En la actualidad, la popularidad de los servicios de Threat Hunting es consecuencia de la detección de ataques cada vez más persistentes con una duración cada vez más dilatada en el tiempo. En otras palabras, los cibercriminales tienen maneras aventajadas de evadir las medidas de defensa tradicionales. Por ello, además de detectar los ataques, es cada vez más importante tratar de adelantarse a los ciberataques para que el gap de detección se reduzca todo lo posible. Sin embargo, la falta de presupuesto de las organizaciones, de tecnologías, de procesos y, sobre todo, de un equipo de expertos para hacerlo desde cero, hace que sea imposible para la mayoría construir y evolucionar su defensa tan rápidamente como lo hace el cibercrimen.
En este ecosistema, el Threat Hunting se posiciona como una de las tendencias más importantes en la ciberseguridad corporativa de los últimos tiempos. Podemos definir el Threat Hunting como el proceso de búsqueda iterativa y proactiva a través de las redes para detectar y aislar amenazas avanzadas capaces de evadir las soluciones de seguridad existentes.
Lo que diferencia a esta técnica es la proactividad, a diferencia de aquellas medidas tradicionales de gestión de amenazas, como firewalls, intrusion detection systems (IDS), sandboxing, y sistemas SIEM. Todas estas medidas implican una investigación después de que se haya producido una alerta de un ataque potencial o un incidente de seguridad, es decir son medidas reactivas, no proactivas. Es más, la proactividad es muy importante en las soluciones de ciberseguridad avanzadas. El cambio de enfoque de EPP (Endpoint Protection) a EDR (endpoint detection and response) significa que existe una telemetría en tiempo real, lo que es fundamental para poder realizar el Threat Hunting. La característica más importante del Threat Hunting es su enfoque: hablamos de un enfoque proactivo frente las amenazas. Esto quiere decir que no es una respuesta ante incidentes, aunque sí están conectados, ya que a partir de los resultados de la investigación y las conclusiones es posible establecer nuevos indicadores de ataque o de compromiso.
El Threat Hunting es el proceso de búsqueda iterativa y proactiva en las redes para detectar y aislar amenazas avanzadas
Threat Hunting de Panda Adaptive Defense descubre nuevos patrones de ataque mediante la identificación automática de anomalías en el comportamiento de cada usuario, proceso y máquina. Después, los cazadores de amenazas dirigen las investigaciones que desentrañan la causa principal, toman una respuesta inmediata y guían el plan de acción para reducir la superficie de ataque de manera exitosa. Cada nuevo patrón de ataque se convierte también en un comportamiento de detección de amenazas para detener a futuros hackers antes de que se produzcan daños, creando así un ciclo de aprendizaje y detección. Esta técnica, sin embargo, no pone fin a la ciberdelincuencia, pero se vuelve tan difícil y costoso para el atacante que deja de ser rentable, hasta el punto de pasar a otro objetivo.