Hay dos tipos de empresas: las que han sido atacadas y las que no saben que lo están siendo. Para todas ellas la técnica threat hunting (o caza de la amenaza) puede ser enormemente útil.
Y es que, los expertos coinciden: es hora de considerar la búsqueda de amenazas.
Se trata de un ejercicio de seguridad activo, que tiene el objetivo de encontrar y erradicar a los atacantes que han accedido a nuestro entorno sin activar alarmas.
Es una metodología opuesta a la conocida como seguridad tradicional, que se sustenta principalmente en dar respuesta a alertas que han detectado una actividad maliciosa.
La disciplina, si bien es similar a otras tareas que llevan a cabo los expertos en ciberseguridad como la respuesta ante incidentes, la gestión de riesgos o las pruebas de penetración, tiene sus particularidades.
Entre las cuestiones fundamentales cabe destacar que el objetivo principal de la técnica es encontrar atacantes expertos, organizados y financiados. Para ello es recomendable contar con un equipo de personas con diferentes competencias y llevar a cabo un plan de búsqueda fijando de antemano el alcance, los objetivos y los tiempos que se dedicarán. Por descontado, hay que contar con los registros adecuados habilitados: si los miembros del equipo no pueden ver lo que ocurre en sus sistemas, tampoco podrán responder en consecuencia.
Threat hunting es una especialidad de futuro por muchos motivos: por un lado porque las amenazas se multiplican al mismo ritmo que su grado de sofisticación y por otro, porque los datos son ya el bien más utilizado, más valorizado y más sensible de las organizaciones.
La caza de amenazas bien aplicada permite a las organizaciones detectar de forma proactiva a los atacantes y detenerlos, reducir la superficie de ataque y aumentar la velocidad y precisión de la respuesta.
