En esta presentación realizada en DOJOConf 2021 (Panamá), el Ing. Gregorio Bolívar, desarrolla aspectos vinculados al "Threat Hunting".
El "cazadores de amenazas" ("Threat Hunting") es un proceso iterativo de indagación de eventos maliciosos a través de la red. Es en si una actividad de defensa activa y búsqueda proactiva.
En este sentido desarrolla aspectos vinculados a un análisis proactivo con la finalidad de poder "adelantarse a los ciberatques para que el 'gap' de detención se reduzca todo lo posible", entendiendo distintos aspectos vinculados a las amenazas conocidas.
En este sentido Bolívar describe que "Threat Hunting" se debe diferenciar del "Threat Detection", según lo descripto por Garthner (2017) en "How to Hunt Security Threat". En este sentido la diferencia principal es que el "Threat Detection" es un proceso reactivo, mientras que el "Threat Hunting" parte de la importancia del analista y su capacidad de investigación y su metodología de investigación, en este sentido su capacidad para la formulación de hipótesis y búsqueda de evidencias con la finalidad de determinar una respuesta ante incidentes así como la creación de nuevas condiciones de detección.
La importancia del "Threat Hunting" radica en la constante modificación de vectores de ataques, así como los distintos actores existentes en la actualidad.
En este sentido los "cazadores de amenazas" requiere una capacidad de análisis y desarrollo continuo.
Los retos actuales son: el entrenamiento continuo, la capacidad de usar honeypots, el tiempo disponible para la realización de cazar amenazas, la utilización de herramientas automatizadas, entre otros.
En este sentido también se describe la importancia de conocer y mejorar el nivel de madurez en el desarrollo de "Threat Hunting", basándose en niveles (de 0 a 4 según lo descripto por ISACA).
A su vez en su ponenica Bolívar Bolívar describió aspectos vinculados al Ciclo de Vida, y distintos recursos tales como CALDERA y HELK
Se puede ver la presentación completa a continuación
También pueden ver más información sobre DOJOConf en su Web Oficial.
No hay comentarios.:
Publicar un comentario