Para reducir la exposición de ataque y mejora de la posición en seguridad informática, las organizaciones pueden adoptar dos posiciones: un enfoque reactivo y un enfoque proactivo. El enfoque reactivo involucra métodos tradicionales de detección (por ejemplo, IDS e IPS) y prevención (por ejemplo, firewalls y SIEM), mientras que el enfoque proactivo utiliza tácticas ofensivas, como las que se encuentran en un programa de caza de amenazas (threat-hunting).
La búsqueda de amenazas es el acto de rastrear y eliminar agresivamente a los atacantes de la red corporativa lo antes posible. La búsqueda de amenazas descubre ataques, reduce el delta de detección y evita que los adversarios comprometan sus sistemas críticos. Muchas organizaciones prefieren confiar en medidas como SIEM para protegerse; sin embargo, según una encuesta de TechBeacon, menos del 25% de las organizaciones obtienen el valor total de sus SIEM y solo el 32% obtienen más del 80% del valor que esperaban. Debido a las amenazas persistentes avanzadas (API) y las infracciones, las soluciones SIEM por sí solas no garantizan una protección confiable.
Por lo tanto, tanto un enfoque reactivo (como SIEM) como un enfoque proactivo (como la caza de amenazas) son indispensables y deben implementarse en paralelo para mejorar la postura de seguridad de las organizaciones. En este artículo, aprenderá cómo un plan SIEM junto con la búsqueda de amenazas puede complementarse entre sí para expandir la red de seguridad de una empresa.