¿Qué es la actividad sospechosa?

 

Cuando hablamos de Ciberseguridad, es muy común escuchar que se nombra la "Actividad Sospechosa", pero la mayoría de las personas que no pertenecen al área, no comprenden a qué se hace referencia con esta expresión.

¿Qué es actividad sospechosa?

Consideramos actividad sospechosa algún comportamiento que es inusual, ya sea en las personas, infraestructura, activos, etc. Todo puede estar vinculado por lo que los especialistas deben ser muy analíticos y dudar de todo.

¿Qué podemos considerar como actividad sospechosa?

La detección de actividad sospechosa, no se trata de adivinar; es un análisis que debe de realizarse como parte de una búsqueda continua de anomalías, siendo proactivos y llevando a cabo un monitoreo de los activos de la empresa.

Monitorizar no solo se trata de entrar a una consola o configurar alertas que cambien de color cuando algo falla. Los especialistas deberían estar en busca de este tipo de actividades, que se vuelven sospechosas cuando salen del umbral de la actividad normal.

 ¿Cómo sabemos qué es anormal o sospechoso?

Para esto, debemos conocer la infraestructura que estamos monitorizando y analizando, si no tienes ese conocimiento, realmente será muy difícil poder detectarlo. 

Pongamos un ejemplo. Si la máquina de un usuario tiene un comportamiento normal (salida a internet, conexión al servidor de archivos, acceso a correo, etc.), todo dentro de un horario entre las 10:00 hrs y máximo las 18:00 hrs, el analista debería de conocer eso, con base en todos los registros que ha analizado y el aprendizaje que ha obtenido de los comportamientos.

Si un día, detecta que a las 19:00 hrs el equipo se encuentra activo y conectándose a direcciones de internet de dudosa reputación, o intentando conectarse a servidores que no debería, esto se podría considerar una actividad sospechosa y debe confirmarse e informarse de inmediato.

Cuando alguna actividad salga del umbral, debe ser analizada e informada, ya que podrías estar siendo víctima de algún atacante, o que algún dispositivo pudiera estar comprometido con malware y esté intentando replicarse en más equipos de la red corporativa, incluso puede ayudarte a descubrir a personal interno con malas intenciones, como robar información confidencial.

 ¿Cómo analizamos miles de logs?

El análisis debería realizarse con ayuda de alguna plataforma tecnológica para ahorrar tiempo y mejorar la respuesta, pero sabemos que la mayoría de estas herramientas no se encuentran optimizadas para realizar esta actividad, y en muchos casos son ignoradas las alertas por ofrecer información de poco valor, pero esto no es culpa del producto, sino de quien lo configuró.

Al final, el análisis debe realizarse y mantenerse para poder detectar actividad sospechosa y así, actuar de forma correcta. Esta actividad tiene que ver mucho con la capacidad de análisis, conocimiento y experiencia de las personas que lo llevan a cabo.

Con un monitoreo proactivo de la infraestructura, podrías detectar actividades sospechosas y ser el héroe de la empresa.