¿Qué es la detección de amenazas?

La detección de amenazas, también conocida como búsqueda de ciberamenazas, es un enfoque proactivo para identificar amenazas previamente desconocidas o amenazas en curso no remediadas dentro de la red de una organización.

A man sitting in front of his laptop against the evening window.

Por qué ls detección de amenazas es importante

La detección de amenazas es importante porque las amenazas sofisticadas pueden superar la ciberseguridad automatizada. Si bien las herramientas de seguridad automatizadas y los analistas del centro de operaciones de seguridad (SOC) de nivel 1 y 2 deberían poder lidiar con aproximadamente el 80 % de las amenazas, aún debe preocuparse por el 20 % restante. Es más probable que el 20 % restante de las amenazas incluya amenazas sofisticadas que pueden causar daños significativos. Con el tiempo y los recursos suficientes, entrarán en cualquier red y evitarán la detección durante un promedio de hasta 280 días. La búsqueda de amenazas efectiva ayuda a reducir el tiempo desde la intrusión hasta el descubrimiento, lo que reduce la cantidad de daño causado por los atacantes.

Los atacantes a menudo acechan durante semanas, o incluso meses, antes de ser descubiertos. Esperan pacientemente para desviar los datos y descubrir suficiente información confidencial o credenciales para desbloquear más acceso, preparando el escenario para una brecha de datos significativa. ¿Cuánto daño pueden causar las amenazas potenciales? De acuerdo con el "Cost of a Data Breach Report 2020", una brecha de datos le cuesta a una empresa casi USD 4 millones en promedio. Y los efectos nocivos de una brecha pueden persistir durante años. Cuanto mayor sea el tiempo entre la falla del sistema y la implementación de la respuesta, más puede costarle a una organización.


Cómo funciona la detección de amenazas

Un programa exitoso de detección de amenazas se basa en la fertilidad de los datos de un entorno. En otras palabras, una organización primero debe contar con un sistema de seguridad empresarial que recopile datos. La información recopilada proporciona pistas valiosas para los cazadores de amenazas.

Los cazadores de amenazas cibernéticas aportan un elemento humano a la seguridad empresarial, complementando los sistemas automatizados. Son profesionales expertos en seguridad de TI que buscan, registran, supervisan y neutralizan amenazas antes de que puedan causar problemas graves. Idealmente, son analistas de seguridad del departamento de TI de una empresa que conocen bien sus operaciones, pero a veces son analistas externos.

El arte de la detección de amenazas encuentra las incógnitas del entorno. Va más allá de las tecnologías de detección tradicionales, como la gestión de información de seguridad y eventos (SIEM) , detección y respuesta de punto final (EDR) y otros. Los cazadores de amenazas analizan los datos de seguridad. Buscan malware oculto o atacantes y buscan patrones de actividad sospechosa que una computadora podría haber pasado por alto o haber considerado que se solucionó, cuando no es así. También ayudan a parchear el sistema de seguridad de una empresa para evitar que ese tipo de ataque cibernético se repita.


Tipos de detección de amenazas

Los cazadores comienzan con una hipótesis basada en datos de seguridad o un disparador. La hipótesis o el desencadenante sirven como trampolines para una investigación más profunda de los riesgos potenciales. Y estas investigaciones más profundas son la detección estructurada, no estructurada y situacional.

Detección estructurada

Una detección estructurada se basa en un indicador de ataque (IoA) y tácticas, técnicas y procedimientos (TTP) de un atacante. Todas las detecciones están alineadas y basadas en los TTP de los actores de amenazas. Por lo tanto, el cazador generalmente puede identificar a un actor de amenazas incluso antes de que el atacante pueda causar daños al entorno. Este tipo de caza utiliza el marco MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK)  (enlace externo a ibm.com), utilizando marcos empresariales y PRE-ATT&CK.

Detección no estructurada

Se inicia una búsqueda no estructurada en función de un disparador, uno de los muchos indicadores de falla (IoC). Este desencadenante a menudo indica a un cazador que busque patrones previos y posteriores a la detección. Guiando su enfoque, el cazador puede investigar hasta donde lo permitan la retención de datos y los delitos asociados previamente.

Impulsado por la situación o por la entidad

Una hipótesis situacional proviene de la evaluación de riesgos internos de una empresa o de un análisis de tendencias y vulnerabilidades exclusivo de su entorno de TI. Los clientes potenciales orientados a la entidad provienen de datos de ataques de fuentes múltiples que, cuando se revisan, revelan los TTP más recientes de las ciberamenazas actuales. Luego, un cazador de amenazas puede buscar estos comportamientos específicos dentro del entorno.


Modelos de detección

Detección basada en Intel

La detección basada en Intel es un modelo reactivo de detección (enlace externo a ibm.com)  que utiliza IoC de fuentes de inteligencia de amenazas. A partir de ahí, la detección sigue reglas predefinidas establecidas por el SIEM y la inteligencia de amenazas.

