En los últimos años las infecciones por malware se están reduciendo progresivamente y están dando paso a nuevos y más sofisticados comportamientos por parte de los ciberatacantes. Actualmente, para pasar desapercibidos, los delincuentes elaboran ataques dirigidos con malware propietario, utilizan aplicaciones legítimas y goodware. De hecho, hasta un 62% de empresas afirma haber recibido ciberataques sin firma de malware y se han incrementado las ciberofensivas mediante chatbots, técnicas de inbound marketing maliciosas o inteligencia artificial.
Esta situación pone de relieve la necesidad de ofrecer una respuesta equivalente a este tipo de ataques, que suponen actualmente un coste medio global de 3,8 millones de dólares, unos 197 días en identificar la brecha de seguridad y una media aproximada de 69 días en contenerla. Durante casi 9 meses el negocio de la empresa puede verse afectado por un ciberataque con estas características.
Una estrategia adecuada de Threat Hunting disminuiría estas cifras y ofrecería solución a este gran reto de la ciberseguridad que padecen las empresas de todos los sectores: detectar comportamientos sospechosos en usuarios y en máquinas, procedentes incluso de herramientas lícitas o “amigas”, que permitan alertar de una posible incursión en los sistemas.
El Threat Hunting, en cifras
La 2018 Threat Hunting Survey señala que el 49% de las empresas analizadas no conocía amenazas que encontraron y que podían desembocar en un ciberataque. El 53% de las organizaciones no encuentra candidatos que aporten una actitud proactiva de búsqueda y anticipación de las amenazas, más allá de los enfoques tradicionales de respuesta ante los ciberatacantes, según ESG.
Pedro Uría, director de PandaLabs, señala los pasos de una estrategia de Threat Huntinh:
- Desplegar condiciones de detección (reglas, algoritmos…): se localizan las amenazas conocidas, si no se conocen, no se detecta, por eso se debe trabajar con un enfoque de lista negra.
- Formular hipótesis de ataque con lo que se considere que podría ser una amenaza y buscar evidencias.
- Validar estas hipótesis y, caso de que se confirme alguna de ellas, extender el ámbito de la búsqueda y dar respuesta al incidente.
- Crear una nueva condición de detección: se lleva a cabo una reconstrucción del ataque para encontrar nuevos patrones y tácticas empleadas para realizarlo. A partir del conocimiento generado durante el proceso de Threat Hunting, se enriquecen y mejoran los sistemas de detección automatizada.