El problema que las alertas no resuelven

Cuando un equipo de seguridad recibe una alerta, lo más probable es que su primer instinto sea tratarla como punto de partida de la investigación. Sin embargo, este enfoque tiene un límite estructural: las alertas solo muestran lo que las reglas o los modelos de detección han decidido señalar, dejando en la sombra todo lo demás. Richard Bejtlich, reconocido experto en operaciones de seguridad y monitorización de redes, plantea que esta dependencia de las alertas como base principal del triaje es una de las razones por las que los equipos SOC siguen sin poder responder con precisión tres preguntas elementales ante cualquier incidente: ¿qué ocurrió exactamente?, ¿qué evidencias lo respaldan? y ¿cómo sabemos que tenemos una imagen completa?

La 'era del Mythos' y sus implicaciones

Bejtlich acuña el término 'era del Mythos' para describir el momento actual, en el que proliferan herramientas, proveedores y promesas de visibilidad total, pero la realidad operativa de muchos equipos dista mucho de ese ideal. La abundancia de telemetría —logs, eventos de endpoint, datos de identidad— puede crear una falsa sensación de control. El volumen de información disponible no equivale a comprensión del incidente si los datos no se correlacionan ni se sitúan en su contexto de red.

En este escenario, la Network Detection and Response (NDR) reaparece como disciplina esencial, no como complemento opcional. La red sigue siendo el único plano de observación donde el tráfico real entre sistemas deja huella independientemente de si el endpoint fue comprometido, si los logs fueron borrados o si el agente de seguridad fue deshabilitado por el atacante. Registrar y analizar ese tráfico —con profundidad suficiente para reconstruir sesiones, comportamientos laterales y exfiltraciones— es lo que permite pasar de la gestión de alertas a la investigación fundamentada en evidencia.

El reto de la cobertura real

Uno de los argumentos centrales de Bejtlich es que los analistas necesitan poder verificar, durante una investigación, que no existen puntos ciegos en su cobertura. Esto requiere combinar visibilidad de red con capacidad de correlación contextual: saber no solo qué conexiones se establecieron, sino qué usuarios, qué procesos y qué datos estaban implicados, y en qué momento preciso.

Sin esa capa de NDR, los equipos se ven obligados a reconstruir los hechos a partir de fragmentos dispersos, asumiendo que lo que no está en los logs simplemente no sucedió. Una suposición que los atacantes conocen y explotan sistemáticamente.

Una llamada a replantear la arquitectura de detección

La posición de Bejtlich no es un alegato nostálgico por las herramientas de monitorización de red clásicas, sino una invitación a replantear la arquitectura de detección desde la pregunta correcta: ¿qué tipo de evidencia necesito para probar, no suponer, lo que ocurrió? La respuesta obliga a los responsables de seguridad a evaluar si su stack actual les permite responder a esa pregunta con garantías, o si están operando sobre suposiciones que el próximo incidente grave pondrá en evidencia.


Fuente: The Hacker News – Surviving the Mythos Era: Richard Bejtlich on the Case for NDR


¿Estás cubierto en DefensOps?

DefensOps aborda el reto de la visibilidad incompleta mediante su motor de correlación genérica, disponible desde el plan Essential. Aunque las técnicas MITRE específicas varían según el contexto de cada incidente, el motor de correlación de DefensOps permite cruzar eventos de distintas fuentes —red, endpoint, identidad— para detectar patrones anómalos que las alertas individuales no revelan, acercando tu equipo a la capacidad de respuesta fundamentada en evidencia que Bejtlich defiende.

¿Quieres saber si tu cobertura actual tiene puntos ciegos? Consulta nuestros planes y solicita una demo en la página de precios de DefensOps.