Ha tenido una violación de datos o un incidente de seguridad, son malas noticias. Sin embargo, el lado positivo: ahora tiene información concreta sobre las tácticas, técnicas y procedimientos (TTP) de los actores malintencionados. Sus nuevos conocimientos le permiten buscar en su entorno empresarial otros rastros de las actividades de los actores maliciosos, ya que podrían usar los mismos TTP o similares. En otras palabras, está listo para ir a la caza de amenazas.
La caza de amenazas es un ejercicio proactivo para buscar amenazas cibernéticas que pasan desapercibidas en una organización. A menudo es una actividad impulsada por hipótesis, informada por la inteligencia de amenazas y el intercambio de información de organizaciones de la industria y pares. En nuestro escenario, el Threat Hunting no es del todo proactivo, ya que en él ya hemos experimentado un incidente de seguridad. En nuestro escenario, la caza de amenazas no está impulsada por inteligencia o información, sino por TTP e Indicadores de compromiso (IOC), que son evidencia de que la seguridad de la red o del entorno se ha visto comprometida; por lo tanto, se conoce como caza de amenazas específica de ataque.
Respuesta inmediata
En el caso de la búsqueda de amenazas específicas de un ataque, las organizaciones deben reunir a sus equipos de seguridad y tecnología y asegurarse de que comprenden la búsqueda de amenazas específicas de un ataque para un actor específico o una amenaza en curso, así como los TTP y los IoC. Tenga en cuenta que al utilizar los TTP y los IoC, su organización ahora puede observar la empresa y las fuentes de datos, como el registro y el análisis de comportamiento de usuarios y entidades (UEBA), para buscar rastros adicionales de la actividad del actor malintencionado.
Descubriendo la actividad de un actor malicioso
Los actores malintencionados a menudo tienden a persistir en un entorno, moviéndose lateralmente entre sistemas y entornos. Esto es así después de que el ciber-atacante haya llevado a cabo otros pasos en el ciclo de vida del ciberataque, como el reconocimiento inicial, el compromiso y el establecimiento de un punto de apoyo. Armados con el reconocimiento inicial y el punto de apoyo, los ciber-atacantes tienden a escalar sus privilegios y explorar otros sistemas para pivotar y, en última instancia, explotarlos como parte de su campaña de ataque.
Las organizaciones pueden optimizar sus herramientas y plataformas para identificar cosas como flujos de tráfico específicos, firmas de archivos y otros comportamientos que indican una mayor actividad por parte del actor malintencionado que se observó durante el incidente inicial y la infracción. Esto puede ayudarlos a descubrir otras áreas de la empresa donde el actor malicioso se ha movido lateralmente, ha explotado sistemas adicionales y se ha afianzado más. También puede ayudar a identificar datos adicionales que pueden estar en riesgo, ya que eso es lo que suelen buscar los actores maliciosos, ya sea para exfiltración, rescate o manipulación.
Es muy posible e incluso probable que se descubra más actividad maliciosa. Cuando esto ocurre, se debe alertar al comando de incidentes y a los equipos asociados para que puedan garantizar que los sistemas se evalúen correctamente y, en última instancia, se solucionen. Este ejercicio iterativo de búsqueda de amenazas específicas de ataques y actividades de respuesta a incidentes asociadas ayudará a la organización a identificar más actividades maliciosas y erradicarlas en toda la empresa para garantizar que la amenaza se elimine por completo, al menos en la medida de sus posibilidades, y que el riesgo en la organización se mitigue.
Pensamientos finales
Una vez que se completa esta búsqueda de amenazas específicas del ataque, la organización también debe tener una imagen mucho más completa de la actividad maliciosa, así como su impacto en la organización en su totalidad. Esto permite que el equipo de seguridad y su equipo directivo informen adecuadamente al equipo ejecutivo sobre lo que experimentó la organización y cómo avanzar. Se documentan actividades como comunicaciones, legales y más, que estamos cubriendo en artículos adicionales como parte de nuestra serie sobre qué hacer si ha sido violado.
Artículo original: Why Attack-Specific Threat Hunting Is Critical for Incident Response