¿Qué es la ingeniería de detección?

Al igual que los ciberdelincuentes perfeccionan sus técnicas y ataques, los equipos de seguridad también deben mejorar su contenido de detección. La ingeniería de detección, por lo tanto, es un ciclo de vida que requiere un esfuerzo continuo. No obstante, cuando se hace bien, puede reducir el tiempo medio de detección y respuesta ante una amenaza, así como el plazo de recuperación.

La ingeniería de detección es el proceso de identificar amenazas antes de que causen daños significativos. Consiste en crear una cultura y un proceso para desarrollar, mejorar y perfeccionar las detecciones con el objetivo de protegerse frente a las amenazas actuales. Une a desarrolladores de contenido, Threat Hunters, especialistas en inteligencia sobre amenazas, equipos rojos y expertos en gestión de riesgos para crear un sistema de defensa basado en amenazas.

Objetivo de la detección

La ingeniería de detección comienza con el modelado de amenazas, es decir, identificar las amenazas relevantes para la organización. Se puede usar un marco MITRE ATT@CK y realizar un análisis de brechas para descubrir qué es relevante aunque, en última instancia, se debería comenzar por responder a las siguientes preguntas:

• ¿Qué necesito detectar?
• ¿Qué actores de amenazas, técnicas o herramientas son relevantes para nosotros?
• ¿Cómo puedo demostrar la relevancia para la empresa?

Las respuestas a estas preguntas te ayudarán a elaborar una fórmula para las amenazas a las que debería prestar atención tu organización.

Requisitos de detección

Identifica las fuentes de log disponibles y determina qué logs o fuentes de datos faltan para detectar las amenazas identificadas. A continuación, identifica casos de uso, analiza los informes de vulnerabilidades y comprende las brechas en tu defensa. Haz bien tu trabajo. Investiga y formula hipótesis sobre la amenaza. En este momento, puedes empezar a redactar el contenido de detección.

En esta fase, responde a las siguientes preguntas:

• ¿Cómo puedo detectar X?
• ¿Qué fuentes de log o de datos necesito para ello?
• ¿Qué lógica de detección debería utilizar?

Implementación de la detección

Las respuestas te llevarán a la fase de implementación, donde hablaremos sobre el ciclo de vida y cómo se gestionarán las capacidades de detección de forma continua. Después de escribir el contenido de detección específico, tendrás que ajustarlo continuamente a falsos positivos y a cualquier matiz que surja. Además, también deberás revisar constantemente las detecciones ya registradas. Como parte de este proceso, hazte estas preguntas:

• ¿Cómo puedo automatizar la detección?
• ¿Debería implementar la detección en forma de panel, búsqueda guardada, informe o regla?

La naturaleza cíclica de la ingeniería de detección requiere una cultura de apoyo en la organización. Sin ella, tus esfuerzos serán insuficientes. El valor de este ciclo de vida es la reducción del tiempo de respuesta medio para detectar y responder a un incidente. Obviamente, siempre se producirán incidentes que no formen parte necesariamente del ciclo de vida de detección. Aquí es donde entra en acción el Threat Hunting.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con CrowdStrike Falcon^®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de un registro de seguridad a escala de petabytes, con opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente, sin índices y sin cuellos de botella, que hace posible el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.