Las detecciones basadas en Intel pueden usar IoC, valores hash, direcciones IP, nombres de dominio, redes o artefactos de host proporcionados por plataformas de intercambio de inteligencia, como equipos de respuesta a emergencias informáticas (CERT). Una alerta automatizada se puede exportar desde estas plataformas e ingresar en el SIEM como expresión de información de amenaza estructurada (STIX) (enlace externo a ibm.com) y el intercambio automatizado confiable de información de inteligencia (TAXII ) (enlace externo a ibm.com). Cuando SIEM tenga el alerta basado en un IoC, el cazador de amenazas puede investigar la actividad maliciosa antes y después del alerta para identificar cualquier riesgo en el entorno.

Detección de hipótesis

La detección de hipótesis es un modelo de detección proactivo que utiliza una biblioteca de detección de amenazas. Está alineado con el marco MITRE ATT&CK y utiliza libros de jugadas de detección global para identificar grupos de amenazas persistentes avanzadas y ataques de malware.

Las detecciones basadas en hipótesis utilizan los IoA y los TTP de los atacantes. El cazador identifica a los actores de amenazas en función del entorno, el dominio y los comportamientos de ataque empleados para crear una hipótesis alineada con el marco MITRE. Una vez que se identifica un comportamiento, el cazador de amenazas supervisa los patrones de actividad para detectar, identificar y aislar la amenaza. De esta manera, el cazador puede detectar proactivamente a los actores de amenazas antes de que puedan dañar un entorno.

Detección personalizada

La detección personalizada se basa en la conciencia situacional y en metodologías de detección basadas en la industria. Identifica anomalías en las herramientas SIEM y EDR y se puede personalizar según los requisitos del cliente.

Las detecciones personalizadas o situacionales se basan en los requisitos de los clientes o se ejecutan de forma proactiva en función de situaciones, como problemas geopolíticos y ataques dirigidos. Estas actividades de detección pueden basarse en modelos de detección basados tanto en inteligencia como en hipótesis utilizando información de IoA e IoC.


Herramientas de detección de amenazas

Los cazadores usan datos de MDR, SIEM y herramientas de análisis de seguridad como base para una detección. También pueden usar otras herramientas, como analizadores de empacadores, para ejecutar detecciones basadas en la red. Sin embargo, el uso de herramientas SIEM y MDR requiere que todas las fuentes y herramientas esenciales en un entorno estén integradas. Esta integración garantiza que las pistas de IoA e IoC puedan proporcionar una dirección de detección adecuada.


¿Cuál es la diferencia entre la detección de amenazas y la inteligencia de amenazas?

La inteligencia de amenazas es un conjunto de datos sobre intrusiones intentadas o exitosas, generalmente recopiladas y analizadas por sistemas de seguridad automatizados con machine learning e IA.

La detección de amenazas utiliza esta inteligencia para llevar a cabo una búsqueda exhaustiva en todo el sistema de actores negativos. En otras palabras, la detección de amenazas comienza donde termina la inteligencia de amenazas. Además, una detección de amenazas exitosa puede identificar amenazas que aún no se han detectado en la naturaleza.

Y también, la detección de amenazas utiliza indicadores de amenazas como pista o hipótesis para una detección. Los indicadores de amenazas son huellas digitales virtuales dejadas por malware o un atacante, una dirección IP extraña, correos electrónicos de phishing u otro tráfico de red inusual.


Soluciones relacionadas

Detección de ciberamenazas

Mejore significativamente las tasas de detección y acelere el tiempo para detectar, investigar y remediar amenazas. Aprenda a iniciar su propio programa de detección de ciberamenazas.

Detección y respuesta gestionadas

IBM Security Managed Detection and Response (MDR) ofrece una capacidad de prevención, detección y respuesta llave en mano, 24 horas al día, 7 días a la semana. Los cazadores de amenazas proactivos de IBM trabajan con las organizaciones para ayudar a identificar sus activos más importantes y sus preocupaciones fundamentales.

Gestión de eventos e información de seguridad (SIEM)

Construya su base SIEM y desarrolle un programa integral que pueda mejorarse con los tiempos cambiantes. Identifique amenazas internas, realice un seguimiento de los dispositivos de punto final, asegure la nube y gestione el cumplimiento con IBM Security.

Orquestación, automatización y respuesta de seguridad (SOAR)

La detección de amenazas es solo la mitad de la ecuación de seguridad. Para mejorar su centro de operaciones de seguridad (SOC), también debe considerar la respuesta inteligente a incidentes y una única plataforma integrada de orquestación, automatización y respuesta de seguridad (SOAR) con servicios administrados.

Servicios de seguridad ofensivos

Encuentre y corrija sus vulnerabilidades conocidas y desconocidas más fundamentales con X-Force® Red. Este equipo autónomo de hackers veteranos trabaja con IBM para probar su seguridad y descubrir debilidades que los atacantes criminales pueden usar para beneficio personal.