![\"\"](\"https:\/\/pruebassite.etek.com\/es\/wp-content\/uploads\/2021\/07\/3.jpg\")
<\/p>\nLas ciberamenazas no solamente han aumentado en n\u00famero, tambi\u00e9n en complejidad, campa\u00f1as de hacking que hace unos pocos a\u00f1os estaban orientadas a explotar ciertos c\u00f3digos medianamente conocidos han pasado a ser procesos estructurados y camale\u00f3nicos, capaces de estudiar una red y sus vulnerabilidades antes de explotar las mismas. Por ende, soluciones basadas en el an\u00e1lisis de comportamientos de los c\u00f3digos maliciosos ya conocidos en los END POINT (ll\u00e1mese servidores, PCs, Tablets, Moviles entre otros) han tenido que evolucionar.
\nUna nueva serie de herramientas orientadas a defender los ENDPOINT de aquellas amenazas cuyos trabajos son cada d\u00eda m\u00e1s especializados, son imprescindibles en las nuevas estrategias de ciberdefensa de toda organizaci\u00f3n u empresa, estas soluciones se conocen con el nombre de EDR (Endpoint Detect and Response) y se han convertido en una de las tendencias de defensa m\u00e1s importantes del mercado de la ciberseguridad, cambiando la perspectiva reactiva ante incidentes de seguridad por respuestas proactivas que priorizan la operaci\u00f3n segura de las empresas. Este concepto asociado a la proactividad se conoce como THREAT HUNTING (Caza de Amenzas) y es una tendencia que se esta desarrollando en la industria, y que se puede ver o aplicar en muchas capas, ENDPOINT, RED, APLICACI\u00d3N, entre otras.<\/p>\n
Durante los \u00faltimos a\u00f1os las amenazas han evolucionado a una velocidad considerable, casi en t\u00e9rminos exponenciales, y es en esta misma medida que las organizaciones han ampliado sus niveles de exposici\u00f3n, las necesidades de trasformaci\u00f3n digital, comercio electr\u00f3nico, tendencias de conectividad entre otras han derivado en una ecuaci\u00f3n cuya resultante no es otra que un espectro tecnol\u00f3gico cada vez m\u00e1s amplio y complejo para proteger.<\/p>\n
Las estrategias orientadas al uso de tecnolog\u00edas que en otra \u00e9poca eran funcionales han desencadenado en tener una sensaci\u00f3n falsa de seguridad. Por ejemplo, cuando las herramientas tradicionales de protecci\u00f3n de ENDPOINT generan una gran cantidad de reportes en donde se se\u00f1ala que se han identificado y limpiado un n\u00famero significativo de c\u00f3digos maliciosos hace pensar que se est\u00e1 completamente protegido y resta importancia a mejorar la postura de ciberseguridad.<\/p>\n
Lamentablemente de no existir c\u00f3digos maliciosos o los a veces mal llamados Virus, que al ser explotados generen un impacto visible a la organizaci\u00f3n seria casi imposible entender la necesidad de mejorar y\/o evolucionar los controles de seguridad existentes.<\/p>\n
De ninguna manera se pone en entredicho la necesidad de herramientas como firewalls, anti-virus (anti-malware), WAF, IPS entre otras. Estas son herramientas que hacen parte de la protecci\u00f3n por capas en un modelo de defensa en profundidad que toda empresa debe tener hoy en d\u00eda; sin embargo, que pasa con aquellas amenazas que son capaces por medio de una u otra t\u00e9cnica (ofuscamiento, fileless, logical bomb, wrapping entre otras) de evadir los controles b\u00e1sicos, ellas requieren tambi\u00e9n una atenci\u00f3n especial, peor a\u00fan si estas est\u00e1n de forma silenciosa en la red, quiz\u00e1s teniendo el control de uno o varios equipos, quiz\u00e1s servidores, modificando archivos, sacando informaci\u00f3n, quiz\u00e1s minando criptomonedas o en el peor de los casos interviniendo comunicaciones.<\/p>\n
Una de las nuevas tendencias en cuesti\u00f3n de mejoramiento de posturas de ciberseguridad y que est\u00e1 encaminada de forma bastante acertada en hacer frente a aquellas amenazas que han y siguen evolucionando es el Threat Hunting (Caza de Amenzas).<\/p>\n
