Diseñar un ambiente en el que se pueda estudiar y visibilizar al adversario se le puede denominar ingeniería de la detección.
Se prevé que el costo de los delitos informáticos alcance los US$8,44 billones al cierre de este año en el mundo y que la sofisticación de estos ataques genera un impacto de hasta US$23,84 billones para el 2027, lo que reta a las empresas a moverse más rápido, a apelar a la prevención y a blindarse para los desafíos que traerán los próximos años.
En un entorno altamente digitalizado, la ciberseguridad cobra un sentido más fuerte para las empresas a medida que los atacantes informáticos diversifican sus técnicas y a su vez adoptan tecnologías avanzadas como la inteligencia artificial para sus campañas maliciosas a través, por ejemplo, de la falsificación de la identidad.
El incremento notorio de las operaciones cibernéticas que
Para hacer frente a estos desafíos aparece la ingeniería de la detección, que en términos simples es un proceso que mejora la capacidad de los centros de operaciones al interior de las empresas para hacer más ágil la función de trabajar en la identificación y prevención de anomalías que puedan afectarlas.
Se trata de un proceso sistémico para poder detectar anomalías de manera óptima, ágil y eficiente en un ambiente organizacional y así luchar contra ataques más sofisticados que pueden amenazar su operación, generando disrupciones en su actividad.
Se puede definir a la ingeniería de la detección como un proceso sistémico que desarrolla, evalúa y aplica la detección basada en el entendimiento del contexto del negocio frente a los compromisos de los ciberataques (Hettema, 2022).
Un punto clave de la ingeniería de la detección es que ayuda a cortar el exceso de falsos negativos que se presentan en los procesos de detección y que provocan que los verdaderos atacantes pasen desapercibidos.
Para hacerlo, involucra en mayor medida a la automatización, llevando el proceso de detección a ser más personalizable, flexible y repetible, al mismo tiempo que brinda a todos los equipos de seguridad alta calidad que se traduce en eficiencia (Kenner, 2022).
Para poder llevar a cabo todo esto, son necesarios considerar los siguientes elementos:
-
Objetivo: Buscando identificar qué amenazas se necesitan estudiar
-
Requisitos: Definir las posibles fuentes para realizar la labor
-
Implementación: Desarrollar y poner en marcha
-
Mantenimiento: Qué patrones, procesos y reglas deben ajustarse para optimizar mejor.
¿Cuáles son los frentes de aplicación?
La ingeniería de la detección puede ser aplicada en muchos ambientes, contribuyendo esencialmente con el monitoreo de seguridad, la respuesta frente a los incidentes, análisis de malware, inteligencia de amenazas y análisis forense digital.
La detección de amenazas en ambientes organizacionales de manera 100% manual ya no puede seguir el ritmo y los equipos de seguridad necesitan optimizar continuamente el proceso, por tanto, la ingeniería de la detección es una alternativa más que viable (Stone, 2022).
Más que ser una tecnología en sí misma, es un concepto aplicado a la empresa que combina factores como las personas, procesos y tecnología para fortalecer las capacidades de anticipar posibles fenómenos o situaciones que afecten al negocio.
Y es que ante amenazas de ciberseguridad que acechan no solo las finanzas de las empresas y su reputación, los centros de operaciones de seguridad deben estar en capacidad de responder de manera más oportuna al desafío de anticipar y detectar estos intentos de hackeo de manera más eficiente por medio de la mejora del proceso y disminución de los costos (Bailey, 2021).
La detección de las amenazas se ha vuelto más complejo
Así como la ciberseguridad ha dado pasos agigantados en la última década para responder a las necesidades que surgen con el rápido avance de la tecnología y la migración de diversos procesos críticos a nivel corporativo al mundo virtual, principalmente con el impulso que generó la pandemia, los hackers no se han quedado atrás.
Si bien las tecnologías aplicadas por los ciberatacantes cada vez son más complejas desde el punto de vista técnico, las brechas generadas por las conductas de las personas que usan estas herramientas en el ámbito corporativo siguen siendo ampliamente explotadas por los cibercriminales, lo que hace difícil detectar el origen de estos ataques al tratarse de movimientos sigilosos, pero de alto impacto para las organizaciones.
En este contexto, es claro que la complejidad del proceso de detección de estas amenazas se ha incrementado a lo largo del tiempo, lo que demanda el desarrollo de capacidades tanto humanas como técnicas para poder desarrollar la actividad.
No se trata ahora sólo de desarrollar una tecnología en particular que pueda servir para identificar posibles adversarios, sino que también se requieren múltiples capas de herramientas y también de personas que ayuden en esa labor, ante las complejidades de administrar, mantener y sobre todo de analizar el volumen de los datos que se presentan (Bromiley, 2020).
En el mundo de la detección existe un gran reto frente a las alertas y alarmas que se generan en los centros de operaciones ante la multiplicidad de herramientas que muchos de estos poseen. Entender la matriz de la detección y sus consecuencias es clave para poder analizar los beneficios y aplicabilidad de la ingeniería de la detección.
¿Por qué las empresas deberían adoptar la ingeniería de la detección?
La ingeniería de la detección se constituye como una pieza clave para que las organizaciones adopten desde sus centros de seguridad cibernética una postura más vigilante y atenta al atacante digital que acecha continuamente los ambientes cibernéticos.
Esto es clave para poder saber con mayor exactitud el patrón de ataque y perfilar mejor a un adversario, con lo que se incrementa en la organización la capacidad de la respuesta y mejora la resiliencia cibernética (Day, 2020).
Asimismo, se reduce la fatiga por el estado de alerta, se llega a entender mejor el contexto de una amenaza cibernética y se configura un proceso estructurado, lo cual lo hace repetible, enseñable y ajustable, y además facilita la gestión entre los diferentes equipos .
Si bien es cierto que aún no existe un estándar definido para la ingeniería de la detección (Kenner, 2022), en la actualidad los centros de operaciones avanzados están asimilando el concepto y lo están adecuando a las necesidades para mejorar sus capacidades de detección y respuesta.
En últimas, las empresas que integran la ingeniería de la detección ganan en diferentes vías gracias a procesos de detección más flexibles, más dinámicos, más estructurados y que les generan mayor valor de cara a los desafíos que se trazan con un mundo cada vez más digitalizado e hiperconectado.
Referencias
Bailey, K. Detection Engineering Maturity Matrix. https://kyle-bailey.medium.com/detection-engineering-maturity-matrix-f4f3181a5cc7
Bromiley, M. (2020). Detecting Malicious Activity in Large Enterprises. Sans. https://sansorg.egnyte.com/dl/IeGGoVP26l
Day, J. (2020). So, You Want to Be a Detection Engineer?. https://blog.gigamon.com/2020/02/24/so-you-want-to-be-a-detection-engineer/
Di Giorgio, P. (2021). Detection Engineering: Defending Networks with Purpose. Sans. https://sansorg.egnyte.com/dl/nElpZhPfHa
Kenner, L. (2022). What Is Detection Engineering?. https://www.uptycs.com/blog/what-is-detection-engineering
Hettema, H. (2022). Agile Security Operations. Engineering for agility in cyber defense, detection, and response. Birmingham, UK. Packt Publishing Ltd.
Lewis, J. (2020). Detection Engineering for Cloud-Native Security. https://medium.com/swlh/detection-engineering-for-cloud-native-security-190afdd4558c
Stone, M. (2022). A Technical Primer in Detection Engineering. https://panther.com/cyber-explained/detection-engineering-benefits/
Roth, F. (2021). About Detection Engineering. https://cyb3rops.medium.com/about-detection-engineering-44d39e0755f0
