Los secretos del éxito de los cazadores de amenazas y los SOCs
La efectividad viene derivada de inversiones complementarias en equipos humano-máquina.
McAfee, una de las principales compañías de ciberseguridad del mundo, ha anunciado el lanzamiento de su informe "Disrupting the Disruptors, Art or Science?", un nuevo estudio que investiga el papel de la caza de ciberamenazas y la evolución de los Centros de Operaciones de Seguridad (SOC). Analizando los equipos de seguridad en base a cuatro niveles de desarrollo -mínimo, procesal, innovador y líder- el informe revela que los SOC avanzados dedican un 50% más de tiempo que sus homólogos a la caza real de amenazas.
El cazador de amenazas
La caza de amenazas está desempeñando un papel decisivo en la lucha contra los ciberdelincuentes. Un cazador de amenazas es un profesional del equipo de seguridad encargado de analizar las amenazas a través del uso de pista e hipótesis y de su experiencia de años de investigación de ciberdelincuentes. De acuerdo al informe, las organizaciones están invirtiendo y obteniendo diferentes resultados, tanto en herramientas como en procesos estructurados, al integrar la "caza de amenazas" en el centro de operaciones de seguridad principal.
Como consecuencia del aumento del foco en los cazadores profesionales de amenazas y en la tecnología automatizada, surge un modelo de operaciones más eficaz para identificar, mitigar y prevenir amenazas: el equipo humano-máquina. De hecho, las principales organizaciones de caza de amenazas ya están usando este metódo en el proceso de investigación de amenazas, duplicando la tasa de organizaciones al nivel mínimo (75% frente al 31%).
"Las organizaciones deben diseñar un plan teniendo en cuenta que serán atacados por los ciberlincuentes", afirma Raja Patel, vicepresidente y general manager de productos de seguridad corporativa de McAfee. "Los cazadores de amenazas son tremendamente valiosos como parte del plan para recuperar la ventaja de aquellos que tratan de alterar el negocio. No obstante, sólo cuando son eficientes pueden tener éxito. Se necesita tanto el cazador de amenazas como una tecnología innovadora para construir una estrategia sólida de equipo humano-máquina que mantenga las ciberamenazas a raya".
El 71% de los SOC más avanzados finalizó las investigaciones de incidentes en menos de una semana y el 37% cerró las investigaciones de amenazas en menos de 24 horas. Los cazadores novatos sólo determinan la causa del 20% de los ataques, mientras que los cazadores líderes verifican el 90%. Los SOC más avanzados ganan hasta un 45% más de valor que los SOC mínimos por su uso de sandbox, mejorando los flujos de trabajo, ahorrando costes y tiempo y revelando información que no está disponible en otras soluciones.
El 68% afirma que a través de una mejora en la automatización y en los procesos de caza de amenazas alcanzarán capacidades excepcionales. Los SOC más consolidados duplican las probabilidades de automatizar partes del proceso de investigación de ataques. Los cazadores de amenazas de los SOCs consolidados emplean un 70% más de tiempo en la personalización de herramientas y técnicas.
Los cazadores de amenazas de los SOCs más avanzados dedican un 50% más de tiempo en cazar amenazas reales. Sandbox es la herramienta número uno para los analistas de SOC de primera y segunda línea, donde los roles de nivel superior dependen en primer lugar de análisis avanzados de software malicioso y código abierto. Otras herramientas estándar incluyen SIEM, detección y respuesta endpoint y análisis de comportamiento del usuario. Todas fueron objetivos para la automatización. Los SOCs más desarrollados usan un sandbox en investigaciones un 50% más que los SOCs de nivel básico, yendo más allá de la convicción para investigar y validar las amenazas en los archivos que entran en la red.
The Threat Hunter Playbook: Equipo humano-máquina
Aparte del estudio manual en el proceso de investigación de amenazas, el cazador de amenazas es clave en el despliegue de la automatización de la infraestructura de seguridad. Un cazador de amenazas de éxito selecciona, organiza y, a menudo, construye las herramientas de seguridad necesarias para frustrar las amenazas, y luego convierte el conocimiento adquirido, a través de la investigación manual, en scripts y reglas automatizadas personalizando la tecnología. Esta combinación de caza de amenazas con tareas automatizadas es el equipo humano-máquina, una estrategia crucial para combatir a los cibercriminales de hoy y del futuro.