Habilidades esenciales para los analistas de amenazas
El conocimiento de diferentes lenguajes y herramientas de programación, el aprendizaje automático y la inteligencia artificial son algunas de las habilidades técnicas que los analistas de amenazas necesitarán para abordar su trabajo en 2024.
Según una encuesta de SANS, los cazadores de amenazas capacitados pueden desempeñar un doble papel en sus empresas; buscar ciberdelincuentes y garantizar que el presupuesto se dirija a herramientas y tecnología que refuercen su actividad. Sin embargo, la falta de personal está obstaculizando el éxito en estas tareas, tal y como dice el estudio.
Los propios ‘cazadores’ buscan más capacitación, educación y apoyo de la directiva. Mientras los CISO miran hacia 2024, ¿qué necesitan de los equipos de analistas de amenazas y cómo deberían buscar los propios cazadores para fortalecer su conjunto de habilidades?
Habilidades técnicas para los analistas de amenazas actuales y cómo están evolucionando
Los analistas de amenazas requieren una combinación de habilidades técnicas tradicionales y modernas y todos los expertos dicen que Python es indispensable para realizar análisis de datos eficientes. Otros lenguajes y herramientas importantes que deben conocer incluyen C, C++, JavaScript, Ruby on Rails, SQL, PowerShell, Burp Suite, Nessus y Kali Linux. También se consideran útiles los conocimientos básicos en redes y sistemas, habilidades de análisis de datos, conocimiento de arquitecturas de nube e ingeniería inversa.
Los cazadores de amenazas necesitan una disposición general para investigar problemas complejos con detalles limitados, resolver acertijos y evaluar riesgos. Sin embargo, la tarea se ha vuelto más desafiante por varias razones, según Jake Williams, consultor de seguridad independiente, miembro de la facultad de IANS y ex instructor senior de SANS. "A medida que nuestras defensas perimetrales, como la detección y respuesta de endpoints, han mejorado y los actores de amenazas han mejorado, la búsqueda se ha vuelto más difícil. Es más avanzada y requiere más habilidades y, por lo general, busca anomalías en los datos".
Según el director de ciberseguridad de BugCrowd en la plataforma de recompensas de errores, Sajeeb Lohani, se necesita familiaridad con plataformas de inteligencia de amenazas como MISP y herramientas de gestión de eventos e información de seguridad (SIEM) como Splunk, LogRythm y ManageEngine para identificar y verificar la exposición a las amenazas. "Y el conocimiento práctico del marco MITRE ATT&CK puede ayudar a identificar diferentes tácticas y técnicas utilizadas durante ciertos ataques. Puede ayudar al analista a señalar diferentes patrones de ataque que otros pueden pasar por alto", asegura Lohani. Las herramientas livianas más nuevas, como Wazuh, son cada vez más frecuentes para ayudar a identificar y gestionar amenazas a medida que el aumento de las criptomonedas ha introducido las actividades mineras en las preocupaciones de ciberseguridad.
No pase por alto el valor de las habilidades interpersonales en la caza de amenazas
Además de la destreza técnica, las habilidades interpersonales son igualmente importantes. Por ejemplo, la capacidad de explicar de manera sucinta las amenazas a varias partes es crucial, mientras que la atención al detalle, el pensamiento analítico, el manejo del estrés, la creatividad y el trabajo en equipo se consideran habilidades fundamentales para el analista de amenazas moderno.
Muy a menudo, por ejemplo, existe una necesidad urgente de comunicar una nueva vulnerabilidad a diferentes audiencias, lo que exige comunicaciones personalizadas para equipos técnicos, CISO y miembros de la junta directiva. Williams destaca la gestión de tareas y la paciencia, especialmente cuando se trata de información incierta o engañosa, y sobre todo, la coordinación entre diferentes fuentes de información. "Gran parte de la caza de amenazas hoy en día se relaciona con ese tipo de vida en la que ves cosas que parecen maliciosas. Y muchas veces estás desarrollando hipótesis y eso implica consultar al administrador del sistema y trabajar para lograr una resolución". También es importante ser flexible en el pensamiento y no cerrar la mente a una cosa u otra, señala. "Aquellas personas que pueden tener en mente puntos de vista opuestos simultáneamente son, con diferencia, las mejores".
