Búsqueda de Amenazas
La búsqueda proactiva de signos de compromiso, técnicas conocidas de actores de amenaza y otra actividad maliciosa que la detección automatizada podría haber pasado por alto.
Definición
Búsqueda de Amenazas es el proceso proactivo, liderado por humanos, de búsqueda a través de registros de red y seguridad para obtener evidencia de:
- Actores de amenaza que evadieron detección automatizada
- Actividad de reconocimiento antes de ataques
- TTPs conocidas de actores de amenaza (Tácticas, Técnicas, Procedimientos)
- Comportamiento anómalo no cubierto por reglas de detección
A diferencia de la ingeniería de detección (automatizada), la búsqueda de amenazas es manual y está impulsada por intuición humana y conocimiento de MITRE ATT&CK.
Enfoque de Búsqueda de Amenazas
Búsqueda Impulsada por Hipótesis
“Sospechamos que APT28 se dirige a nuestro sector con ataques de cadena de suministro. Busquemos indicadores de sus técnicas típicas de movimiento lateral (T1021).”
Búsqueda Impulsada por Datos
“Esta IP hizo 1,000 solicitudes a nuestra API en una hora. ¿Qué estaba buscando?”
Búsqueda Asistida por Tecnología
Usar consultas SIEM para buscar sistemáticamente en registros técnicas específicas.
Efectividad
La búsqueda de amenazas es efectiva porque:
- Juicio humano – Los humanos pueden reconocer patrones sutiles
- Creatividad – Los cazadores experimentados imaginan escenarios de ataque
- Contexto – Los cazadores entienden el contexto comercial (qué activos importan)
- Mejora continua – Las búsquedas que encuentran amenazas se retroalimentan en ingeniería de detección