El rol de un ‘threat hunter’ (cazador de amenazas) puede ser confuso, tal y como se deduce de los datos recabados de un estudio elaborado por ThreatQuotient y SANS para el cual se entrevistó a representantes de 575 empresas que trabajan con equipos de threat hunting.
A diferencia de los equipos tradicionales, los cazadores de amenazas no sólo responden a ataques en la red, sino que también los buscan de forma proactiva. De hecho, esta es la principal tarea de un cazador de ciberamenazas.
Esta metodología está aún en pañales. Así lo demuestran algunos aspectos que se destacan en el estudio: por un lado, las compañías están más dispuestas a invertir en herramientas que en expertos calificados (el 47% de los encuestados está centrado en contratar nuevos empleados y el 41% en formar a empleados).
Por otro lado, la mayoría de cazadores reaccionan a alertas o a indicadores de que la red ha sido comprometida y sólo el 35% trabaja con hipótesis durante la guardia, algo que según los expertos, debería de ser la tónica habitual para cualquier caza-amenazas.
Además, una vez que se ha puesto en marcha un proyecto basado en la búsqueda activa de amenazas, la mayoría de las veces resulta ser un proyecto ad hoc en lugar de ser, como se recomienda, un programa completo con presupuesto y recursos.
¿Qué cualidades debe tener?
Pero más allá de la responsabilidad de las empresas a la hora de crear grupos de trabajo o proyectos basados en threat hunting, el profesional cazador debe de tener ciertas cualidades.
Así, debe ser creativo, tener ideas sobre dónde puede haber una amenaza. También debe ser una persona informada, actualizada sobre los incidentes de seguridad más relevantes del momento y meticulosa, para filtrar comportamientos normales y hallar los anómalos.
Volviendo al estudio, los beneficios de la práctica se han dejado notar entre las empresas. En concreto, el 61% de los encuestados dijo que ha mejorado su seguridad TI en un 11% gracias al threat hunting.