Las tareas de Threat Hunting como búsqueda de lo desconocido ha abierto la puerta a un sinfín de interpretaciones y metodologías de análisis proactivo, además de formular múltiples preguntas sobre cómo organizar la búsqueda y poder medir el tipo de servicio que se ofrece.
La investigación, que se presentará en tres partes, tiene como objetivo analizar las tareas de la revisión proactiva con el fin de establecer un modelo de desarrollo de Unidades de Inteligencia en función de la cobertura de las técnicas descritas en la matriz de MITRE ATT&CK, así como un modelo matemático para la planificación de las tareas de Threat Hunting basado en la probabilidad de detección para la eficiencia de las horas de analista. Puede leerse el estudio al completo aquí.
La Unidad de Inteligencia en Threat Hunting
En la seguridad gestionada convencional el objetivo es la detección de amenazas de manera automática. Es decir, la detección del mayor número de amenazas con la menor tasa de falsos positivos. En este caso, idealmente, el valor de la inteligencia es siempre incremental, es decir; existe una relación directamente proporcional entre el número de reglas (correctamente calibradas) y la calidad del servicio, pues cuanto mayor número de reglas se dispongan, mayor número de amenazas será posible detectar. Es decir, la regla tiene que identificar de manera inequívoca un patrón malicioso. No es así para el Threat Hunting.