¿Cómo mejorar la detección de anomalías?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
La detección de anomalías es un proceso analítico diseñado para identificar eventos o datos que se desvían significativamente de los patrones habituales de comportamiento. En ciberseguridad, esta técnica es una herramienta clave para las organizaciones, ya que les permite detectar y responder rápidamente a incidentes antes de que se propaguen y generen daños.
El concepto de detección de anomalías en ciberseguridad fue introducido por la matemática Dorothy Denning en su artículo de 1987 titulado Un modelo de detección de intrusiones. Desde entonces, sus principios han sido adoptados por profesionales y empresas del sector, integrándolos en sus estrategias, metodologías y herramientas de seguridad.
Para los CISO, el reto actual es identificar qué herramientas dentro de su infraestructura de seguridad están detectando eventos anómalos y, si es necesario, mejorar sus capacidades de detección. Esto les permite anticiparse a posibles amenazas y, al mismo tiempo, minimizar la sobrecarga de alertas que puede afectar la eficiencia del equipo de seguridad.
¿Qué se considera una anomalía?
Una anomalía es cualquier desviación inusual en el comportamiento normal de un sistema o red. Algunos ejemplos incluyen un aumento repentino del tráfico, una actividad inusual en servidores inactivos o conexiones desde direcciones IP atípicas para un determinado activo. Detectar estos eventos a tiempo ayuda a identificar posibles ataques antes de que se materialicen.
Herramientas de ciberseguridad y detección de anomalías
Si bien la detección de anomalías se basa en modelos matemáticos avanzados, su aplicación en ciberseguridad ha evolucionado en las últimas décadas. Hoy en día, forma parte de diversas herramientas como los sistemas de detección y respuesta en endpoints (EDR), los firewalls y las plataformas de gestión de eventos e información de seguridad (SIEM).
En términos generales, la detección se divide en dos enfoques:
- Identificación de amenazas conocidas: Utiliza bases de datos de firmas para detectar eventos maliciosos previamente registrados.
- Identificación de posibles amenazas desconocidas: Busca patrones sospechosos que podrían indicar nuevas amenazas.
Las herramientas de ciberseguridad suelen combinar ambos enfoques para lograr una protección más efectiva.
El problema de la fatiga por alertas
Uno de los principales desafíos de la detección de anomalías es la gran cantidad de falsos positivos y negativos que pueden generarse. Un volumen excesivo de alertas irrelevantes puede saturar a los equipos de seguridad y hacer que se pasen por alto amenazas reales.
Para mitigar este problema, los equipos de los Centros de Operaciones de Seguridad (SOC) pueden establecer criterios para filtrar alertas y enfocarse en anomalías realmente críticas. Sin embargo, un filtrado demasiado restrictivo podría hacer que ataques sigilosos pasen desapercibidos.
El personal del SOC enfrenta una carga de trabajo intensa, ya que debe analizar una gran cantidad de alertas a diario. Por ello, es fundamental que las herramientas de detección permitan ajustar los parámetros de alerta para mejorar la eficiencia y reducir la fatiga operativa.
Cómo mejorar la detección de anomalías
Las soluciones de seguridad tradicionales son eficaces para detectar y mitigar anomalías ya conocidas. Dado que la mayoría de los atacantes reutilizan técnicas probadas, los sistemas basados en firmas siguen siendo una herramienta clave en la defensa cibernética.
Sin embargo, entrenar algoritmos para identificar anomalías nuevas es un reto. En algunos casos, la intervención humana sigue siendo crucial para evaluar eventos sospechosos y diferenciarlos de falsos positivos.
Al desarrollar estrategias de detección, los CISO deben mantener un equilibrio entre la supervisión humana y la automatización basada en inteligencia artificial. Un enfoque exclusivo en firmas puede dejar pasar amenazas novedosas, mientras que una estrategia basada solo en detección de anomalías puede generar alertas excesivas e imprecisas.
Para lograr una estrategia efectiva, las organizaciones deben adoptar una combinación de ambos enfoques, asegurándose de contar con herramientas que integren capacidades de detección basadas en firmas y en comportamiento anómalo.
Para más información, visite: https://www.silikn.com/
Las herramientas de ciberseguridad suelen combinar ambos enfoques para lograr una protección más efectiva.
El problema de la fatiga por alertas
Uno de los principales desafíos de la detección de anomalías es la gran cantidad de falsos positivos y negativos que pueden generarse. Un volumen excesivo de alertas irrelevantes puede saturar a los equipos de seguridad y hacer que se pasen por alto amenazas reales.
Para mitigar este problema, los equipos de los Centros de Operaciones de Seguridad (SOC) pueden establecer criterios para filtrar alertas y enfocarse en anomalías realmente críticas. Sin embargo, un filtrado demasiado restrictivo podría hacer que ataques sigilosos pasen desapercibidos.
El personal del SOC enfrenta una carga de trabajo intensa, ya que debe analizar una gran cantidad de alertas a diario. Por ello, es fundamental que las herramientas de detección permitan ajustar los parámetros de alerta para mejorar la eficiencia y reducir la fatiga operativa.
Cómo mejorar la detección de anomalías
Las soluciones de seguridad tradicionales son eficaces para detectar y mitigar anomalías ya conocidas. Dado que la mayoría de los atacantes reutilizan técnicas probadas, los sistemas basados en firmas siguen siendo una herramienta clave en la defensa cibernética.
Sin embargo, entrenar algoritmos para identificar anomalías nuevas es un reto. En algunos casos, la intervención humana sigue siendo crucial para evaluar eventos sospechosos y diferenciarlos de falsos positivos.
Al desarrollar estrategias de detección, los CISO deben mantener un equilibrio entre la supervisión humana y la automatización basada en inteligencia artificial. Un enfoque exclusivo en firmas puede dejar pasar amenazas novedosas, mientras que una estrategia basada solo en detección de anomalías puede generar alertas excesivas e imprecisas.
Para lograr una estrategia efectiva, las organizaciones deben adoptar una combinación de ambos enfoques, asegurándose de contar con herramientas que integren capacidades de detección basadas en firmas y en comportamiento anómalo.
Para más información, visite: https://www.silikn.com/