Threat hunting: búsqueda proactiva de amenazas que ya están dentro de tu red
El tiempo medio que un atacante pasa dentro de una red antes de ser detectado es de 207 días. El threat hunting asume que ya estás comprometido y busca activamente las señales de un atacante que todavía no ha activado ninguna alarma.
¿Qué es el threat hunting?
A diferencia del monitoreo reactivo (que espera a que salten alertas), el threat hunting es proactivo: el analista formula hipótesis sobre cómo podría estar operando un atacante y busca evidencias de ello en los datos.
¿Cómo funciona?
- Hipótesis: "Si un atacante usara Living-off-the-Land (LOtL), usaría herramientas nativas de Windows como PowerShell o WMI para moverse lateralmente."
- Búsqueda: consultas en el SIEM para encontrar ejecuciones de PowerShell con parámetros codificados en base64, conexiones WMI hacia máquinas inusuales.
- Análisis: distinguir comportamiento legítimo de malicioso.
- Respuesta: si se encuentra algo, activar el plan de respuesta a incidentes.
¿Qué necesitas para empezar?
- Logs centralizados (SIEM) con suficiente retención.
- Visibilidad de endpoints (EDR).
- Conocimiento del comportamiento normal de tu red (baseline).
- Marcos de referencia: MITRE ATT&CK es la biblia del threat hunter.
Blindara realiza búsquedas proactivas de indicadores de compromiso alineadas con MITRE ATT&CK, buscando activamente las amenazas que no han disparado ninguna alerta automática y que podrían llevar semanas en tu red.
