Los cazadores de amenazas capacitados pueden desempeñar un doble papel para las organizaciones: buscar actores de amenazas y garantizar que el presupuesto se dirija a herramientas y tecnología que reforzarán las capacidades de caza, según el Encuesta SANS 2023 sobre caza de amenazas. Sin embargo, la falta de personal capacitado está obstaculizando el éxito de los esfuerzos de búsqueda de amenazas, según la encuesta global de 564 encuestados entre analistas de SOC, gerentes de seguridad y administradores.
Además de la tarea, los propios cazadores de amenazas buscan más capacitación, educación y apoyo de la gerencia, según la encuesta. Mientras los CISO miran hacia 2024 y los desafíos de ciberseguridad que traerá, ¿qué necesitan de los equipos de caza de amenazas y cómo deberían buscar los propios cazadores de amenazas para fortalecer su conjunto de habilidades?
Habilidades técnicas para los analistas de amenazas actuales y cómo están evolucionando
Los analistas de amenazas requieren una combinación de habilidades técnicas tradicionales y modernas y todos los expertos que hablan con CSO dicen que Python es indispensable para realizar análisis de datos eficientes. Otros lenguajes y herramientas importantes que debe conocer incluyen C, C++, JavaScript, Ruby on Rails, SQL, PowerShell, Burp Suite, Nessus y Kali Linux. También se consideran útiles los conocimientos básicos en redes y sistemas, habilidades de análisis de datos, conocimiento de arquitecturas de nube e ingeniería inversa.
Los cazadores de amenazas necesitan una disposición general para investigar problemas complejos con detalles limitados, resolver acertijos y evaluar riesgos. Sin embargo, la tarea se ha vuelto más desafiante por varias razones, según Jake Williams, consultor de seguridad independiente, miembro de la facultad de IANS y ex instructor senior de SANS. «A medida que nuestras defensas perimetrales, como la detección y respuesta de endpoints, han mejorado y los actores de amenazas han mejorado, la búsqueda se ha vuelto más difícil. Es más avanzada y requiere más habilidades y, por lo general, busca anomalías en los datos», le dice a CSO.
Familiaridad con plataformas de inteligencia de amenazas como MISP y información de seguridad y gestión de eventos (SIEM) se necesitan herramientas como Splunk, LogRythm y ManageEngine para identificar y verificar la exposición a amenazas, según el director de ciberseguridad de BugCrowd en la plataforma de recompensas por errores, Sajeeb Lohani. «Y el conocimiento práctico de la ATT&CK DE INGLETE El marco puede ayudar a identificar diferentes tácticas y técnicas utilizadas durante ciertos ataques. Puede ayudar al analista a señalar diferentes patrones de ataque que otros pueden pasar por alto», le dice Lohani a CSO. Las nuevas herramientas livianas como Wazuh son cada vez más frecuentes para ayudar a identificar y gestionar amenazas a medida que el aumento de las criptomonedas ha introducido las actividades mineras en las preocupaciones de ciberseguridad.
No pase por alto el valor de las habilidades interpersonales en la caza de amenazas
Además de la destreza técnica, las habilidades interpersonales son igualmente importantes. Por ejemplo, la capacidad de explicar de manera sucinta las amenazas a varias partes es crucial, mientras que la atención al detalle, el pensamiento analítico, el manejo del estrés, la creatividad y el trabajo en equipo se consideran habilidades fundamentales para el cazador de amenazas moderno.