Ingeniería de Detección
La disciplina de diseñar, construir y validar reglas y sistemas de detección para identificar actividad maliciosa en redes y sistemas.
Definición
Ingeniería de Detección es el proceso sistemático de crear reglas de detección que identifiquen actividad maliciosa o sospechosa. En lugar de responder manualmente a alertas, los ingenieros de detección escriben consultas y reglas que marcan amenazas automáticamente.
La ingeniería de detección moderna está impulsada por MITRE ATT&CK, creando reglas para tácticas y técnicas específicas que utilizan los atacantes.
Principios Clave
Mentalidad de Prevención Primero
- Asumir que los atacantes entrarán
- Enfocarse en detectar lo que hacen después de la entrada
- Diseñar reglas para T1021 (movimiento lateral), T1005 (recopilación de datos), etc.
Basado en Evidencia
- Construir reglas alrededor de indicadores observables de compromiso
- Las reglas deben ser probables contra registros de seguridad reales
- Validar reglas contra incidentes históricos
Gestión de Falsos Positivos
- Las reglas que se disparan demasiado a menudo se ignoran
- Equilibrar sensibilidad de detección con falsos positivos
- Ajustar reglas continuamente
Metodología
- Mapear amenazas a técnicas ATT&CK
- Identificar cómo se manifiesta cada técnica en los registros
- Escribir reglas dirigidas a técnicas específicas
- Validar contra datos históricos
- Desplegar y monitorear
Ejemplo de Regla de Detección
Técnica: T1087 (Descubrimiento de Cuentas)
Observable: Múltiples comandos de descubrimiento de cuentas fallidos desde un único usuario
Regla: Alertar cuando un único sistema envía >10 consultas de usuario neto en 5 minutos
Esto detecta la fase de reconocimiento de ataques antes de que ocurra movimiento lateral o robo de datos.