\u00bfPero que es el threat hunting (Caza de Amenzas)?\u00a0\u00a0<\/p>\n
El threat hunting se puede definir como la continua iteraci\u00f3n dentro de la red de datos para la b\u00fasqueda de amenazas avanzadas, su posible detecci\u00f3n y aislamiento. El resultado del proceso de Threat Hunting (Caza de Amenzas) debe verse como un an\u00e1lisis proactivo y no reactivo.<\/p>\n
Es la perspectiva de proactividad la que enmarca la gran diferencia con otro tipo de herramientas que suelen ser m\u00e1s reactivas, que suelen utilizarse una vez se ha dado el ataque o el incidente.<\/p>\n
Se puede ejemplificar de manera muy sencilla a partir de un incidente de seguridad, en donde si se piensa desde la perspectiva reactiva, este (el incidente) se puede dar partiendo de la premisa de un evento que genero un impacto sobre la organizaci\u00f3n y el cual las diferentes herramientas de seguridad nos permitir\u00edan entender lo sucedido, luego afinar los niveles de detecci\u00f3n y control, ya sea creando nuevas reglas, activando alg\u00fan nuevo tipo de funcionalidad o simplemente descargando un paquete extra actualizado de firmas; ahora bien si se piensa desde la perspectiva proactiva o el Threat Hunting (Caza de Amenzas), el incidente se da a partir de la recolecci\u00f3n y an\u00e1lisis continuo de la actividad normal de la red y sus posibles desviaciones, entendiendo que quiz\u00e1s posibles accesos a archivos del sistema, apertura de puertos, ejecuci\u00f3n de powershell, lectura de carpetas, modificaci\u00f3n de llaves de registro o simple conectividad con ciertos sitios, pueden ser nuevos indicadores de compromiso y as\u00ed deben ser tratados despu\u00e9s de un proceso arduo de telemetr\u00eda de seguridad que debe perfilar de la manera m\u00e1s acertada los equipos, usuarios, redes y\/o el tr\u00e1fico de la compa\u00f1\u00eda.<\/p>\n
Descripci\u00f3n grafica de la diferencia entre Detecci\u00f3n de amenazas y Theat Hunting (Caza de amenazas)<\/p>\n
<\/p>\n
<\/p>\n
Sin embargo, es precisamente sobre la hip\u00f3tesis y el an\u00e1lisis de los \u201cDatos\u201d mostrados en la Ilustraci\u00f3n 1 y obtenidos del ENDPOINT que las herramientas EDR est\u00e1n teniendo \u00e9xito. <\/p>\n
Las estrategias EDR se basan en el uso de herramientas de esta naturaleza, donde monitorean el ENDPOINT y su tr\u00e1fico de red asociado, llevando esta entrada a una base de datos muy diferente a la de las herramientas antivirus tradicionales. En esta base de datos se llevan a cabo los procesos asociados a la telemetr\u00eda de seguridad, los cuales son apoyados por las herramientas de an\u00e1lisis de datos reales de la organizaci\u00f3n; no firmas ni patrones gen\u00e9ricos. <\/p>\n
El an\u00e1lisis que brindan este tipo de herramientas permite no solo un acercamiento real a la situaci\u00f3n de seguridad del ENDPOINT sino tambi\u00e9n una mejora en la postura de seguridad al desviar o contener ataques basados \u200b\u200ben la identificaci\u00f3n temprana de amenazas internas y externas. <\/ p><\/p>\n
T\u00e9cnicamente hablando, una estaci\u00f3n de trabajo que lanza un proceso an\u00f3malo, genera un cambio sobre alg\u00fan tipo de clave de registro que no se hab\u00eda presentado antes, abre puertos altos para conexiones o aumenta considerablemente el tama\u00f1o de un proceso del sistema donde existe alg\u00fan tipo de envoltura, estar\u00e1 asociado al an\u00e1lisis avanzado de la EDR como un objetivo de investigaci\u00f3n y respuesta r\u00e1pida; una tarea que la protecci\u00f3n de endpoints tradicional no cubre debido a su validaci\u00f3n de firma y \/ o naturaleza de base heur\u00edstica. No pretende restar valor a las herramientas antivirus, sino complementar los esfuerzos de protecci\u00f3n y respuesta del ENDPOINT, ese es el significado de un EDR. <\/p>\n
