A medida que los ataques de ciberseguridad ocurren con más frecuencia y se vuelven cada vez más disruptivos, es esencial que las personas se den cuenta de que corren más riesgo de tales eventos de lo que piensan. Sin embargo, la búsqueda de amenazas es una parte fundamental de una sólida estrategia de seguridad en Internet.

Entonces, ¿qué significa realmente la caza de amenazas? ¿En qué se diferencia de las pruebas de penetración? ¿Y cómo la caza de amenazas fortalece su seguridad en línea?

¿Qué es Threat Hunting?

La caza de amenazas implica la búsqueda activa de signos de actividad peligrosa y no deseada. Es lo opuesto a esperar a recibir una alerta de la plataforma de seguridad sobre señales de problemas.

Algunas personas inicialmente piensan que las pruebas de penetración (pluma) son lo mismo que los ejercicios de búsqueda de amenazas. Sin embargo, una prueba de penetración tiene como objetivo encontrar todas las vulnerabilidades y determinar los riesgos de dejarlas sin abordar. La caza de amenazas asume que ha ocurrido un ataque y el objetivo es frenar su progreso.

instagram viewer

Sin embargo, los resultados de la búsqueda de amenazas a menudo también revelan vulnerabilidades. Eso es especialmente cierto una vez que los profesionales de la ciberseguridad aprenden más sobre los puntos de entrada y los métodos de ataque.

¿Cuánto ganan los cazadores de amenazas por sus esfuerzos? El salario base promedio en los Estados Unidos es más de $ 110,000 por año, lo que indica que estos servicios tienen una gran demanda.

¿Cómo se involucra la gente en la búsqueda de amenazas?

Los cazadores de amenazas buscan Indicadores de compromiso (IoC) e indicadores de ataque (IoA). Un IoC se centra en lo que los piratas informáticos quieren lograr al irrumpir en la red. Entonces, IoA es una actividad sospechosa que podría ser una señal de un ataque.

Una persona que practica la caza de amenazas evalúa el medio ambiente utilizando varios métodos posibles. Por ejemplo, un enfoque basado en datos analiza recursos como registros de proxy y evidencia de grandes volúmenes de transmisión de datos.

La caza de amenazas basada en Intel se basa en fuentes de datos comerciales y abiertas que muestran los riesgos de seguridad cibernética y los síntomas de dichos problemas.

Los cazadores de amenazas también pueden centrarse en las tácticas, técnicas y procedimientos (TTP) de un atacante. Por ejemplo, ¿qué herramientas usa un pirata informático para ingresar a la red? ¿Cuándo y cómo los implementan?

La búsqueda de amenazas basada en el comportamiento es una técnica más nueva pero extremadamente útil para detectar posibles riesgos internos. Los cazadores de amenazas establecen una línea de base para las acciones esperadas de los usuarios de la red y luego buscan desviaciones.

La importancia de la información relevante

Para tener éxito con estas técnicas, un cazador de amenazas debe tener un amplio conocimiento de la actividad esperada en una red.

A medida que la fuerza laboral actual se distribuye más, los cortafuegos de una empresa suelen ser insuficientes para proteger una red. Sin embargo, los expertos creen Existe una necesidad constante de verificar que las personas que intentan acceder a los recursos de la empresa sean las partes autorizadas. Es por eso que las empresas a menudo autentican a los trabajadores con diversos datos.

Relacionado: ¿Cuál es el principio de privilegio mínimo y cómo puede prevenir los ciberataques?

Los equipos de búsqueda de amenazas necesitan grandes cantidades de datos de registro recopilados a lo largo del tiempo. Obtener esa información de varias fuentes les ayuda a proceder de manera eficiente y a detectar señales de problemas. Los datos de los endpoints son generalmente los más valiosos para los cazadores de amenazas porque son los más cercanos al evento no deseado.

Threat Hunting fortalece su ciberseguridad

La caza de amenazas no es algo que se puede hacer una vez y considerar el trabajo hecho. La iteración continua hace que los esfuerzos de detección sean más fructíferos. Una vez que los cazadores de amenazas aprenden qué constituye una actividad normal, los eventos inusuales se vuelven más obvios.

Cuanto más conocimiento se obtenga sobre un entorno y una red de TI, más fuerte será una entidad contra los intentos de ciberataques.

Peor que el phishing: ¿Qué es un ciberataque de caza de ballenas?

Mientras que los ataques de phishing se dirigen a personas, los ciberataques de caza de ballenas se dirigen a empresas y organizaciones. Esto es lo que debe buscar.

Leer siguiente

CuotaPíoCorreo electrónico
Temas relacionados
  • Seguridad
  • Seguridad en línea
  • La seguridad cibernética
  • Consejos de seguridad
Sobre el Autor
Shannon Flynn (42 Artículos publicados)

Shannon es una creadora de contenido ubicada en Filadelfia, Pensilvania. Ha estado escribiendo en el campo de la tecnología durante aproximadamente 5 años después de graduarse con un título en TI. Shannon es la editora gerente de la revista ReHack y cubre temas como ciberseguridad, juegos y tecnología empresarial.

Más de Shannon Flynn

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Haga clic aquí para suscribirse