El Threat Hunting gana peso en la estrategia de ciberseguridad empresarial
- Seguridad
La clave del Threat Hunting reside en su proactividad, ya que actúa de manera preventiva e iterativa para localizar las nuevas amenazas, diseñar respuestas y evitar que evadan la seguridad de una empresa. El 43% de las compañías llevan a cabo operaciones de este tipo de manera continuada.
A la hora de proteger la ciberseguridad empresarial, cualquier compañía no debe limitarse a actuar cuando los ciberataques se producen, sino actuar de manera proactiva, estudiando las nuevas tácticas de los cibercriminales que pretenden poner en jaque tu seguridad. Es por ello que el Threat Hunting está ganando fama como forma de proteger la ciberseguridad de una compañía. Sin embargo, como señala Panda Security, una cosa es tener clara la necesidad de recurrir al Threat Hunting y otra hacerlo de manera eficiente.
Un informe de SANS revela que el 43% de las compañías llevan a cabo operaciones de este tipo de manera continuada dentro de sus tácticas de prevención de ciberriesgos, mientras que el 65% prevé una mayor inversión en herramientas de este tipo en los próximos dos años. La clave del Threat Hunting reside en su proactividad, ya que actúa de manera preventiva e iterativa para localizar las nuevas amenazas, diseñar posibles respuestas y evitar que evadan la ciberseguridad de una empresa. Pero no todas las empresas trabajan en esa línea. Según el informe, el 37,3% actúa de manera reactiva, cuando la amenaza ya se ha producido, ya es visible o desde la compañía se tiene una sospecha fundada de ella.
En cualquier caso, a la hora de abordar el Threat Hunting, el 90,3% de las empresas consultadas recurren a herramientas estándares, aunque van creciendo las que trabajan con herramientas personalizables (61,9%) y las que recurren a soluciones tecnológicas de compañías expertas en ciberseguridad (32,5%).
Hay otro factor indispensable en la previsión de este tipo de ataques: la acción humana, un factor que lleva consigo un elemento muy a tener en cuenta: el Threat hunter. El informe de SANS insiste en que este tipo de acciones “están impulsadas por el hombre, por lo que las herramientas deben complementar esos esfuerzos en lugar de buscar reemplazarlos. La búsqueda de amenazas no puede ser completamente automatizada, sino que la automatización debe aumentar significativamente la efectividad de los threat hunters”.
Además, los comportamientos anómalos en un sistema informático no tienen por qué suponer una amenaza, con lo que la labor del threat hunter consistirá también en aplicar el sentido común. Así pues, su labor pasa por servirse de la tecnología para monitorizar y analizar la actividad del sistema, detectar comportamientos anómalos y comprobar detalladamente si esa anomalía puede entrañar un riesgo real o se trata de un falso positivo.