Hunting Maturity Model (HMM): Los 5 Niveles de Madurez en Threat Hunting

Origen del Hunting Maturity Model

El Hunting Maturity Model (HMM) fue creado por David Bianco en Sqrrl como respuesta a una pregunta recurrente: "estamos listos para hacer threat hunting?" La respuesta no es binaria. Las capacidades de hunting se desarrollan en un espectro, y el HMM proporciona una escala de cinco niveles (HM0 a HM4) para evaluar donde se encuentra una organizacion y que necesita para avanzar.

El modelo se basa en tres ejes fundamentales: calidad y cantidad de datos recopilados, herramientas y tecnologia disponibles, y habilidades del equipo humano. Cada nivel del modelo implica avances en los tres ejes.

Los 5 Niveles del HMM

HM0: Inicial (Initial)

En el nivel HM0, la organizacion depende exclusivamente de deteccion automatizada. No hay actividad de hunting proactivo. Los analistas revisan alertas del SIEM, antivirus o IDS, pero no buscan amenazas que hayan evadido esos controles.

Caracteristicas tipicas del HM0:

• Deteccion basada en firmas y reglas simples
• Sin capacidad de busqueda ad hoc en los datos
• Los analistas son reactivos: esperan a que lleguen alertas
• Visibilidad limitada: logs basicos de firewall y antivirus
• Sin proceso formal de analisis de amenazas

Limitaciones criticas: Las amenazas avanzadas que no coinciden con firmas conocidas pueden residir en la red durante meses sin ser detectadas. El equipo no tiene la capacidad ni las herramientas para buscarlas.

La mayoria de las organizaciones pequenas y medianas operan en este nivel. No es necesariamente un fracaso: para muchas organizaciones, la deteccion automatizada bien configurada cubre la mayor parte del riesgo. Pero si la organizacion enfrenta adversarios sofisticados, el HM0 es insuficiente.

HM1: Minimo (Minimal)

En HM1, la organizacion puede usar herramientas de busqueda para consultar datos centralizados, pero el hunting no es sistematico. Los analistas pueden buscar indicadores especificos (un hash, una IP sospechosa) cuando alguien les proporciona el indicador, pero no generan sus propias hipotesis.

Avances respecto a HM0:

• Datos centralizados en un SIEM o data lake consultable
• Capacidad de buscar IOCs especificos en datos historicos
• Los analistas pueden construir consultas basicas (KQL, SPL, Lucene)
• Hunting esporadico, generalmente disparado por un reporte de inteligencia externo

Lo que falta para avanzar:

• Las busquedas son IOC-driven, no hypothesis-driven
• No hay un proceso formal de hunting
• Los analistas dependen de que alguien les diga que buscar
• Sin documentacion de hunts ni retroalimentacion al programa de deteccion

El HM1 es el nivel donde muchas organizaciones se estancan. Tienen las herramientas pero no el proceso ni las habilidades para usarlas de forma proactiva. La diferencia entre HM1 y HM2 es fundamentalmente humana: requiere analistas que sepan formular hipotesis y disenar investigaciones.

HM2: Procedural (Procedural)

En HM2, la organizacion realiza hunting basado en hipotesis siguiendo procedimientos desarrollados por otros. Los hunters pueden seguir playbooks de hunting publicados por organizaciones como SANS, Sqrrl o vendors de seguridad, y adaptarlos a su entorno.

Avances respecto a HM1:

• Hunting basado en hipotesis, no solo en IOCs
• Uso de playbooks y procedimientos de hunting documentados
• Los analistas aplican analytic frameworks (ATT&CK, Kill Chain) para guiar las busquedas
• Hunting regular, con frecuencia planificada (semanal o mensual)
• Documentacion basica de hunts realizados

Lo que define a HM2:

El punto clave es "procedimientos desarrollados por otros". Un equipo HM2 puede tomar un playbook que dice "busca ejecuciones de PowerShell codificadas en Base64 en los logs de Sysmon" y ejecutarlo con competencia. Pero no crea sus propios playbooks ni adapta sus busquedas en base a la inteligencia de amenazas especifica de su sector.

La transicion de HM2 a HM3 requiere que el equipo pase de consumir procedimientos a crearlos. Esto implica un entendimiento mas profundo del entorno, las amenazas relevantes y las tecnicas adversarias.

HM3: Innovador (Innovative)

En HM3, la organizacion crea sus propios procedimientos de hunting basados en inteligencia especifica y conocimiento del entorno. Los hunters no dependen de playbooks externos: generan hipotesis originales, disenan investigaciones propias y desarrollan analytics nuevos.

