El papel vital de los cazadores de amenazas en la ciberseguridad
Una mirada a las experiencias y necesidades de los cazadores de amenazas ante el aumento de ciberamenazas.
― 9 minilectura
Tabla de contenidos
- La Importancia de los Cazadores de Amenazas
- Desafíos en la Caza de Amenazas
- Diseño del Estudio
- Hallazgos Clave y Temas
- Apoyando la Construcción de Modelos Mentales
- Trabajando Juntos
- Efectividad en la Detección de Amenazas
- Construyendo un Modelo Mental
- Propuestas de Diseño
- Crear una Historia o Línea de Tiempo de Eventos
- Visualizar y Navegar Conexiones
- Búsqueda Creativamente Ampliada
- Puntos de Referencia y Toma de Notas
- Integrar Recursos Externos
- Conclusión
- Direcciones para Investigaciones Futuras
- Fuente original
- Enlaces de referencia
Las amenazas de seguridad están siendo cada vez más comunes y graves. Como resultado, el papel de los cazadores de amenazas se ha vuelto cada vez más importante. Estos son profesionales capacitados que trabajan para encontrar, identificar y detener las amenazas de seguridad antes de que causen daños. Aunque muchas herramientas hoy en día se enfocan en automatizar este proceso, es crucial entender las habilidades humanas involucradas. Este artículo examina las experiencias de los cazadores de amenazas para entender mejor cómo piensan y qué herramientas necesitan para hacer su trabajo de manera efectiva.
A través de observaciones detalladas de los cazadores de amenazas en acción, esperamos aprender más sobre cómo desarrollan sus marcos mentales mientras localizan amenazas. Un marco mental es cómo alguien entiende y organiza información en su mente. Hemos identificado temas clave de nuestras observaciones y hemos desarrollado algunas sugerencias para mejorar las herramientas que utilizan. Estas ideas buscan facilitar el trabajo de los cazadores de amenazas mientras reducen el estrés y la complejidad que enfrentan.
La Importancia de los Cazadores de Amenazas
A medida que ha aumentado el número de ciberataques-más de 2,300 incidentes reportados en los EE. UU. solo en 2023-las organizaciones necesitan medidas de seguridad efectivas. Una línea de defensa principal es tener cazadores de amenazas capacitados que puedan buscar y neutralizar amenazas potenciales de manera activa.
Los cazadores de amenazas desempeñan un papel esencial en la Ciberseguridad. No solo dependen de sistemas automatizados, sino que utilizan su experiencia e intuición para identificar actividades sospechosas. Sin embargo, la investigación actual sobre este tema es limitada y muchos de estos profesionales enfrentan problemas como la Sobrecarga de Información y altos niveles de estrés.
Desafíos en la Caza de Amenazas
Cazar amenazas no es un trabajo fácil. Requiere filtrar grandes cantidades de datos para encontrar la actividad inusual que podría indicar una amenaza de seguridad. Esto puede ser abrumador y puede llevar al agotamiento. El trabajo también implica trabajo en equipo, requiriendo fuertes habilidades de comunicación con otros en la organización. Esto puede complicar aún más las cosas.
A pesar del creciente reconocimiento de los cazadores de amenazas, hay poco entendimiento sobre sus experiencias diarias y procesos cognitivos. Muchas organizaciones tienen pautas sobre cómo realizar la caza de amenazas. Sin embargo, hay una falta de modelos que expliquen los procesos de pensamiento involucrados en este trabajo.
Dada esta brecha de conocimiento, nuestro objetivo fue explorar las experiencias vividas de estos profesionales para identificar mejor sus necesidades y desafíos.
Diseño del Estudio
Esta investigación consistió en una serie de sesiones de observación con cazadores de amenazas experimentados de una organización de ciberseguridad. Nuestros principales objetivos eran observar sus actividades diarias, entender sus desafíos y aprender cómo piensan mientras cazan amenazas.
Llevamos a cabo seis sesiones de observación, enfocándonos en individuos experimentados que ya estaban utilizando herramientas populares de ciberseguridad. Durante estas sesiones, tomamos notas detalladas, pero no grabamos audio ni video para mantener la privacidad y confidencialidad.
Se pidió a los participantes que demostraran cómo realizan su trabajo. A menudo se referían a investigaciones pasadas, lo que nos permitió obtener información sobre sus procesos de pensamiento y metodologías.
Hallazgos Clave y Temas
A partir de las observaciones, organizamos nuestros hallazgos en 23 temas, que pueden clasificarse en tres categorías amplias:
Apoyando la Construcción de Modelos Mentales
Proceso de Caza de Amenazas Activa: Implica los pasos y rutinas que utilizan los cazadores de amenazas, incluyendo listas de verificación y pautas.
