¿Qué es?


El Threat Hunting es una actividad de defensa activa, basada en la búsqueda iterativa y proactiva a través de la red, con el fin de detectar y aislar amenazas avanzadas que se encuentren evadiendo las soluciones de seguridad existentes. Este enfoque complementa las medidas de seguridad tradicionales, que de forma general requieren una investigación tras sufrir un incidente de seguridad.

Mediante esta búsqueda proactiva de adversarios, ayudamos a las organizaciones a:

  • Descubrir debilidades.
  • Mejorar la detección temprana de amenazas.
  • Mejorar sus capacidades de defensa.
  • Tener una mayor compresión en el diseño, tecnología y el comportamiento de sus redes.
  • Perfilar aquellas amenazas que suponen un riesgo.

Enfoque


La búsqueda de amenazas del Threat Hunting se basa en la premisa de que las organizaciones no tienen que esperar una alerta automática sobre un ataque antes de responder a una amenaza. Esto se logra mediante el análisis de diferentes fuentes de información públicas y privadas, con el fin de hacer inferencias y correlaciones sobre amenazas que hayan tenido lugar en entornos similares y que podrían haberles afectado. Esto podría conducir a la identificación de adversarios avanzados que pudiesen estar operando dentro de los sistemas de la organización y que sin esta búsqueda proactiva podrían no ser detectados.

Desde Zerolynx enfocamos los servicios de Threat Hunting bajo dos modalidades diferentes:

  • Threat Hunting continuo: Nuestro servicio anual de Threat Hunting permite obtener una alerta temprana de aquellas potenciales amenazas ocultas que puedan suponer un peligro para la organización. Para ello, se realiza un análisis continuo de las redes y sistemas de la organización, a través de tecnologías de análisis de amenazas y diversas pruebas manuales.

  • Threat Hunting On-demand: Durante los servicios bajo demanda de Threat Hunting, se lleva a cabo un análisis acotado de determinadas redes y sistemas de una organización, con el fin de detectar potenciales amenazas ocultas que puedan suponer un peligro para la organización.

Para realizar las operaciones de búsqueda de amenazas, seguimos una estrategia dividida en cuatro fases principales:

  1. Creación de una hipótesis.
  2. Investigación de la hipótesis a través de herramientas y técnicas.
  3. Descubrimiento de nuevos patrones y reconocimiento de Tácticas, Técnicas y Procedimientos (TTPs) de atacantes.
  4. Enriquecimiento de los análisis y realización de informes de amenazas.