Avances respecto a HM2:

• Creacion de procedimientos de hunting propios basados en threat intelligence
• Hipotesis generadas internamente a partir de CTI, red team exercises y conocimiento del entorno
• Uso avanzado de analytics: correlacion de multiples fuentes de datos, deteccion de anomalias estadisticas
• Equipo dedicado de hunters (parcial o completamente)
• Documentacion completa de todos los hunts con hallazgos, analytics y recomendaciones
• Retroalimentacion sistematica: cada hunt produce reglas de deteccion nuevas

Indicadores de HM3:

Un equipo HM3 recibe un informe de CTI sobre una nueva campana de APT29 y, en lugar de buscar solo los IOCs del informe, analiza las TTPs descritas, formula hipotesis sobre como esas TTPs se manifestarian en su entorno especifico y disena una investigacion personalizada. Si APT29 usa DLL sideloading en su campana, el equipo HM3 no busca los DLLs especificos mencionados en el informe, sino cualquier patron de DLL sideloading en su infraestructura.

HM4: Principal (Leading)

HM4 es el nivel mas alto. La organizacion automatiza la mayoria de los procedimientos de hunting exitosos y usa tecnicas avanzadas de analisis de datos (machine learning, analisis estadistico) para identificar anomalias que guien nuevos hunts.

Avances respecto a HM3:

• Automatizacion extensiva de procedimientos de hunting validados
• Uso de machine learning y analisis estadistico para identificar anomalias
• Los hunters se centran exclusivamente en nuevas tecnicas y TTP emergentes
• Plataforma de hunting integrada con CTI, SIEM, EDR y SOAR
• Metricas avanzadas de cobertura, efectividad y ROI del programa
• Sharing de playbooks y hallazgos con la comunidad (ISACs, CERTs)

Realidad del HM4: Muy pocas organizaciones alcanzan este nivel. Requiere inversion significativa en tecnologia, personal altamente cualificado y una cultura de seguridad madura. Los equipos HM4 suelen encontrarse en grandes empresas de tecnologia, instituciones financieras de primer nivel, agencias gubernamentales y proveedores de MDR/MSSP avanzados.

Assessment: Evaluando tu Nivel de Madurez

Evaluar donde esta tu organizacion requiere analizar tres dimensiones:

Dimension 1: Datos y telemetria

Nivel	Requisito minimo de datos
HM0	Logs basicos de firewall/antivirus
HM1	Datos centralizados en SIEM, consultables
HM2	Sysmon/EDR en endpoints, logs de red (Zeek/NetFlow), logs de AD
HM3	Cobertura completa de endpoint + red + cloud + identidad
HM4	Data lake unificado con retencion extendida y ML features

Preguntas de evaluacion para datos:

• Puedes buscar un hash SHA256 en los logs de los ultimos 90 dias?
• Tienes visibilidad de la creacion de procesos en todos los endpoints?
• Los logs de DNS estan centralizados y son consultables?
• Cuantos dias de retencion tienen tus fuentes de datos principales?
• Puedes correlacionar eventos de endpoint con trafico de red?

Dimension 2: Herramientas y tecnologia

Nivel	Herramientas tipicas
HM0	Antivirus, firewall basico
HM1	SIEM con capacidad de busqueda (ELK, Splunk)
HM2	SIEM + EDR + notebooks/scripts de analisis
HM3	SIEM + EDR + plataforma CTI + herramientas de hunting dedicadas
HM4	Todo lo anterior + ML pipeline + automatizacion (SOAR)

Dimension 3: Habilidades y equipo

Nivel	Perfil del equipo
HM0	Analistas N1 reactivos
HM1	Analistas N2 con capacidad de busqueda basica
HM2	Analistas N2/N3 que pueden seguir playbooks de hunting
HM3	Hunters dedicados con experiencia ofensiva y conocimiento CTI
HM4	Equipo multidisciplinar: hunters + data scientists + CTI analysts

Estrategia de Avance por Nivel

De HM0 a HM1: Fundamentos de visibilidad

El primer paso es siempre mejorar los datos. Sin datos centralizados y consultables, el hunting es imposible.

Acciones prioritarias:

1. Desplegar un SIEM o data lake donde centralizar logs (ELK Stack es una opcion open source viable para empezar)
2. Asegurar que los logs de endpoint incluyen creacion de procesos (desplegar Sysmon en Windows es la accion de mayor impacto)
3. Centralizar logs de DNS y proxy
4. Definir una politica de retencion minima de 90 dias para logs de seguridad
5. Formar a los analistas N2 en construccion de consultas basicas

De HM1 a HM2: Proceso y playbooks

Con los datos disponibles, el siguiente paso es crear un proceso de hunting y empezar con playbooks externos.

Acciones prioritarias:

1. Adoptar un framework de hunting (TaHiTI o PEAK)
2. Seleccionar playbooks iniciales basados en las tecnicas ATT&CK mas relevantes para tu sector
3. Programar sprints de hunting regulares (una sesion de 4 horas cada dos semanas es un buen punto de partida)
4. Crear una plantilla de documentacion de hunts
5. Establecer el flujo de retroalimentacion: hunt exitoso produce una regla de deteccion

De HM2 a HM3: Innovacion y CTI

La transicion a HM3 requiere que el equipo desarrolle autonomia analitica.

