Cisco publica un informe con detalles y recomendaciones sobre ‘threat hunting’

Esta técnica proactiva pretende encontrar y eliminar los ciberataques que han logrado traspasar las barreras de seguridad sin saltar la alarma; frente a las investigaciones tradicionales, realizadas tras detectar una actividad potencialmente maliciosa.

Publicado el 10 Sep 2019

Cisco publica un informe con detalles y recomendaciones sobre ‘threat hunting’

Los atacantes siguen disfrutando de un tiempo para operar a veces demasiado extenso. Sus campañas pueden permanecer activas e inadvertidas durante días, meses o incluso años. Un ejemplo reciente desvelado por Talos (la división de ciber-inteligencia de Cisco) es ‘Sea Turtle’. Esta campaña -presumiblemente vinculada a un estado- consiguió sustraer nombres de usuarios y contraseñas de agencias gubernamentales en Oriente Medio y el Norte de África de al menos 13 países. Y se extendió desde enero de 2017 hasta principios de 2019.

Para evitar este tipo de situaciones, las organizaciones cada vez se apoyan más en ‘Threat Hunting’. Esta técnica proactiva pretende encontrar y eliminar los ciber-ataques que han logrado traspasar las barreras de seguridad sin saltar la alarma; frente a las investigaciones tradicionales, realizadas tras detectar una actividad potencialmente maliciosa.

Así se desprende del último informe de seguridad de Cisco, que analiza los detalles sobre esta disciplina, incluyendo sus beneficios, cuándo y cómo aplicarla. Incluso cuando no se descubre una amenaza concreta, a menudo identifica debilidades y políticas a reforzar, reduciendo la superficie de ataque para futuros ciber delincuentes.

Frente a otras técnicas complementarias como respuesta frente a incidentes (Incident Response) o evaluación de activos comprometidos (Compromise Assessment), en Threat Hunting no hay evidencia de amenaza. También comienza con un enfoque muy particular. Entidades financieras investigando un robo masivo de credenciales en otras organizaciones o realizar un análisis tras una vulnerabilidad de software generalizada son algunos ejemplos.

Tiempo de detección y tiempo de remediación

Aunque las organizaciones están mejorando a la hora de construir defensas, detectar amenazas y evitar brechas, el 65% de los responsables de seguridad (CISO) siguen encontrando difícil determinar el alcance de un ataque, contenerlo y remediarlo, según el informe anual Cisco CISO Benchmark Study 2019.

Es así como los CISO están midiendo más la efectividad de la seguridad en función del ‘Tiempo de Remediación’ (del 30% en 2018 al 48% en 2019), y menos en función del ‘Tiempo de Detección’ y del ‘Tiempo de Parcheo’. Técnicas como Threat Hunting, IA/ML y una mayor automatización permiten reducir estos tiempos.

Como destaca Eutimio Fernández, director de Ciber-seguridad en Cisco España, “identificar y erradicar las amenazas ocultas en la red corporativa, descubrir cómo entraron y tomar medidas para prevenir futuros ataques es quizá el aspecto más importante de la ciber-seguridad. Threat Hunting, combinada con otras técnicas complementarias, ayuda a detectar vulnerabilidades, reducir la superficie de ataque y reforzar las políticas”.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

R
Redacción RedesTelecom

Artículos relacionados

Artículo 1 de 3