Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es la búsqueda de ciberamenazas?

La búsqueda de ciberamenazas es el proceso de búsqueda proactiva de amenazas desconocidas o no detectadas en la red, los puntos de conexión y los datos de una organización.

Cómo funciona la búsqueda de ciberamenazas

La búsqueda de ciberamenazas usa buscadores de amenazas para buscar de forma preventiva posibles amenazas y ataques dentro de un sistema o red. Esto permite respuestas ágiles y eficientes a ciberataques cada vez más complejos y operados por personas. Aunque los métodos tradicionales de ciberseguridad identifican las vulneraciones de seguridad después del hecho, la búsqueda de ciberamenazas funciona bajo la suposición de que se ha producido una vulneración y puede identificar, adaptar y responder a posibles amenazas inmediatamente después de la detección.

Los atacantes sofisticados pueden vulnerar una organización y no ser detectados durante largos períodos de tiempo: días, semanas o incluso más tiempo. Agregar la búsqueda de ciberamenazas a su perfil existente de herramientas de seguridad, como la detección y respuesta de puntos de conexión (EDR) y la administración de eventos e información de seguridad (SIEM), puede ayudarle a evitar y corregir ataques que, de otro modo, podrían pasar desapercibidos ante las herramientas de seguridad automatizadas.

Búsqueda de amenazas automatizada

Los buscadores de ciberamenazas pueden automatizar ciertos aspectos del proceso mediante el uso del aprendizaje automático, la automatización y la IA. Aprovechar soluciones como la SIEM y la EDR puede ayudar a los buscadores de amenazas a simplificar los procedimientos de búsqueda mediante la supervisión, detección y respuesta a posibles amenazas. Los buscadores de amenazas pueden crear y automatizar diferentes cuadernos de estrategias para responder a distintas amenazas, lo que facilita la carga en los equipos de TI cada vez que surgen ataques similares.

Herramientas y técnicas para la búsqueda de ciberamenazas

Los buscadores de amenazas tienen numerosas herramientas a su disposición, incluidas soluciones como SIEM y XDR, que están diseñadas para trabajar en conjunto.

  • SIEM: Una solución que recopila datos de varios orígenes con análisis en tiempo real, SIEM puede proporcionar a los buscadores de amenazas pistas acerca de posibles amenazas.
  • Detección y respuesta extendidas (XDR): Los buscadores de amenazas pueden usar XDR, que proporciona inteligencia sobre amenazas e interrupciones de ataques automatizadas, para lograr una mayor visibilidad de las amenazas.
  • EDR: EDR, que supervisa los dispositivos de los usuarios finales, también proporciona a los buscadores de amenazas una herramienta eficaz, que les permite sacar conclusiones sobre posibles amenazas dentro de todos los puntos de conexión de una organización.

Tres tipos de búsqueda de ciberamenazas

La búsqueda de ciberamenazas suele tener una de las tres formas siguientes:

Estructurada: En una búsqueda estructurada, los buscadores de amenazas buscan tácticas, técnicas y procedimientos sospechosos (TPP) que indiquen posibles amenazas. En lugar de acercarse a los datos o al sistema y buscar atacantes, el buscador de amenazas crea una hipótesis sobre el método de un posible atacante y trabaja metódicamente para identificar los síntomas de ese ataque. Dado que la búsqueda estructurada consiste en un enfoque más proactivo, los profesionales de TI que emplean esta táctica a menudo pueden interceptar o detener a los atacantes rápidamente.

No estructurada: En una búsqueda no estructurada, el buscador de ciberamenazas busca un indicador de riesgo (IoC) y realiza la búsqueda desde este punto inicial. Dado que el buscador de amenazas puede volver atrás y buscar patrones y pistas en los datos históricos, las búsquedas no estructuradas a veces pueden identificar amenazas no detectadas anteriormente que aún pueden poner en riesgo a la organización.

Situacional: La búsqueda de amenazas situacional clasifica por orden de prioridad recursos o datos específicos dentro del ecosistema digital. Si una organización determina que determinados empleados o recursos representan los riesgos más altos, puede dirigir a los buscadores de ciberamenazas a que centren el trabajo, impidan o corrijan ataques contra estas personas, conjuntos de datos o puntos de conexión vulnerables.

Pasos e implementación de la búsqueda de amenazas

Los buscadores de ciberamenazas suelen seguir estos pasos básicos al investigar y corregir amenazas y ataques:

  1. Crean una teoría o hipótesis sobre una posible amenaza. Los buscadores de amenazas pueden iniciar por identificar los TPP comunes de un atacante.
  2. Llevan a cabo investigaciones. Los buscadores de amenazas investigan los datos, los sistemas y las actividades de la organización (una solución SIEM puede ser una herramienta útil) y recopilan y procesan la información pertinente.
  3. Identifican el desencadenador. Los resultados de la investigación y otras herramientas de seguridad pueden ayudar a los buscadores de amenazas a reconocer un punto inicial para su investigación.
  4. Investigan la amenaza. Los buscadores de amenazas usan sus herramientas de investigación y seguridad para determinar si la amenaza es malintencionada.
  5. Responden y corrigen. Los buscadores de amenazas toman iniciativas para resolver la amenaza.