Acciones prioritarias:

1. Integrar feeds de CTI (MISP, OTX, MalwareBazaar) para generar hipotesis basadas en amenazas reales
2. Formar a los hunters en tecnicas ofensivas (cursos como SANS FOR508 o GDAT)
3. Dedicar tiempo protegido para hunting (no mezclarlo con respuesta a alertas)
4. Desarrollar playbooks internos basados en el entorno especifico y las amenazas del sector
5. Medir y reportar resultados del programa (metricas de cobertura ATT&CK, tasa de descubrimiento)

De HM3 a HM4: Automatizacion y ML

El salto a HM4 es el mas complejo y requiere inversion significativa.

Acciones prioritarias:

1. Automatizar los playbooks de hunting validados en el SOAR
2. Implementar deteccion de anomalias (baselining estadistico de trafico de red, comportamiento de usuarios)
3. Desarrollar pipelines de ML para identificar candidatos a investigacion
4. Compartir hallazgos y playbooks con ISACs y comunidad
5. Medir ROI del programa con metricas de negocio (reduccion de dwell time, mejora en TTD)

Errores Comunes en el Assessment

Sobreestimar el nivel actual. Tener un SIEM no significa estar en HM1 si nadie sabe usarlo para busquedas ad hoc. Tener un equipo de "threat hunting" que solo revisa alertas del EDR no es HM2.

Confundir herramientas con madurez. Comprar un EDR caro no sube automaticamente el nivel. Las herramientas son un habilitador, pero el nivel de madurez lo determinan las personas y los procesos.

Intentar saltar niveles. Cada nivel se construye sobre el anterior. Intentar pasar de HM0 a HM3 comprando herramientas avanzadas sin tener los datos ni las habilidades base genera frustracion y desperdicio de recursos.

Ignorar la retroalimentacion. El indicador mas claro de madurez es si los hunts producen nuevas reglas de deteccion. Si los hallazgos se documentan pero no se convierten en deteccion automatizada, el programa no esta cerrando el ciclo.

Relacion del HMM con Otros Frameworks

El HMM no existe en el vacio. Se complementa con otros modelos de madurez de seguridad:

SOC-CMM (SOC Capability Maturity Model). Evalua la madurez del SOC en general. El hunting es una de las capacidades evaluadas. Un SOC con alta madurez en otras areas pero HM0 en hunting tiene un gap significativo.

MITRE ATT&CK Coverage. Complementa el HMM cuantificando la cobertura de deteccion. Un equipo HM3 deberia tener coverage maps detallados mostrando que tecnicas estan cubiertas por deteccion automatizada y cuales se abordan via hunting.

NIST CSF. El hunting se alinea con la funcion "Detect" del NIST Cybersecurity Framework, especificamente con el subcategoria DE.CM (Security Continuous Monitoring).

Caso Practico: Evaluacion de un SOC Tipico

Un SOC de una empresa mediana con 500 empleados y 3 analistas de seguridad realiza la siguiente evaluacion:

• Datos: SIEM con logs de firewall, proxy y antivirus. Sin Sysmon. DNS parcialmente centralizado. Retencion 30 dias.
• Herramientas: Splunk (licencia basica), antivirus endpoint, firewall perimetral.
• Equipo: 3 analistas N1/N2 que revisan alertas y escalan. Sin experiencia ofensiva.

Resultado: HM0 avanzado, tendiendo a HM1. Tienen un SIEM consultable pero les faltan datos de endpoint (sin Sysmon, sin EDR) y las habilidades del equipo son reactivas.

Plan de mejora a 12 meses:

• Meses 1 a 3: Desplegar Sysmon en todos los Windows. Centralizar DNS completo. Subir retencion a 90 dias.
• Meses 4 a 6: Formar a un analista N2 en hunting con playbooks SANS. Realizar primer sprint de hunting con playbook externo.
• Meses 7 a 12: Establecer cadencia quincenal de hunting. Crear primeros playbooks internos basados en hallazgos. Medir cobertura ATT&CK.

Objetivo realista a 12 meses: HM2.

Conclusiones

El Hunting Maturity Model proporciona una hoja de ruta clara para desarrollar capacidades de hunting. La clave no es llegar al nivel mas alto, sino avanzar de forma consistente, cerrando el ciclo de retroalimentacion en cada nivel: los hallazgos del hunting mejoran la deteccion automatizada, y la deteccion automatizada libera al hunter para buscar amenazas mas sofisticadas.

Evaluar tu nivel actual con honestidad es el primer paso. A partir de ahi, cada avance en datos, herramientas y habilidades del equipo te acerca a una capacidad de hunting mas efectiva y madura.