Threat Hunter, el especialista prevenir ciberataques

El Blog Think Big ha publicado el artículo ‘El papel del “Threat Hunting” como acelerante en la respuesta a incidentes’: “Un Threat Hunter es un analista especializado en investigar diversas fuentes de información provenientes de la infraestructura de la organización para extraer datos sobre amenazas”.

 

Las organizaciones deben contar con sistemas de seguridad para defenderse de ataques como el Ransomware, pero también deben buscar de forma proactiva amenazas y vulnerabilidades en sus sistemas y redes. Y ahí es donde entra el Threat Hunter, un profesional de ciberseguridad que sabe detectar anomalías en la información brindada por herramientas como EDR (Endpoint Detection and Response), que se enfoca en la detección y respuesta en el punto final de una red, como son los ordenadores, móviles y servidores.

 

Además, ayuda a la hora de confirmar que no hay afectación en algún servicio previamente afectado para levantarlo rápidamente, bloqueando mediante el EDR los artefactos maliciosos ya identificados.

 

 

EDR-centric

El Threat Hunter puede llevar a cabo varias acciones sobre el EDR:

  • Recuperación de evidencias: es posible conectar con las máquinas que interesen y recuperar información directamente desde ellas, sin necesidad de utilizar recursos de otros grupos técnicos de la organización (que dada la situación tendrán una carga de trabajo muy alta).
  • Investigación de eventos: ofrece telemetría sobre las máquinas en las que se ejecuta el agente correspondiente para estudiar los patrones del ataque, al poder investigar ejecuciones de artefactos, trazar conexiones creadas por cada proceso ejecutado y detectar las persistencias de diferentes elementos software o del malware.
  • Aislamiento de activos: los que presenten comportamientos maliciosos o sospechosos, permitiendo el funcionamiento normal de aquellos elementos que no han estado afectados.
  • Bloqueo de IOCs y creación de reglas: los Indicadores de Compromiso (IOC en inglés) y las reglas del comportamiento que ha realizado el hacker pueden ser configurados en la plataforma para su bloqueo y aviso automáticos. Si el atacante deja una bomba lógica o mantiene el acceso al sistema, éste sería bloqueado automáticamente por el EDR al haberse realizado esta configuración previamente.

 

Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!

Logotipo de acenews

1 comentario

  1. Angelica says:

    Una excelente forma de fomentar la lectura y compartir información importante, excelente artículo , gracias por crearlo

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.