¿Cómo está cambiando el papel del cazador de amenazas?
Las responsabilidades del cazador de amenazas han pasado de la monitorización de red tradicional a la búsqueda proactiva de amenazas y la recopilación de inteligencia, lo que ha significado una mejora significativa de las habilidades y nuevas prioridades. "A diferencia del pasado, hay menos investigación manual y aportes sobre listas negras y menos dependencia de los sistemas de detección de intrusos", dice el experto en confianza digital y director no ejecutivo de ISACA, Niel Harper. Han entrado en escena herramientas capaces de analizar grandes cantidades de datos. "Estas herramientas de detección de amenazas proporcionan inteligencia útil y procesable y priorización de amenazas para los cazadores de amenazas".
Sin embargo, ha creado muchos falsos positivos, lo que ha significado que los analistas de amenazas deban estar capacitados para analizar las banderas falsas y encontrar indicadores de compromiso. Ahora, con el aprendizaje automático, la inteligencia artificial y una mayor automatización, el rol continúa evolucionando. Harper ve un gran valor en las habilidades de investigación y análisis para los cazadores de amenazas. "Ayuda a convertir la información procedente de diversas herramientas en inteligencia procesable", afirma.
El mandato también se ha ampliado para incluir el monitoreo de la seguridad en la nube y la comprensión de la centralización y el análisis de registros, señala Christ Scott, especialista en operaciones de seguridad del Grupo Chaucer. "Los atacantes apuntan a esos espacios con más frecuencia". Habiendo trabajado con algunas organizaciones grandes, ha visto el cambio de primera mano. "Alguien creará algo en la nube y eso abrirá otra superficie de ataque, por lo que es necesario tener a alguien que busque las vulnerabilidades de manera proactiva".
También es un juego mental, en el que los cazadores de amenazas deben ser muy adaptables ya que las amenazas cambian a diario, a veces cada hora. "Es necesario cambiar con ellos. Nunca permita que una mente inflexible invada su enfoque operativo", afirma Brian Hussey, vicepresidente de búsqueda de amenazas, inteligencia y DFIR en SentinelOne. Al mismo tiempo, también es necesario ver el bosque a través de los árboles. "A menudo los actores de amenazas introducen cambios superficiales en sus patrones de ataque, pero el modus operandi central permanece sin cambios, lo que deja importantes oportunidades para identificar y eliminar nuevos ataques, incluso antes de que lleguen".
El ML y la IA tienen un lugar, pero no lo son todo
Dado que la encuesta SANS indica que casi tres cuartas partes de las organizaciones necesitan más capacitación y personal capacitado, las tecnologías de inteligencia artificial y aprendizaje automático pueden desempeñar un papel. Todos los expertos coinciden en la creciente importancia del aprendizaje automático y la inteligencia artificial para mejorar las capacidades de detección de amenazas. "Puede analizar grandes cantidades de información en poco tiempo y estamos viendo mucha más inteligencia gracias a estas herramientas, ya que pueden brindarle el mejor curso de acción para penetrar un objetivo. Esto puede optimizar la efectividad de su explotación", expresa Harper.
El análisis de valores atípicos, por ejemplo, alguna vez se realizó manualmente, pero ahora se está integrando en las herramientas, por lo que tener cierta comprensión de la ciencia de datos y los kits de herramientas de aprendizaje automático, muchos de los cuales están expuestos a través de Python, puede mejorar significativamente las capacidades de detección de amenazas, según Williams. "Puedes utilizarlos inmediatamente para ayudarte a encontrar las cosas que son muy comunes o las que son muy poco comunes".
Del mismo modo, también advierten contra una dependencia excesiva del aprendizaje automático y la inteligencia artificial y destacan la necesidad de una supervisión humana. Por ejemplo, la IA reduce la barrera de las habilidades, pero estas tecnologías no pueden inferir ni cuestionar la forma en que lo hacen los humanos. Estas herramientas nunca deberían mitigar el poder de la curiosidad humana para preguntar "por qué", señala Scott del Grupo Chaucer. "¿Se pregunta por qué algo hace eso? Es la regla ABC: no asumir nada, no creer en nada, confirmarlo todo".
