info@botechfpi.com

Games of threats

Games of threats

Si te acercas a cualquier charla relacionada con la ciberseguridad no tardarás más de cinco minutos en escuchar por primera vez “threat” y seguro que lo repiten dos minutos después normalmente seguida de un “detection”, hunting”  o “intelligent”. Es la palabra de moda, el anglicismo de amenaza.

Pero realmente lo importante son los términos que la acompañan ya que presentan líneas de trabajo y de investigación que intentan mejorar en la detección y en la clasificación de dichas amenazas.

Intentare explicar de forma breve, en medida de lo posible, cuáles son estas líneas de trabajo y el por qué las empresas de ciberseguridad perdemos la cabeza por mejorarlas.

Threat Detection

“Threat detection”, posiblemente es el término más antiguo y el más conocido. En si es bastante explícito: detección de amenazas. El modo de trabajo se basa en el análisis de amenazas, extraer los IOC’s (Indicator Of Compromise) más característicos y crear una detección para capturar la amenaza en un sistema. La mejor representación de este término se encuentra en el fichero de firmas de las casas de antivirus. Los analistas y sistemas automáticos estudian el malware y, extrayendo las características más importantes, crean firmas de detección que serán incluidas en el fichero de firmas.

Threat Hunting

“Threat hunting”, un término que desde hace unos años se ha hecho popular entre el mundillo de la seguridad. Esta línea de trabajo intenta responder a las siguientes preguntas, ¿cómo puedo detectar una amenaza que no conozco, y que nunca he visto?, ¿cómo detectar algo que no esté en nuestro fichero de firmas? Lo que se intenta es conseguir patrones de ejecución de las amenazas. Si sé que una amenaza realiza una serie de acciones puedo suponer que cuando un proceso que se encuentra en el sistema realiza dichas acciones es la amenaza que buscamos. No se buscan IOC’s concretos, no se busca una IP o el nombre de un fichero, como ejemplos básicos, se buscan acciones que puedan identificar a una familia de amenazas. Esto se puede aplicar tanto al malware como a ataques.

Threat Intelligent

En ambas metodologías necesitamos muestras, o ataques, que podamos analizar y de los que extraer conclusiones y, por desgracia, en la mayoría de las veces se consiguen de un paciente cero. Con “Threat intelligent” se intenta adquirir información, de fuentes abiertas y cerradas, que nos den la foto actual acerca de una amenaza con respecto a sus objetivos. ¿No le gustaría saber quién y de qué se habla sobre una corporación cuando usted es el responsable de su seguridad cibernética?, o ¿no le gustaría conocer dónde y por cuánto se vende un malware, las redes de bots más activas y sus tamaños? Adquirir, analizar y sacar conclusiones es responsabilidad de los técnicos de threat intelligent.

Threat Prediction

La última línea de trabajo es la que estamos siguiendo en BOTECH FPI y que hemos denominado “Threat  prediction”. La idea es usar nuestros conocimientos en Big Data y Machine Learning para crear motores de detección y que estos nos ayuden a generar información de futuras amenazas. Si creamos un motor que reconozca un tipo de malware, el motor nos puede decir que más formas puede tener el malware y que todavía no se halla visto. Lo que pretendemos es estar un paso por delante y poder tomar medidas antes de que exista la amenaza.

Seguiremos informando… “Threat prediction” is coming.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *