La detección de amenazas ayuda a las organizaciones a evitar ataques mediante el análisis del comportamiento de los atacantes y la identificación de las amenazas potenciales.
Después de leer este artículo podrás:
Contenido relacionado
Información sobre amenazas
Protección integral
Vector de ataque
Centro de operaciones de seguridad (SOC)
10 principales amenazas de seguridad de las API de OWASP
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
La detección de amenazas es un término genérico para las técnicas y herramientas que utilizan las organizaciones para identificar ciberamenazas. Mientras que la detección de amenazas tradicional era un proceso de investigación manual que requería más los conocimientos de un analista de seguridad, que de herramientas automatizadas, la detección de amenazas actual depende de una combinación de ambas.
Con frecuencia, la "detección de amenazas" hace referencia a la detección proactiva de amenazas, durante la cual las organizaciones analizan de forma preventiva su red con el objetivo de encontrar indicios de actividades maliciosa internas o investigar la infraestructura de atacantes de fuera de la misma. Con menos frecuencia, el término también describe la detección reactiva de amenazas, durante la cual las organizaciones analizan su propia infraestructura para encontrar puntos débiles tras una fuga de datos o un ataque similar.
Durante el proceso de detección de amenazas, las organizaciones buscan indicadores de ataque (IoA)* para determinar la intención y el comportamiento de los potenciales atacantes. Un IoA es una acción o serie de acciones que debe realizar un atacante para completar con éxito el ataque. Por ejemplo, engañar a un objetivo para que abra un correo electrónico de phishing, que haga clic en un enlace malicioso o que ejecute una descarga de malware, etc. Entender las tácticas y procedimientos específicos de un atacante puede ayudar a las organizaciones a preparar una defensa más proactiva ante las amenazas.
Un indicador de riesgo (IoC) es una prueba de actividad maliciosa: una anomalía en el tráfico de red, inicios de sesión sospechosos, actualizaciones inesperadas de cuentas o archivos de nivel de administrador, u otros signos de que ha habido una fuga en una organización. Los IoC son componentes útiles de los procesos de detección reactivos de amenazas, ya que suelen indicar que una organización que una organización ya se ha puesto en riesgo.
*Esto también se conoce como tácticas, técnicas y procedimientos (TTP) de un atacante.
Los procedimientos de detección de amenazas varían en función de las necesidades de una organización y de las capacidades de su equipo de seguridad, pero estos suelen formar parte de alguna de estas tres categorías: detección estructurada, detección no estructurada o detección situacional.
Para poder entender la diferencia entre estos procesos, imaginemos que Bob intenta identificar aves mediante el uso de tres técnicas diferentes de observación de aves. Con una metodología se necesitaría mucha planificación: analizar las pautas migratorias de un ave, sus rituales de apareamiento, sus horarios de alimentación y cualquier otro factor de comportamiento que pueda ayudar a determinar dónde y cuándo es probable que se pueda ver al ave. Esto se parece a la detección estructurada, que se centra en descubrir las tácticas y el comportamiento conocidos de un atacante.
Mediante el uso de otra metodología, Bob puede ir a un bosque y buscar nidos, excrementos u otras pruebas físicas de la presencia de un ave. Esto se parece a la detección no estructurada, que suele activarse cuando se detecta un IoC.
Una tercera metodología puede requerir que Bob dé prioridad al seguimiento de las aves en peligro de extinción en vez de a las especies más comunes, y que luego tenga que adaptar su enfoque al ave concreta que esté intentando identificar. Esto se parece a la detección situacional, que utiliza una estrategia personalizada para identificar amenazas a objetivos de alto riesgo.
El proceso tradicional de detección de amenazas se basaba en analistas de seguridad que examinaban manualmente la red, la infraestructura y los sistemas de una organización, y que luego creaban y probaban hipótesis para detectar amenazas externas e internas (como una fuga de datos o un movimiento lateral malicioso).
En comparación, la detección de amenazas moderna usa herramientas de ciberseguridad para ayudar a automatizar y agilizar el proceso de investigación. Algunas de las herramientas más comunes son las siguientes:
La detección de amenazas es el proceso de descubrir y analizar el comportamiento de los atacantes, pruebas de ciberataques u otras amenazas potenciales a las que se enfrenta una organización. El objetivo de la detección de amenazas no es solo descubrir vulnerabilidades en la infraestructura de una organización, sino también detectar amenazas y ataques que todavía no se hayan producido.
En cambio, la información sobre amenazas es un conjunto de datos sobre ciberataques, tanto sobre amenazas potenciales como ataques que ya se hayan producido. Con frecuencia, estos datos se compilan en una fuente de información sobre amenazas, que las organizaciones pueden utilizar para actualizar sus procesos de detección de amenazas y sus procedimientos de seguridad.
En resumen, la detección de amenazas es parecido a cuando se realiza una investigación en la escena del crimen, mientras que la inteligencia sobre amenazas son las pruebas que en ella se encuentran.
Para más información sobre las categorías y objetivos de la información sobre amenazas, consulta ¿Qué es la información sobre amenazas?
El Centro de seguridad de Cloudflare ofrece funciones de investigación sobre amenazas diseñadas para ayudar a los equipos de seguridad a identificar, rastrear y mitigar posibles ataques desde una única interfaz unificada. Dentro del portal de investigación sobre amenazas, los usuarios pueden consultar direcciones IP, nombres de host y sistemas autónomos (SA) específicos para localizar el origen de las amenazas emergentes.
Más información sobre el Centro de seguridad de Cloudflare.