de cara a posibles amenazas que pueden penetrar en nuestra seguridad perimetral, y es que es importante tener en cuenta que es muy difícil (por no decir imposible) blindar completamente la superficie de ataque que exponemos al exterior en un mundo tan interconectado digitalmente como el actual.
El enfoque inicial en este caso es considerar que ya estamos comprometidos y por tanto la amenaza ya está dentro. ¿Qué debemos hacer por tanto?, buscarla y encontrarla lo antes posible para desactivarla y eliminarla. El tiempo corre en nuestra contra.
Aquí es donde un vSOC (Virtual Security Operations Center), que incorpora sistemas de Threat Hunting avanzados, nos permite la identificación y detección de estas amenazas ya existentes internamente tomando las medidas correctivas necesarias de forma ágil y evitando así al máximo el tiempo de exposición con tiempos de respuesta muy cortos.
Caso práctico de Threat Hunting en Ciberseguridad
Como ejemplo práctico, imaginemos que tenemos dos equipos de servidores, un equipo A y un equipo B. En un momento determinado el antivirus del equipo B detecta un fichero malicioso y lo bloquea. En este punto, podríamos pensar que estamos protegidos y que el agente de antivirus del equipo ha realizado su función y no hace falta preocuparnos de nada más, pero aquí es donde nos equivocamos.
¿Qué sucede si el mismo malware ha sido ejecutado anteriormente por el equipo A antes que el antivirus pudiera detectarlo? Las detecciones de los antivirus o incluso de los sistemas EDR (Endpoint Detection & Response) más avanzados, no garantizan al 100% que no pueda colarse malware sin ser detectado y, por tanto, a veces puede entrar dicho malware antes que los sistemas de protección lo puedan detectar.
En este caso práctico, el Virtual SOC se encarga de recoger los datos de la detección en el equipo B y buscar indicadores de compromiso (IOC) del malware en cuestión. Estos indicadores no son más que pistas sobre qué actividad realiza el malware una vez ejecutado, por ejemplo, direcciones IP externas o URLs a donde accede. Con esta información podemos analizar los logs recogidos en los últimos días o semanas y buscar accesos de equipos de nuestra organización hacia esas IPs comprometidas o actividad sobre cualquier de los IOCs detectados. Esto nos permitirá identificar que el equipo A había intentado acceder a esos IOCs previamente y, por tanto, activar automáticamente las acciones para corregir y mitigar la infección eliminando el riesgo.
Cómo nos ayuda un Virtual SOC en el Threat Hunting
Un Virtual SOC nos puede ayudar tanto en el análisis como en la ejecución de medidas correctivas y mitigadoras con un gran grado de automatización, reduciendo así al máximo la intervención humana, los costes y el tiempo de exposición a la amenaza.
De esta forma, tomamos un rol proactivo a nivel de Ciberseguridad mediante el Threat Hunting de amenazas que ya tenemos dentro de la organización, con la idea de mitigarlas lo antes posible y reducir de esta forma su impacto.
Teniendo en cuenta la cantidad tan elevada de datos que es necesario analizar en los procesos de Threat Hunting, el Virtual SOC nos aporta una gran efectividad en la detección y mitigación de dichas amenazas con costes més reducidos que con un SOC tradicional y con tiempos de respuesta mucho menores al basarse sobre todo en sistemas automáticos. Y es que es importante recordar que el tiempo de exposición a la amenaza debe ser lo más reducido posible, ya que esto evita en gran medida su propagación interna, así como los daños ocasionados.
Si quieres saber más acerca de nuestra solución Virtual SOC, no dudes en ponerte en contacto con nosotros.
Autor: Carlos Vicente, Ingeniero de Ciberseguridad
