® 
Threat Hunting
Definicio
La caça d'amenaces és la recerca proactiva d'amenaces ocultes i atacants ja presents en una xarxa, però que encara no han estat detectats pels sistemes de detecció automatitzats.
El threat hunting es la cerca proactiva de ciberamenaces que els sistemes de seguretat automatitzats existents no han detectat. Segons el SANS Institute 2024 Threat Hunting Survey, el 73% de les organitzacions amb un programa de threat hunting reporten descobrir amenaces que altrament haurien passat desapercebudes.
Com funciona el threat hunting?
A diferencia del monitoratge de seguretat tradicional que espera alertes, el threat hunting comenca amb una hipotesi: que passaria si un atacant ja fos present a la xarxa? El threat hunter formula una hipotesi basada en intel-ligencia d'amenaces, TTP coneguts d'actors d'amenaces o anomalies en dades de xarxa. Despres cerca sistematicament en logs, telemetria d'endpoints, transit de xarxa i altres fonts de dades evidencia que recolzi o refuti la hipotesi.
Tipus de threat hunting
El hunting basat en hipotesis comenca amb una suposicio basada en nova intel-ligencia d'amenaces. El hunting basat en IOC cerca indicadors de compromis coneguts a l'entorn. El hunting basat en anomalies utilitza machine learning per identificar comportaments anormals. El hunting basat en TTP cerca especificament tecniques d'atac conegudes del framework MITRE ATT&CK.
Impacte per a les organitzacions
Les organitzacions que depenen exclusivament de la deteccio automatitzada perden de mitjana el 20-30% dels atacs avancats que penetren al seu entorn. Els grups APT utilitzen tecniques dissenyades especificament per evadir les regles de deteccio. El threat hunting omple aquest buit afegint intel-ligencia i creativitat humana als sistemes automatitzats. NIS2 exigeix que les organitzacions en sectors critics implementin capacitats de deteccio adequades. Les organitzacions amb un programa actiu de threat hunting detecten les intrusions un 50% mes rapid de mitjana.
Proteccio
El threat hunting efectiu requereix acces a dades de telemetria d'alta qualitat d'endpoints, xarxa i nuvol. Les plataformes EDR i XDR formen la base tecnica. Els feeds d'intel-ligencia d'amenaces proporcionen context. El framework MITRE ATT&CK estructura l'estrategia de cerca. Les troballes es tradueixen en noves regles de deteccio.
Com ajuda DEFION
DEFION ofereix Managed Threat Hunting com a part dels seus serveis MDR. Threat hunters experimentats cerquen proactivament indicadors d'amenaces avancades a l'entorn IT.