Seis pasos para una caza de amenazas eficaz.

Para la caza de amenazas eficiente es necesario analizar las redes y endpoints para identificar las
amenazas antes de que puedan realizar un ataque y conseguir sus objetivos.

La caza de amenazas se define como: “La respuesta a un incidente”.

En un concepto de vida cotidiana actual el usuario promedio no se preocupa por la seguridad de

sus datos digitales, por lo tanto, no busca ciberdelincuentes dentro de sus redes y nunca sabrá si
están ahí, volviendo al usuario vulnerable al ataque.
Para evitar estos posibles casos que cada vez se vuelven mas recurrentes por la facilidad
tecnológica es altamente recomendable un programa de caza de amenazas eficaz que cumpla con
los siguientes pasos:

1.Recopile datos pertinentes

Sin datos, simplemente no puede existir la caza de amenazas, para que el programa de caza de
amenazas pueda trabajar de forma eficaz es necesario recopilar datos pertinentes.

2.Establezca una base de referencia para comprender que es normal en su entorno.

Como cazador de amenazas se debe conocer el perfil del usuario o empresa, para poder tener en
cuenta aquellas vulnerabilidades.

3.Desarrolle una hipótesis

Una caza de amenazas empieza por la elaboración de una hipótesis, o una conjetura
fundamentada, sobre un tipo de actividad susceptible de estar produciéndose en su entorno.
Siguiendo con la fase de formación y verificación de la hipótesis, trabajando con inteligencia social,
inteligencia de amenazas y experiencias pasadas. Se formulan preguntas para tener un punto de
vista del atacante e intentar entender los objetivos del mismo y anticipar el ataque.

4.Investigue y analice las amenazas potenciales

La siguiente etapa consiste en recurrir a varias herramientas y técnicas para descubrir nuevos
patrones maliciosos en los datos e identificar las tácticas y técnicas de los ciberdelincuentes.
Si la hipótesis es correcta y se encuentran pruebas de actividad maliciosa, el cazador de amenazas
debe determinar inmediatamente la naturaleza, el alcance, el impacto y el ámbito del
descubrimiento.

5.Intervenga rápidamente para neutralizar las amenazas

Una vez descubierto un nuevo modo operativo, debe asegurarse de que puede reaccionar
eficazmente y neutralizar la amenaza. También es fundamental comprender la causa de la
amenaza para mejorar la seguridad y prevenir ataques similares en el futuro. Deben tomarse todas
las medidas necesarias para garantizar que no existe riesgo alguno de que se produzcan ataques
similares.

6.Enriquezca y automatice sus procesos para hacer frente a eventos futuros.

La ultima etapa de la caza consiste en utilizar los conocimientos generados durante el proceso de
caza de amenazas para enriquecer y mejorar los sistemas EDR. De esta manera se consigue
mejorar la seguridad global del usuario o empresa gracias a los descubrimientos realizados
durante la investigación.