Detección de amenazas
Ya sabés leer logs a mano. Ahora el objetivo es automatizar esa lectura: reconocer patrones de ataque en tiempo real, antes de que un humano tenga que revisar línea por línea.
De reactivo a proactivo
Revisar logs después de que algo raro se reporta es reactivo. La detección de amenazas busca ser proactiva: tener sistemas que observan tráfico y comportamiento en tiempo real, y avisan apenas algo coincide con un patrón conocido de ataque, sin esperar a que un usuario reporte que algo anda mal.
Es la diferencia entre un guardia que revisa la grabación de la cámara al día siguiente de un robo, y una alarma que suena en el momento exacto en que alguien fuerza una ventana. La detección de amenazas busca ser esa alarma, no la grabación de después.
IDS vs IPS: detectar vs bloquear
IDS
Intrusion Detection System: analiza tráfico, detecta un patrón sospechoso, y genera una alerta. No bloquea nada por sí solo.
IPS
Intrusion Prevention System: hace lo mismo que un IDS, pero además puede bloquear automáticamente el tráfico que detecta como malicioso.
La diferencia importa en la práctica: un IDS es más seguro de desplegar (nunca corta tráfico legítimo por error), pero requiere un humano que reaccione a cada alerta. Un IPS actúa solo, más rápido, pero un falso positivo mal calibrado puede bloquear tráfico real de la propia organización.
Dos formas de detectar: firmas vs comportamiento
Detección por firmas compara el tráfico contra una base de datos de patrones ya conocidos de ataques específicos — es rápida y precisa, pero solo detecta lo que ya se conoce (no un ataque completamente nuevo). Detección por comportamiento (anomalías) aprende qué es "normal" para un sistema y avisa cuando algo se desvía de ese patrón habitual — puede detectar ataques nuevos, pero genera más falsos positivos.
Un falso positivo es una alerta que dispara sin que haya un ataque real. Suena inofensivo, pero en la práctica es uno de los mayores problemas de un SOC: si un analista recibe cientos de alertas falsas por día, empieza a ignorarlas por cansancio — y ahí es donde una alerta real, entre el ruido, puede pasar desapercibida. Calibrar bien las reglas de detección es tan importante como tenerlas.
Snort: un IDS/IPS de referencia
Snort es una de las herramientas de detección más usadas y de código abierto. Funciona con reglas que describen patrones de tráfico malicioso conocido, algo así como:
alert tcp any any -> any 22 (msg:"Posible fuerza bruta SSH"; threshold:type threshold, track by_src, count 5, seconds 60;)
Esta regla, en criollo, dice: "si desde una misma IP hay 5 o más intentos de conexión al puerto 22 en 60 segundos, generá una alerta llamada 'Posible fuerza bruta SSH'". Es exactamente la misma lógica que armaste a mano con grep en el módulo anterior — pero automatizada y corriendo todo el tiempo.
Un atacante que sabe que hay detección activa intenta técnicas de evasión: espaciar sus acciones en el tiempo para no superar los umbrales de las reglas (como el count 5, seconds 60 del ejemplo), fragmentar paquetes, o usar tráfico cifrado que dificulte el análisis. La detección por firmas, en particular, es ciega a cualquier ataque que no coincida exactamente con un patrón ya conocido.
Retomá tu análisis de logs del módulo anterior: la cuenta de intentos fallidos de login por IP.
Definí en papel una regla propia: ¿a partir de cuántos intentos fallidos en cuánto tiempo considerarías que hay un ataque? No hay una única respuesta correcta — es un balance real entre detectar rápido y no generar falsos positivos.
Si tenés Snort instalado en tu laboratorio, probá escribir una regla básica similar a la del ejemplo y generá tráfico de prueba desde tu Kali para ver la alerta dispararse.
Ese ejercicio de "cuál es el umbral correcto" es, literalmente, el trabajo diario de quien ajusta las reglas de un SIEM/IDS en una organización real.
Ponete a prueba
1. ¿Cuál es la diferencia principal entre un IDS y un IPS?
2. ¿Por qué los falsos positivos son un problema serio en un SOC?
3. La detección por firmas se caracteriza por...