¿Cómo deberían los cazadores mantenerse al día con el cambiante panorama de amenazas?
El aprendizaje continuo y la adaptabilidad son claves para mantenerse actualizado como cazador de amenazas. Los principiantes deben comenzar con los conceptos básicos de redes y seguridad, y avanzar gradualmente hacia áreas más complejas. Involucrarse con comunidades en línea y utilizar recursos en línea también son formas efectivas de mantenerse informado. La experiencia práctica en ciberseguridad es clave. Pase un par de años en un centro de operaciones de seguridad o trabajando en respuesta a incidentes antes de pasar a la búsqueda de amenazas, sugiere Williams.
Harper recomienda que los principiantes comiencen con los conceptos básicos de redes y seguridad, utilizando los recursos disponibles en línea y las comunidades como guía. "Conectarse con comunidades de profesionales y asociaciones profesionales es una forma de compartir herramientas e información y avanzar en el camino del aprendizaje", afirma.
Responsabilidades éticas
Uno de los aspectos que los cazadores de amenazas pasan por alto es la necesidad de tener un marco ético personal sólido, sin divulgar información comercial confidencial ni hacer un mal uso de exploits u otra información sobre vulnerabilidades potenciales.
"A lo largo de su carrera, se encontrará con varias consideraciones éticas", dice Hussey de SentinelOne. Hackear o tomar acciones ofensivas contra actores de amenazas, secuestrar la criptomoneda de un atacante, negociar con un actor de amenazas de ransomware, etc. "Es esencial comunicar sus acciones a su equipo legal y a sus colegas. Cuando las buenas personas se unen para hacer lo correcto, estos temas difíciles son mucho más fáciles de definir". Luego está la necesidad de manejar la información confidencial de manera responsable y transparente y cumplir con los estándares legales. "Se trata de asegurarse de proteger y almacenar la información de forma segura con fuertes controles de acceso y, si comparte esta información con terceros, que sean de confianza", afirma Harper.
También es vital que los cazadores de amenazas permanezcan neutrales cuando se trata de determinadas investigaciones, como el espionaje corporativo o la investigación de individuos. Es necesario evitar comenzar con ciertas suposiciones y evitar hacer suposiciones y, en cambio, centrarse en ser imparcial. Scott, de Chaucer Group, destaca las posibles implicaciones éticas de la búsqueda de amenazas y enfatiza la responsabilidad de permanecer imparcial y proteger la información confidencial. "Se trata de seguir esa regla ABC, no hacer suposiciones y centrarse en los datos, e incluso garantizar un alcance más amplio de los datos para evitar llegar a una conclusión predeterminada".
¿Qué más buscar al contratar cazadores de amenazas?
La falta de personal capacitado en los equipos de caza de amenazas es la principal barrera para el éxito. Al igual que otras áreas de la ciberseguridad que enfrentan una brecha de habilidades, la contratación diversa puede ser una solución, pero ¿cómo se traduce esto en la caza de amenazas?
Harper aboga por un enfoque inclusivo de la ciberseguridad y afirma que personas de diversos orígenes educativos pueden sobresalir en este campo. "No creo que sea necesario tener una formación estricta en informática o tecnología de la información, siempre y cuando haya interés, voluntad y pasión por aprender".
También ayuda tener personas que puedan ver más allá de la mecánica de una amenaza e incluso considerar el objetivo o la motivación más amplios de los atacantes. "Al comprender el 'por qué' detrás de un ataque, los analistas pueden comprender mejor el 'cómo' y el 'cuándo', lo que permite elaborar perfiles más efectivos de los adversarios y fortalecer las medidas de seguridad contra vectores de amenazas específicos", dice Lohani de BugCrowd. "Esto ayuda a informar la evaluación de riesgos, la priorización de los esfuerzos de defensa y el desarrollo de programas educativos de seguridad más específicos para los usuarios. Tener una comprensión del elemento humano de la ciberseguridad es esencial para una estrategia de defensa integral".