Uso Frecuente de la Memoria: Los cazadores de amenazas dependen mucho de su memoria para información clave necesaria para su trabajo.
Conexión de Datos Internos a Externos: Esto implica conectar datos internos con recursos externos para obtener más contexto sobre amenazas potenciales.
Habilidades Técnicas y Experiencia: Un conocimiento experto en sistemas operativos y redes informáticas es crucial para una caza efectiva.
Marcado de Eventos Significativos: Es esencial que los cazadores anoten eventos importantes para referencia futura.
Bucle de Retroalimentación con Herramientas: Hay necesidad de herramientas que capturen la retroalimentación de los cazadores para mejorar la asistencia en investigaciones futuras.
Facilidad para Navegar y Explorar en las Interfaces de Usuario: Las interfaces de usuario de las herramientas deben permitir una navegación intuitiva y exploración.
Entendimiento de la Estrategia del Atacante: Saber cómo operan los atacantes ayuda a los cazadores a rastrear sus acciones.
Modelo Mental de la Actividad de Caza: Los cazadores de amenazas desarrollan marcos para entender e interpretar actividades sospechosas.
Modelo Mental del Sistema del Cliente: Entender el sistema específico del cliente es vital para reunir información.
Trabajando Juntos
Documentación de Hallazgos: Cómo los cazadores documentan sus hallazgos es crucial para la consistencia y continuidad.
Colaboración con el Cliente: Colaborar con los clientes para entender sus sistemas y expectativas es necesario.
Colaboración en Equipo: Trabajar juntos con otros cazadores de amenazas mejora el proceso de caza.
Proceso de Traspaso: Esto se refiere a cómo se pasa la información de un cazador a otro.
Reportes a Clientes: Los cazadores necesitan transmitir sus hallazgos claramente a los clientes.
Efectividad en la Detección de Amenazas
Desafíos de Recursos de Información: Los cazadores enfrentan desafíos para usar diversas fuentes de información de manera efectiva.
Desafíos de Herramientas Internas: Las herramientas actuales vienen con limitaciones, lo que puede obstaculizar la eficiencia de los cazadores.
Capacidades de Búsqueda de Eventos: La habilidad para buscar efectivamente puntos de datos específicos mejora la detección de amenazas.
¿Cuándo Dejar de Cazar?: Los cazadores a menudo luchan con saber cuándo han reunido suficientes datos.
Limitaciones de Herramientas Actuales: Las herramientas existentes a veces no logran detectar ataques sofisticados.
Problemas de Disponibilidad de Datos: La falta de datos o visibilidad en los sistemas puede complicar las investigaciones.
Construyendo un Modelo Mental
Durante sus sesiones, los cazadores de amenazas utilizan un modelo mental para guiar su investigación. Este modelo evoluciona a medida que reúnen más información. El proceso involucra tres fases:
Iniciando la Sesión: Comienzan revisando notas pasadas y consultando con los miembros del equipo sobre investigaciones en curso.
Realizando la Caza: Esta fase activa incluye analizar datos y marcar eventos significativos para un mayor escrutinio.
Conclusión y Reporte: Finalmente, informan sus hallazgos, resumir los puntos clave y crean documentación para referencia futura y traspasos.
La capacidad de transitar de la confusión a la claridad en sus modelos mentales es vital y refleja sus procesos cognitivos durante una caza.
Propuestas de Diseño
Basado en nuestros hallazgos, desarrollamos cinco propuestas de diseño para mejorar las herramientas y procesos utilizados por los cazadores de amenazas:
Crear una Historia o Línea de Tiempo de Eventos
Esta propuesta tiene como objetivo ayudar a los cazadores a construir una narrativa clara de sus hallazgos. Las soluciones podrían incluir características como mapas mentales o listas de verificación que permitan a los cazadores rastrear su progreso y almacenar información crucial de manera sistemática.
Visualizar y Navegar Conexiones
Integrar un mapa visual que represente el sistema de un cliente ayudaría a los cazadores a mantener su sentido de dirección. Esto permitiría una navegación más fácil a través de puntos de datos conectados, facilitando la comprensión de sistemas complejos.
Búsqueda Creativamente Ampliada
Esta propuesta enfatiza la mejora de las capacidades de búsqueda para ayudar a los cazadores a encontrar patrones y conexiones de manera efectiva. Podría incluir opciones avanzadas de filtrado y clasificación, junto con sugerencias basadas en búsquedas anteriores.
