Cybersecurity Architecture: Detection

Name: Cybersecurity Architecture: Detection
Uploaded: 2023-07-26T11:00:19.000Z
Duration: 34 min 10 s

¿Cuál es la fórmula para la seguridad cibernética?

Conceptos Clave de Seguridad

La fórmula S = P + D + R representa que la seguridad se basa en prevención (P), detección (D) y respuesta (R).

Esta ecuación describe el "cómo" de la ciberseguridad, mientras que el triángulo CIA (confidencialidad, integridad y disponibilidad) aborda el "qué".

Enfoque en la Prevención

Hasta este punto, los dominios tratados incluyen gestión de identidad y acceso, seguridad de endpoints, red, aplicaciones y datos; todos enfocados principalmente en la prevención.

Se comenzará a explorar otros aspectos de la ecuación, centrándose hoy en la detección.

Detección: Proceso y Herramientas

La detección implica recopilar información de diferentes dominios para alimentarla a un motor de monitoreo.

Las funciones principales son monitorear, analizar e informar sobre las amenazas. El SOC (Centro de Operaciones de Seguridad) es responsable de estas tareas.

Tecnologías Utilizadas para Detección

Las tecnologías clave incluyen sistemas SIEM (gestión de información y eventos de seguridad) y XDR (respuesta extendida a detecciones).

Un SIEM centraliza información proveniente de múltiples dominios para ofrecer una vista coherente del estado de seguridad.

Funciones del Sistema SIEM

El propósito del SIEM es evitar operar sistemas independientes; integra datos en una base centralizada.

Recopila registros, alarmas y eventos para aplicar análisis que correlacionen incidentes potencialmente relacionados.

Análisis dentro del SIEM

El sistema correlaciona alarmas generadas por un solo ataque en múltiples dominios para reducir ruido operativo.

¿Cómo identificar problemas utilizando inteligencia artificial?

Análisis de anomalías y patrones

Se menciona la importancia de detectar problemas potenciales a través de la identificación de anomalías en los datos, lo que puede indicar un problema que necesita ser investigado.

La analítica del comportamiento del usuario (UBA) se utiliza para encontrar comportamientos inusuales, comparando las acciones de un usuario con las de sus pares.

El objetivo es generar informes para el Centro de Operaciones de Seguridad (SOC), evaluando si hay mejoras en la detección y resolución de alarmas mes a mes.

Funciones del SIEM

Un SIEM (Security Information and Event Management) centraliza información para proporcionar visibilidad sobre todos los sistemas, permitiendo análisis más profundos.

Se introduce el concepto del XDR (Extended Detection and Response), sugiriendo una comparación entre esta tecnología y el SIEM.

¿Qué diferencias existen entre SIEM y XDR?

Orígenes y enfoques

Los SIEM surgieron principalmente de dos áreas: gestión de registros o gestión del comportamiento en red, integrando ambas perspectivas para ofrecer una solución más completa.

Aunque los SIEM pueden realizar múltiples funciones, su enfoque tradicional proviene ya sea del manejo logístico o del análisis basado en redes.

Evolución hacia XDR

El XDR se desarrolló a partir del EDR (Endpoint Detection and Response), adoptando un enfoque diferente al reunir información desde abajo hacia arriba.

A diferencia del SIEM, el XDR busca automatizar respuestas cerca de la fuente del ataque, optimizando así la eficiencia operativa.

¿Cómo funciona el Federated Search en XDR?

Búsqueda federada y su utilidad

El Federated Search permite buscar indicadores específicos sin necesidad de almacenar grandes volúmenes de datos previamente; se obtiene información justo a tiempo.

Este sistema consulta bases locales para identificar problemas que coincidan con condiciones específicas definidas por el usuario.

Integración de SIEM y XDR en la Seguridad Cibernética

Eficiencia en la Detección de Amenazas

Se sugiere que cada sistema realice búsquedas localmente y solo informe los resultados, lo que mejora la eficiencia. Sin embargo, se necesita tanto SIEM como XDR para obtener alarmas de alta calidad.

Los XDR abordan el problema al mantener la mayoría de los datos localmente y recuperarlos cuando sea necesario. Las alarmas del SIEM pueden activar investigaciones, destacando que no es una competencia entre XDR y SIEM, sino una colaboración.

Complementariedad entre Tecnologías

Ambas tecnologías (SIEM y XDR) trabajan juntas para mejorar la respuesta a incidentes de seguridad. Permiten monitorear, analizar e informar sobre actividades en el entorno.

Importancia del Hunting

El hunting se basa en un escenario de ataque donde el atacante realiza reconocimiento inicial para identificar vulnerabilidades antes de atacar.

Según el Instituto Ponemon, hay un retraso significativo hasta que se identifica un ataque (MTTI), que puede ser alrededor de 200 días.

Tiempo Promedio para Contener Incidentes

Después de detectar un problema, el tiempo promedio para contenerlo (MTTC) es aproximadamente 70 días adicionales. En total, esto suma cerca de 270 días desde el ataque hasta la recuperación completa.

Proactividad en la Detección

La meta es reducir este tiempo mediante hunting proactivo. Aunque no siempre se puede prevenir un ataque, se busca aumentar la conciencia temprana sobre posibles amenazas.

A diferencia de las investigaciones reactivas tras una alarma del sistema, el hunting implica formular hipótesis basadas en experiencias previas sin esperar a recibir alertas.

Herramientas Utilizadas por los Threat Hunters

Los analistas utilizan herramientas como SIEM y XDR para buscar indicadores de compromiso. Un enfoque correcto permite una detección temprana.

Idealmente, se podría detectar crímenes futuros antes de que ocurran; sin embargo, dado que esto no es posible actualmente, se intenta acercarse lo más posible al momento del ataque.

Conclusión sobre Respuesta a Incidentes