Es el proceso de buscar activamente amenazas desconocidas en un sistema o red, utilizando técnicas proactivas y herramientas avanzadas para detectar y responder a posibles incidentes de seguridad. Se centra en encontrar indicios de actividad maliciosa que pueden haber pasado desapercibidos en las defensas tradicionales, como firewalls y sistemas de detección de intrusos.

El threat hunting no solo ayuda a detectar amenazas existentes, sino que también permite identificar y corregir vulnerabilidades en un sistema antes de que sean explotadas por los atacantes. Requiere un enfoque interdisciplinario que combina habilidades técnicas con conocimientos de inteligencia de amenazas y análisis de riesgos. Es una parte esencial de una estrategia de seguridad sólida, ya que ayuda a proteger los activos críticos de una organización y minimizar el impacto de una posible brecha de seguridad.

Los endpoint detection and response (EDR) y extended detection and response (XDR) son herramientas clave en el threat hunting ya que proporcionan una visibilidad detallada y en tiempo real de las actividades que ocurren en los dispositivos finales y en las redes de una organización.

Los EDR son sistemas de software que se instalan en los dispositivos finales, como computadoras y servidores, para recopilar información de telemetría en tiempo real y detectar posibles amenazas. Estas herramientas incluyen características como análisis de comportamiento, detección de intrusos y capacidades de respuesta automatizadas.

Los XDR amplían las capacidades de los EDR al proporcionar una visibilidad y detección en toda la infraestructura de una organización, incluyendo cloud, redes y dispositivos finales. También proporcionan un análisis de seguridad en tiempo real y una respuesta automatizada a las amenazas detectadas.

Juntos, los EDR y XDR proporcionan una visibilidad completa de las actividades en los dispositivos finales y en las redes, permitiendo a los equipos de seguridad detectar y responder rápidamente a las amenazas desconocidas, así como identificar y corregir vulnerabilidades antes de que sean explotadas. Esto ayuda a proteger los activos críticos de una organización y minimizar el impacto de una posible brecha de seguridad.

Un antivirus convencional es un software diseñado para detectar y eliminar virus informáticos y otro software malicioso en un dispositivo. Utiliza una base de datos de definiciones de virus para identificar y eliminar las amenazas conocidas. El objetivo principal de un antivirus convencional es prevenir la infección de un dispositivo con malware.

Por otro lado, un endpoint detection and response (EDR) es un sistema de software que se instala en los dispositivos finales, como computadoras y servidores, para recopilar información de telemetría en tiempo real y detectar posibles amenazas. A diferencia de un antivirus convencional, el EDR tiene un enfoque proactivo en la detección y respuesta a amenazas y no solo se limita a buscar y eliminar malware conocido. El EDR ofrece una visibilidad detallada y en tiempo real de las actividades que ocurren en los dispositivos finales, incluyendo análisis de comportamiento, detección de intrusos y capacidades de respuesta automatizadas.

En resumen, un antivirus convencional se enfoca en prevenir la infección con malware conocido, mientras que un EDR proporciona una visibilidad detallada y en tiempo real de las actividades que ocurren en los dispositivos finales, y ofrece una detección y respuesta proactiva a las amenazas desconocidas.