A veces nos referimos a conceptos sin saber todo lo que significan. Veamos qué significan reactivo, proactivo y caza de amenazas en el contexto de la madurez de los centros de operaciones de seguridad (SOC).
Modelos operativos SOC
En los últimos años, las operaciones de seguridad han cobrado importancia al representar la función que debe asumir la responsabilidad de la detección y la respuesta en consonancia con los objetivos empresariales de la organización. Sin embargo, trabajando estrechamente con cientos de clientes, he observado que SOC no tiene el mismo significado para todo el mundo. Esto parece depender de cómo se inició el centro de operaciones de seguridad en una organización.
En algunos casos, se trata de agrupar a unas pocas personas en torno a una tecnología existente con procesos muy básicos. En estos casos, las únicas mejoras a lo largo del tiempo se producen en el frente tecnológico. En otros casos, las operaciones de seguridad corren a cargo de un socio, se prestan como un servicio y son consumidas por el personal de seguridad interno para el seguimiento y la corrección de incidentes.
También existe una combinación de estos dos modelos en un enfoque híbrido de varios niveles. En el enfoque híbrido, la detección inicial y la clasificación de las alertas corren a cargo de una organización externa, mientras que la investigación más profunda y la respuesta son responsabilidad de un equipo interno.
Comprender qué enfoque es el mejor queda fuera del alcance de este artículo y el enfoque más óptimo para usted debe considerarse en el contexto de su organización específica.
Todo es cuestión de madurez
Un aspecto que es universalmente cierto y aplicable a todas las organizaciones es cómo las operaciones de seguridad maduran con el tiempo, cómo esa madurez está impulsada por los objetivos empresariales y cómo se realiza su seguimiento. La alineación con los objetivos empresariales es un aspecto clave para todas las funciones de apoyo de una organización. Esto es aún más cierto para las operaciones de seguridad, que están en primera línea para reducir el riesgo empresarial.
Otro aspecto clave consiste en lograr el equilibrio adecuado entre personas, procesos y tecnología. La tecnología suele ser la parte más fácil porque se trata simplemente de adquirir hardware, software o servicios y consumir sus resultados.
Las personas son probablemente el reto más difícil de superar. La escasez de profesionales de la ciberseguridad con conocimientos y bien cualificados no es ningún secreto y la altísima rotación de analistas representa un problema diario para la dirección de los SOC.
Los procesos son el pegamento que lo mantiene todo unido. Pueden tener un impacto positivo cuando están totalmente alineados con la empresa y proporcionan agilidad y coherencia. Los procesos deben incluir métricas buenas y precisas para evaluar la actuación del SOC en relación con los indicadores clave de rendimiento y los objetivos empresariales.
Lograr el equilibrio entre estos tres elementos se traducirá en una buena madurez y, lo que es más importante, en la capacidad de madurar más rápidamente.
Reaccionar frente a cazar
En parte, los procesos deben definir y aplicar un enfoque de investigación proactivo que vaya más allá del modelo de detectar y reaccionar, que rara vez aprende de los incidentes.
El enfoque reactivo tiende a buscar rápidamente una solución sin profundizar demasiado en consideraciones más amplias. Las investigaciones proactivas van más allá y plantean cada vez más preguntas para descubrir aspectos ocultos de la amenaza, puntos en común entre varios incidentes y efectos secundarios no asociados al incidente investigado.
Cuando este enfoque se vuelve sistemático y tiende a desvincularse cada vez más de incidentes concretos, asume las características de la caza de amenazas. En la caza de amenazas, se buscan en el entorno y en los datos históricos artefactos relacionados con la amenaza.
La caza de amenazas debe centrarse en los comportamientos de los atacantes en forma de TTP, metodología de ataque y herramientas, más que en indicadores atómicos. Este enfoque tendrá un impacto beneficioso tanto en la cobertura de las amenazas como en la durabilidad de la detección.
No estoy diciendo que los hashes de archivos, las direcciones IP o los dominios no sean útiles. Pueden ser una buena forma de determinar el alcance de una brecha. Pero un enfoque proactivo invierte más tiempo en la búsqueda de amenazas para obtener un resultado más duradero.
La caza de amenazas también debe realizarse conjuntamente con el MITRE ATT&CK de MITRE. Como afirma Matt Bromiley, del SANS Institute: "Asociando la caza de amenazas con los objetivos, técnicas y tácticas de los actores de amenazas conocidos, empezando a pensar en la caza de amenazas no como una actividad singular, sino más bien en el contexto de cómo un atacante puede lograr ese objetivo dentro de su entorno."
Un enfoque científico
Otra diferencia clave entre la caza y la detección de amenazas reside en los procesos que las impulsan. La detección de amenazas es un proceso lineal en el que se generan alertas, se clasifican y, si procede, se inicia la fase de respuesta.
Por otro lado, la caza de amenazas se ajusta más a la metodología científica que comienza con la formulación de una hipótesis. A continuación, implica una investigación, una evaluación de los resultados y volver a investigar más si los resultados no demuestran la hipótesis.
Los métodos reactivos, proactivos y de caza de amenazas aportan valor, pero a distintos niveles.
Un SOC exitoso y maduro que se alinea con los impulsores del negocio probablemente ha pasado por el ejercicio de equilibrar los componentes de personas, procesos y tecnología. Al mismo tiempo, le permite pasar de un modo reaccionario a una auténtica caza de amenazas basada en comportamientos y metodologías de ataque más que en artefactos que se utilizan como posibles pruebas.
