El término threat hunter o “cazador de amenazas” no es nuevo y lleva siendo trabajado y mejorado desde hace algunos años en el mundo de la seguridad de la información.
Integrando tecnología, procesos y personas, busca detectar y aislar amenazas a través de análisis proactivos de red para aportar valor con técnicas avanzadas que suplan las debilidades de las medidas de seguridad, ya sea por una amenaza externa o interna.
Sin embargo, no todas las organizaciones están preparadas para entrar en este mundo o simplemente no lo necesitan desplegar internamente dentro de sus medidas de protección. Esto es debido a que su despliegue necesita de unos requisitos previos que para nada son un punto de partida en la seguridad de la información y que pueden no aportar nada en el ecosistema de una compañía concreta para la detección y respuesta a los incidentes cibernéticos.
¿Qué debemos tener en cuenta?
Para la implementación de un modelo de Threat Hunting, las empresas deben considerar unas bases tecnológicas, de procesos y de personal con unas capacidades y características mínimas. Por ejemplo, desde el punto de vista tecnológico, se deben tener bien desplegados los elementos para la detección de amenazas, por lo cual es indispensable contar con un buen sistema de EDR (Endpoint Detection & Response), un sistema de IDS (Intrusion Detection System) y un SIEM (Security Information Event Management). Éstos servirán como fuente primordial de la telemetría de la red y de los sucesos que en ella ocurran de manera regular, periódica y/o extraordinaria.
Fuente: empresas.blogthinkbig.com
Link relacionados:
- Threat Hunting ¿Qué es y cómo abordarlo?
- ¿Qué es Threat Hunting y por qué es necesario?
- Cacería de Amenazas - Convirtiendo el BigData en RightData de CiberSeguridad
No hay comentarios:
Publicar un comentario