Puntos de Referencia y Toma de Notas
Esta característica sugiere que los cazadores deberían poder agregar notas directamente en sus herramientas. Tal integración ayudaría a preservar información importante y mantener una narrativa consistente a lo largo de sus investigaciones.
Integrar Recursos Externos
Por último, la integración de fuentes de información externas comúnmente utilizadas en herramientas de caza agilizaría procesos. Esto reduciría la necesidad de cambiar de contexto y facilitaría el acceso a información necesaria de manera eficiente.
Conclusión
Nuestra investigación resalta el papel crítico que juegan los cazadores de amenazas en la ciberseguridad. Al entender sus experiencias y procesos cognitivos, podemos apoyarlos mejor en sus tareas. Los hallazgos del estudio enfatizan la importancia de la colaboración, documentación efectiva y la necesidad de herramientas mejoradas.
Las propuestas de diseño que hemos presentado buscan abordar los desafíos enfrentados por los cazadores de amenazas y mejorar su efectividad. El trabajo futuro debería continuar explorando las dimensiones cognitivas de la caza de amenazas y buscar desarrollar herramientas que se alineen mejor con las necesidades de los profesionales en este campo.
Al enfocarnos en factores humanos, podemos fomentar una postura de ciberseguridad más sólida y protegernos contra amenazas en constante evolución.
Direcciones para Investigaciones Futuras
Hay mucho más por explorar en este campo. Los estudios futuros deberían investigar cómo diferentes modelos mentales afectan la efectividad en la caza de amenazas. Además, entender la dinámica del equipo y mejorar la comunicación son áreas propensas para la investigación.
A medida que el papel de los cazadores de amenazas continúa creciendo, entender sus necesidades, experiencias y procesos cognitivos será esencial para avanzar en el campo de la ciberseguridad. La investigación continua puede ayudar a refinar herramientas y estrategias para apoyar a estos profesionales vitales en su importante trabajo.
Título: Fuzzy to Clear: Elucidating the Threat Hunter Cognitive Process and Cognitive Support Needs
Resumen: With security threats increasing in frequency and severity, it is critical that we consider the important role of threat hunters. These highly-trained security professionals learn to see, identify, and intercept security threats. Many recent works and existing tools in cybersecurity are focused on automating the threat hunting process, often overlooking the critical human element. Our study shifts this paradigm by emphasizing a human-centered approach to understanding the lived experiences of threat hunters. By observing threat hunters during hunting sessions and analyzing the rich insights they provide, we seek to advance the understanding of their cognitive processes and the tool support they need. Through an in-depth observational study of threat hunters, we introduce a model of how they build and refine their mental models during threat hunting sessions. We also present 23 themes that provide a foundation to better understand threat hunter needs and five actionable design propositions to enhance the tools that support them. Through these contributions, our work enriches the theoretical understanding of threat hunting and provides practical insights for designing more effective, human-centered cybersecurity tools.
Autores: Alessandra Maciel Paz Milani, Arty Starr, Samantha Hill, Callum Curtis, Norman Anderson, David Moreno-Lumbreras, Margaret-Anne Storey
Última actualización: 2024-08-08 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2408.04348
Fuente PDF: https://arxiv.org/pdf/2408.04348
Licencia: https://creativecommons.org/licenses/by-sa/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://www.opentext.com/what-is/ueba
- https://www.forbes.com/advisor/education/it-and-tech/cybersecurity-statistics/
- https://www.opentext.com/products/cyber-security
- https://www.opentext.com/products/arcsight-intelligence
- https://miro.com/
- https://www.michaelshell.org/
- https://www.michaelshell.org/tex/ieeetran/
- https://www.ctan.org/pkg/ieeetran
- https://www.ieee.org/
- https://www.latex-project.org/
- https://www.michaelshell.org/tex/testflow/
- https://www.ctan.org/pkg/ifpdf
- https://www.ctan.org/pkg/cite
- https://www.ctan.org/pkg/graphicx
- https://www.ctan.org/pkg/epslatex
- https://www.tug.org/applications/pdftex
- https://www.ctan.org/pkg/amsmath
- https://www.ctan.org/pkg/algorithms
- https://www.ctan.org/pkg/algorithmicx
- https://www.ctan.org/pkg/array
- https://www.ctan.org/pkg/subfig
- https://www.ctan.org/pkg/fixltx2e
- https://www.ctan.org/pkg/stfloats
- https://www.ctan.org/pkg/dblfloatfix
- https://www.ctan.org/pkg/url
- https://mirror.ctan.org/biblio/bibtex/contrib/doc/
- https://www.michaelshell.org/tex/ieeetran/bibtex/