Red Seguridad 84
26 red seguridad primer trimestre 2019 amenazas opinión tise en el trabajo, sí conoces cosas que te han ocurrido y que te interesa buscar periódicamente ( spear phis- hing a tus empleados es un buen ejemplo), o también puedes plan- tear búsquedas acerca de aquello sobre lo que has tenido que hacer forenses. Con el tiempo, podrás hacer cada vez más complejas las actuaciones y volverás a lidiar con otro clásico de nuestra industria, el falso positivo. Cuando tengas un incidente loca- lizado, trata de conceptualizar por qué ha sucedido, en lugar de qué ha ocurrido (datos robados, número de equipos infectados). Si lo haces, estarás tratando de hacer forense con herramientas y metodologías que no son propias de esa activi- dad. Es cierto, las herramientas se parecen y es fácil poder confundirte, lo que te puede llevar a exagerar el impacto de la supuesta amenaza dentro de tu entidad. Todo lo que parezca sospechoso relacionado conocer por tus medios, por servi- cios de threat intelligence o incluso leyendo el periódico, toca plantear nuevas hipótesis. Así conseguirás crearte tu catálogo de amenazas y ser capaz de medir el riesgo real que suponen para la organización. Ahora es cuándo piensas: "¡Ajá!, éste dice que me plantee hipótesis de amenazas, como si fuese algo tan sencillo; pero ¿cuáles? ¿cuán- tas?". Esta respuesta es muy sen- cilla: las que no te vuelvan loco. En este mundo nuestro de la seguridad, ser un paranoico suele tener premio; pero el nivel de paranoia que puedes desarrollar haciendo threat hunting es elevado. Ese altísimo nivel va a lograr que tengas a tu equipo téc- nico loco buscando una amenaza que, según alguien dice, le ha ocu- rrido a alguien (y ése alguien tiene interés en venderte su producto; digamos, al azar, un antiAPT) y que no ha circulado por tus sistemas, ni se la espera. Pero tú, por tu exper- 'Threat hunting': ¿es para mí? Fernando Carrazón COO de Botech FPI S i como responsable de cibersegu- ridad te estás haciendo la pregunta que titula este artículo, significa que ya has oído hablar del tema. Quizá algún fabricante te ha contado las 'bondades' de su solución y tú lo primero que has pensado es: "otro lío en el que me tengo que meter, ¿o quizá no?". Podría ayudar a despejar muchí- simas dudas saber qué es el threat hunting , cuál debería ser su función, por quién puede ser ejecutado, qué dificultades te puedes encontrar desde el punto de vista tecnológico y de despliegue y qué resultados deberías poder obtener a través ella. Vamos a ver si, mediante este artículo, te ayudo a despejar todas esas dudas, o por lo menos una gran parte. Bajo mi punto de vista, threat hunting es una labor, eminentemente técnica, de búsqueda de la amenaza sin tener la certidumbre de que ésta se encuentre en tu entorno TI. Dicha acción debe ejecutarse desde un prisma de visión que implica tener un profundo conocimiento de qué se busca y ser capaz de plantearse una hipótesis de trabajo (que se antoja la parte más complicada) que, a través de la tecnología, puede dar unos resultados satisfactorios o no. Y al día siguiente, repetir la tarea habien- do planteado una hipótesis diferente. A nuevas amenazas, que podrás Si tienes un incidente localizado, trata de conceptualizar por qué ha sucedido, no qué ha ocurrido tendencias 2019
Made with FlippingBook
RkJQdWJsaXNoZXIy MzA3NDY=