Detectando Actividad Sospechosa



Cuando hablamos de Ciberseguridad, es muy común escuchar que se nombra la "Actividad Sospechosa", pero la mayoría de las personas que no pertenecen al área, no comprenden bien a lo que se hace referencia cuando en InfoSec tocamos este tema.

¿Qué es una actividad sospechosa?


Consideramos actividad sospechosa algún comportamiento que es inusual, ya sea en las personas, infraestructura, activos, etc. Todo puede estar vinculado y debemos de ser muy analíticos y dudar de todo, recuerdo que alguna persona me dijo una vez que en el área de Ciberseguridad: "nunca debes confiar en nada".

¿Qué podemos considerar como actividad sospechosa?

La detección de la Actividad Sospechosa, no se trata de adivinar, es un análisis que debe estar en búsqueda continua de anomalías, siendo proactivos y llevando a cabo un monitoreo constante de la infraestructura. 

Monitorear no solo se trata de entrar a una consola o configurar alertas que cambien de color cuando algo falla. 

En Ciberseguridad deberíamos estar en busca de este tipo de actividades, que se vuelven sospechosas cuando salen del umbral de actividad normal.

¿cómo sabemos qué es anormal o sospechoso?, para ello, debemos conocer la infraestructura que estamos monitorizando y analizando, si no tienes ese conocimiento, realmente será muy difícil poder detectarlo.


Pongamos un ejemplo, si la máquina de un usuario tiene un comportamiento normal (salida a internet, conexión al servidor de archivos, acceso a correo, etc. ), todo dentro de un horario entre las 10:00 hrs y máximo las 18:00 hrs, el analista debería de conocer eso, con base en todo los registros que ha analizado y el aprendizaje que ha obtenido de los comportamientos.

Si un día, detecta que a las 19:00 hrs el equipo se encuentra activo y conectándose a direcciones de internet de dudosa reputación, o intentando conectarse a servidores que no debería, esto se consideraría una actividad sospechosa y debe de confirmarse e informarse de inmediato.

Cuando alguna actividad salga del umbral, debe ser analizada e informada, ya que podrías estar siendo víctima de algún atacante o el dispositivo pudiera estar comprometido.

Y ¿Cómo analizamos miles de logs?


El análisis debería realizarse con ayuda alguna plataforma tecnológica para ahorrar tiempo y mejorar la respuesta, pero sabemos que la mayoría de estas herramientas no se encuentran optimizadas para realizar esta actividad, y en muchos casos son ignoradas las alertas por ofrecer información de poco valor, pero esto no es culpa de la herramienta, sino de quien la configuró.

Al final, el análisis debe de realizarse y mantenerse para poder detectar Actividad Sospechosa y actuar de forma correcta. Esta actividad tiene que ver mucho con capacidad de análisis, conocimiento y experiencia de las personas que lo llevan a cabo.


Con un monitoreo proactivo de la infraestructura, podrías detectar actividades sospechosas y ser el héroe de la organización.




#ciberseguridad #easysec #infosec #actividadsospechosa #cybersecurity #monitoreo #SOC #CSOC #SecurityAnalyst #threathunting

Publicar un comentario

0 Comentarios