Seamos sinceros, actualmente no es posible estar completamente libre de amenazas. Esto no significa que la protección sea inútil.

Al contrario, estar protegidos es una necesidad imperante. Quien no lo esté, se puede dar por atacado.

Búsqueda de amenazas. ¿Por qué?

La cuestión que nos planteamos es cómo protegernos para que en el caso que una amenaza sea ineludible, haga el menor daño posible, al menos coste y con las menores consecuencias.

El mejor enfoque para frenar a los agentes maliciosos: recopila los IoC que puedas descubrir, crea un perfil del atacante y entrega estos datos a las fuerzas y cuerpos de seguridad correspondientes.

Esto se convierte en una búsqueda constante que todas las empresas deberían plantearse.

¿Cómo descubro cuál es la mejor defensa?

Una de las ventajas en la búsqueda de amenazas, además de descubrir aquellas que han logrado superar sus defensas, es que puedes desarrollar aún más tu arquitectura en materia de seguridad.

Pensemos en la búsqueda de amenazas como lo haría un constructor. Al construir una casa, comienza con ese primer anillo de ladrillos, añade mortero para mantenerlos en su lugar y, a continuación, otra capa de ladrillos.

Repite el proceso capa por capa, para construir los muros

Con la búsqueda de amenazas, esa primera capa de ladrillos podría activar suficientes registros y almacenarlos.

El mortero es la automatización que mantiene la llegada periódica de dichos registros.

La siguiente capa de ladrillos es comparar los registros con los IoC.

Automatiza dichos procesos para mantener los ladrillos en su lugar. Sigue aprendiendo con capas de análisis de datos, pruebas de teorías, etc.

Muy pronto, habrás construido un proceso de búsqueda de amenazas resistente y estable que te dará la tranquilidad de que su organización está tan libre de amenazas como el entorno.

Jeff Bollinger gestiona las investigaciones de seguridad para CSIRT en Cisco. A continuación, presentamos un relato de primera mano de un ejercicio de búsqueda de amenazas que su equipo llevó a cabo. “Buscando por los datos históricos de terminales de Cisco AMP los indicadores de riesgo, detectamos un troyano binario sospechoso que el usuario había borrado. Recuperamos el binario restaurando el archivo único desde el archivo de copia de seguridad (corporativo) del usuario y pudimos revertirlo y extraer otros indicadores (nombres de host C2) que luego aplicamos a toda nuestra telemetría de red. Esto generó hosts afectados adicionales que no se activaron en el hash del troyano original”.

En Base 10 apostamos por los buenos ejercicios que suponen un aprendizaje y una respuesta rápida ante las ciberamenazas. Si deseas más información, consúltanos sin compromiso.