Es importante comprender que no solo una estrategia de EDR se basa en lo que la herramienta puede ofrecer, tambi\u00e9n es importante considerar las fuentes de investigaci\u00f3n que respaldan esas herramientas y, al mismo tiempo, generar los nuevos indicadores de compromiso. Por ello, se recomienda durante los procesos de inmersi\u00f3n de la estrategia de caza, dar seguimiento a la adquisici\u00f3n de tecnolog\u00edas con grupos de investigaci\u00f3n que tengan las habilidades para leer, investigar y alimentar los indicadores de compromiso espec\u00edficos de cada organizaci\u00f3n. <\/p>\n
References<\/strong><\/p>\n What is Endpoint Detection and response \u2013 https:\/\/digitalguardian.com\/dskb\/endpoint-detection-response<\/a><\/p>\n FireEye Endpoint security \u2013 https:\/\/www.fireeye.com\/content\/dam\/fireeye-www\/products\/pdfs\/pf\/ep\/ds-endpoint-security.pdf<\/a><\/p>\n \u00bfQu\u00e9 es Thraat hunting y porque es necesario? \u2013 https:\/\/www.pandasecurity.com\/spain\/mediacenter\/adaptive-defense\/threat-hunting-por-que-necesario\/<\/a><\/p>\n Endpoint Detection and response Architecture and Operations practices. \u2013 https:\/\/www.gartner.com\/doc\/3895048\/endpoint-detection-response-architecture-operations<\/a>Ahora bien, es justamente en el planteamiento de la hip\u00f3tesis y la anal\u00edtica de la \u201cData\u201d mostrada en la Ilustraci\u00f3n 1 y que se obtiene de los ENDPOINT, donde las herramientas de EDR est\u00e1n teniendo \u00e9xito.<\/p>\n Las estrategias de EDR parten del uso de herramientas de esta naturaleza, donde ellas hacen un monitoreo del ENDPOINT y sus respectivos tr\u00e1ficos de red, llevando dicho input a una base de datos muy diferente a la de los antivirus tradicionales. En dicha base de datos se realiza los procesos asociados a la telemetr\u00eda de seguridad, los cuales se soportan en herramientas de anal\u00edtica de datos reales de la organizaci\u00f3n; no firmas o patrones gen\u00e9ricos.<\/p>\n La anal\u00edtica que proveen este tipo de herramientas permite no solo un enfoque real de la situaci\u00f3n de seguridad de los ENDPOINT sino tambi\u00e9n una mejora en la postura de seguridad desviando o conteniendo ataques con base a la identificaci\u00f3n temprana de amenazas internas y externas.<\/p>\n T\u00e9cnicamente hablando una estaci\u00f3n de trabajo que levante un proceso an\u00f3malo, genere un cambio sobre alg\u00fan tipo de llave de registro que no se ven\u00eda presentando, abra puertos altos para conexiones hacia \u00e9l o incremente considerablemente el tama\u00f1o de un proceso del sistema donde seguro exista alg\u00fan tipo de wrapping, ser\u00e1 asociado por la anal\u00edtica avanzada de los EDR como un objetivo de investigaci\u00f3n y r\u00e1pida respuesta; labor que la protecci\u00f3n de endpoint tradicional no cubre debido a su naturaleza de validaci\u00f3n de firmas y\/o heur\u00edstica base. No se pretende restar valor a las herramientas de antivirus sino complementar la labor de protecci\u00f3n y respuesta de los ENDPOINT, ese es el sentido de un EDR.\u00a0<\/p>\n Es importante entender que no solamente una estrategia de EDR se basa en lo que la herramienta pueda entregar, es importante las fuentes de investigaci\u00f3n que acompa\u00f1en dichas herramientas y que al mismo tiempo generan los nuevos indicadores de compromiso. Por ende, se recomienda en los procesos de inmersi\u00f3n en estrategias de hunting, acompa\u00f1ar la adquisici\u00f3n de tecnolog\u00edas con grupos de investigaci\u00f3n que posean las habilidades de leer, investigar y alimentar los indicadores de compromiso propios de cada organizaci\u00f3n.<\/p>\nReferencias<\/h2>\n
\n
\n
\n