Tipos de amenazas que los buscadores pueden detectar

La búsqueda de ciberamenazas tiene la capacidad de identificar un amplio rango de amenazas diferentes, entre las que se incluyen las siguientes:

  • Malware y virus: El malware impide el uso de dispositivos normales al obtener acceso no autorizado a los dispositivos de punto de conexión. Los ataques de phishing, spyware, adware, troyanos, gusanos y ransomware son ejemplos de malware. Los virus, algunas de las formas más comunes de malware, están diseñados para interferir con el funcionamiento normal de un dispositivo y grabar, dañar o eliminar sus datos antes de propagarse a otros dispositivos de una red.
  • Amenazas internas: Las amenazas internas provienen de personas con acceso autorizado a la red de una organización. Ya sea mediante acciones malintencionadas o comportamientos involuntarios o negligentes, estos usuarios internos usan incorrectamente o causan daños en las redes, los datos, los sistemas o las instalaciones de la organización.
  • Amenazas persistentes avanzadas: Los actores sofisticados que vulneran la red de una organización y no son detectados durante un período de tiempo representan amenazas persistentes avanzadas. Estos atacantes son expertos y, a menudo, cuentan con los recursos adecuados.
    Ataques de ingeniería social: Los ciberataques pueden usar la manipulación y señuelos para engañar a los empleados de una organización y que otorguen acceso o información confidencial. Entre los ataques comunes de ingeniería social se incluyen phishing, uso de cebos y scareware.

 

Procedimientos recomendados de la búsqueda de ciberamenazas

Al implementar un protocolo de búsqueda de ciberamenazas en su organización, tenga en cuenta los siguientes procedimientos recomendados:

  • Ofrezca a los buscadores de amenazas una visibilidad completa de su organización. Los buscadores de amenazas tienen más éxito cuando comprenden la imagen general.
  • Mantenga herramientas de seguridad complementarias como SIEM, XDR y EDR. Los buscadores de ciberamenazas confían en las automatizaciones y los datos proporcionados por estas herramientas para identificar amenazas más rápidamente y con un contexto mayor para lograr una resolución más rápida.
  • Manténgase informado sobre las últimas amenazas y tácticas. Los atacantes y sus tácticas evolucionan constantemente: asegúrese de que sus buscadores de amenazas tienen los recursos más actualizados sobre las tendencias actuales.
  • Entrene a los empleados para que identifiquen y informen comportamientos sospechosos. Reduzca la posibilidad de amenazas internas manteniendo a sus usuarios informados.
  • Implemente la administración de vulnerabilidades para reducir la exposición general al riesgo de su organización.

Por qué la búsqueda de amenazas es importante para las organizaciones

A medida que los métodos de ataque de los actores malintencionados se vuelven cada vez más sofisticados, es fundamental que las organizaciones inviertan en una búsqueda proactiva de ciberamenazas. Complementaria a formas más pasivas de protección contra amenazas, la búsqueda de ciberamenazas cierra las brechas de seguridad, lo que permite a las organizaciones corregir las amenazas que, de lo contrario, no se detectarían. La agudización de las amenazas de atacantes complejos implica que las organizaciones deben reforzar sus defensas para mantener la confianza en su capacidad de controlar los datos confidenciales y reducir los costes asociados a las vulneraciones de seguridad.

Productos como Microsoft Sentinel pueden ayudarle a anticiparse a las amenazas mediante la recopilación, el almacenamiento y el acceso a datos históricos a nivel de la nube, la optimización de las investigaciones y la automatización de tareas comunes. Estas soluciones pueden proporcionar a los buscadores de ciberamenazas herramientas eficaces para ayudar a mantener su organización protegida.

Obtener más información sobre la Seguridad de Microsoft

Microsoft Sentinel

Detecta y detén amenazas en toda la empresa con análisis de seguridad inteligente.

Obtener más información

Expertos de detección de Microsoft Defender

Extienda la búsqueda de amenazas proactiva más allá del punto de conexión.

Obtener más información

Inteligencia contra amenazas de Microsoft Defender

Protege tu organización contra amenazas y adversarios modernos como el ransomware.

Obtener más información

SIEM y XDR

Detecte, investigue y responda a amenazas en toda su infraestructura digital.

Obtener más información

Preguntas más frecuentes

  • Un ejemplo de búsqueda de ciberamenazas es una búsqueda basada en hipótesis en la que el buscador de amenazas identifica tácticas, técnicas y procedimientos sospechosos que un atacante podría usar y, a continuación, busca evidencia de ellos dentro de la red de una organización.

  • La detección de amenazas es un enfoque activo, a menudo automatizado, de ciberseguridad, mientras que la búsqueda de amenazas es un enfoque proactivo y no automatizado.

  • Un centro de operaciones de seguridad (SOC) es una función o equipo centralizado, ya sea en el sitio o externalizado, responsable de mejorar la posición de ciberseguridad de una organización y de evitar, detectar y responder a las amenazas. La búsqueda de ciberamenazas es una de las tácticas que usan los SOC para identificar y corregir las amenazas.

  • Las herramientas de búsqueda de ciberamenazas son recursos de software disponibles para los equipos de TI y los buscadores de amenazas que les ayudan a detectar y corregir las amenazas. Entre los ejemplos de herramientas de búsqueda de amenazas se incluyen aspectos como las protecciones de antivirus y de firewall, el software de EDR, las herramientas de SIEM y el análisis de datos.

  • El objetivo principal de la búsqueda de ciberamenazas es detectar y corregir de forma proactiva amenazas y ataques sofisticados antes de que dañen a la organización.

  • La inteligencia sobre ciberamenazas consiste en la información y los datos que recopila el software de ciberseguridad, a menudo automáticamente, como parte de sus protocolos de seguridad, para protegerse mejor contra los ciberataques. La búsqueda de amenazas implica tomar información recopilada por la inteligencia sobre amenazas y usarla para informar a las hipótesis y acciones para que busquen y corrijan amenazas.

Seguir a Microsoft