® 
Threat Hunting
Definicion
La caza de amenazas es la búsqueda proactiva de amenazas ocultas y atacantes ya presentes en una red, pero que aún no han sido detectados por los sistemas de detección automatizados.
El threat hunting es la busqueda proactiva de ciberamenazas que los sistemas de seguridad automatizados existentes no han detectado. Segun el SANS Institute 2024 Threat Hunting Survey, el 73% de las organizaciones con un programa de threat hunting reportan descubrir amenazas que de otro modo habrian pasado desapercibidas.
Como funciona el threat hunting?
A diferencia de la monitorizacion de seguridad tradicional que espera alertas, el threat hunting comienza con una hipotesis: que pasaria si un atacante ya estuviera presente en la red? El threat hunter formula una hipotesis basada en inteligencia de amenazas, TTP conocidos de actores de amenazas o anomalias en datos de red. Luego busca sistematicamente en logs, telemetria de endpoints, trafico de red y otras fuentes de datos evidencia que respalde o refute la hipotesis.
Tipos de threat hunting
El hunting basado en hipotesis comienza con una suposicion basada en nueva inteligencia de amenazas. El hunting basado en IOC busca indicadores de compromiso conocidos en el entorno. El hunting basado en anomalias utiliza machine learning para identificar comportamientos anormales. El hunting basado en TTP busca especificamente tecnicas de ataque conocidas del framework MITRE ATT&CK.
Impacto para las organizaciones
Las organizaciones que dependen exclusivamente de la deteccion automatizada pierden en promedio el 20-30% de los ataques avanzados que penetran en su entorno. Los grupos APT y los operadores sofisticados de ransomware utilizan tecnicas disenadas especificamente para evadir las reglas de deteccion. El threat hunting llena este vacio anadiendo inteligencia y creatividad humana a los sistemas automatizados. NIS2 exige que las organizaciones en sectores criticos implementen capacidades de deteccion adecuadas. Las organizaciones con un programa activo de threat hunting detectan las intrusiones un 50% mas rapido de media, segun el informe Mandiant M-Trends 2024.
Proteccion
El threat hunting efectivo requiere acceso a datos de telemetria de alta calidad de endpoints, red y nube. Las plataformas EDR y XDR forman la base tecnica. Los feeds de inteligencia de amenazas proporcionan contexto. El framework MITRE ATT&CK estructura la estrategia de busqueda. Los hallazgos se traducen en nuevas reglas de deteccion que fortalecen los sistemas automatizados.
Como ayuda DEFION
DEFION ofrece Managed Threat Hunting como parte de sus servicios MDR. Threat hunters experimentados buscan proactivamente indicadores de amenazas avanzadas en el entorno IT.