Cómo el threat hunting ayuda a fortalecer la ciberseguridad de las empresas
Diego Montenegro, consultor de ciberseguridad para ManageEngine, dialogó con ITSitio sobre esta estrategia para cuidar los datos de las organizaciones. Fue en el marco del evento de ciberseguridad Ekoparty
En América Latina, Colombia se ubicó como el tercer país de la región con mayores registros de ciberataques, con 6.300 millones. Le siguen México, con 85.000 millones, y Brasil, con 31.500 millones, según datos de Fortinet.
La vulnerabilidad, en materia de ciberseguridad es cada vez mayor, por los crecientes ataques que se han dado en el último tiempo. Los sectores más afectados por los ciberataques en Colombia son el comercio minorista y mayorista, seguidos por finanzas y seguros, energía y manufactura.
En este contexto, es cada vez más necesario contar con estrategias de ciberseguridad que les permitan a las organizaciones adelantarse a posibles ataques. La cacería de ataques o threat hunting justamente va en línea con esto, ya que consiste en detectar y mitigar las amenazas antes de que causen daño.
“El threat hunting o cacería de amenazas es ir a buscar en cada dispositivo, en cada persona o en cada proceso algo que pueda ser un indicador de lo que, a futuro, podría ser un ataque cibernético”, explicó Diego Montenegro, consultor de ciberseguridad para ManageEngine, en diálogo con ITsitio. La entrevista se dio en el marco de Ekoparty, el mítico evento de ciberseguridad que se lleva adelante en Buenos Aires los días 1,2 y 3 de noviembre.
El threat hunting es fundamental porque permite descubrir amenazas desconocidas o ciberataques emergentes, anticiparse a posibles ataques futuros, reducir el tiempo de exposición y respuesta ante incidentes, y fortalecer la seguridad de una organización.
“Para llevar adelante esta tarea de cacería de amenazas, lo primero que tenemos que hacer es microsegmentar la organización. Esto quiere decir, analizar cada área. Estudiar, por ejemplo, cómo trabaja Recursos Humanos. Esto implica conocer a dónde ingresan las personas que trabajan en ese sector, cómo ingresan, desde donde ingresan, a que datos acceden dentro de la organización y empezar a hacer una trazabilidad con toda esa información”, ejemplifica el especialista.
Esta microsegmentación se debe realizar en todos los sectores para tener un panorama detallado de la operatoria de la compañía y los procesos que se llevan adelante. Solo así se puede conocer qué tipo de datos pueden estar expuestos a un potencial riesgo e identificar los posibles vectores de ataque.
Tomar un rol proactivo en el cuidado de los activos de las compañías es fundamental sin embargo, muchas empresas todavía no terminan de llevar adelante este tipo de iniciativas. Según una encuesta realizada por SANS, apenas el 24% de las organizaciones se consideran listas para realizar actividades de threat hunting.
“Queremos incentivar a las empresas a que empiecen a implementar la cacería de amenazas. En muchos casos hacer esto es gratis realmente, porque consiste en sentarse a revisar y analizar. La idea con nuestras charlas desde ManageEngine es poder dar esa cultura cibernética y que empiecen a hacer threat hunting”, remarcó Montenegro.
Consultado por el tipo de expertos que se necesitan para realizar este tipo de tareas, el experto dijo lo siguiente: “el especialista en ciberseguridad es el orquestador de todo esto, pero tienen que siempre apoyarse con diferentes áreas. Realmente no se necesita una persona que sepa de todo, sino más bien un equipo cazador que va a ayudar a realizar el threat hunting”.
Cabe señalar que la inteligencia artificial es una herramienta indispensable para este tipo de procesos.
“La inteligencia artificial va de la mano con la ciberseguridad para el aprendizaje de los usuarios y para encontrar futuros ataques en estadios tempranos”, concluyó el especialista
La IA puede desencadenar procesos de búsqueda o detectar amenazas ocultas de manera eficiente. A su vez, como trabaja en tiempo real, incluso puede enviar alertas tan pronto como identifica algo.
Además, la IA puede aprender de nuevas amenazas y actualizar sus bases de conocimiento internas, lo cual sirve para mantener a los usuarios actualizados.